Cloud Computing
Ciberseguridad

Mala configuración, el principal habilitador de los problemas en la nube

Alrededor del 87% de las imágenes de contenedores incluyen una vulnerabilidad alta o crítica, mientras que el 90% de los permisos otorgados no se utilizan, según un estudio de Sysdig

Transición

Los mayores riesgos de seguridad siguen siendo las configuraciones incorrectas y las vulnerabilidades, que se están introduciendo en mayor número a través de las cadenas de suministro de software, según un informe de Sysdig. Si bien el enfoque Zero Trust es una prioridad principal, los datos muestran que los derechos de acceso con privilegios mínimos no se aplican correctamente. Casi el 90% de estos permisos otorgados no se utilizan, lo que deja muchas oportunidades para los atacantes que roban las credenciales.

Este análisis se deriva de los datos de más de siete millones de contenedores que los clientes de Sysdig utilizan diariamente. El informe también considera información extraída de fuentes de datos públicas como GitHub, Docker Hub y CNCF.

Así, se estimó que casi el 87% de las imágenes de contenedores incluían una vulnerabilidad alta o crítica, frente al 75% del año pasado. Además, algunas imágenes contenían más de una vulnerabilidad. Las organizaciones son conscientes del peligro, pero luchan con la tensión de abordar estas amenazas mientras mantienen el ritmo acelerado de los lanzamientos nuevos de software.

La razón por la que las vulnerabilidades persisten a pesar de tener una solución es por problemas de ancho de banda y priorización. Cuando el 87% de las imágenes de contenedores que se ejecutan en producción tienen una vulnerabilidad crítica o de gravedad alta, un ingeniero de DevOps o de seguridad puede iniciar sesión y ver cientos, si no miles, de imágenes con vulnerabilidades. “Se necesita tiempo para revisar la lista y arreglar las cosas. Para la mayoría de los desarrolladores, escribir código para nuevas aplicaciones es lo que evalúan, por lo que cada minuto que dedican a correcciones es tiempo que no desarrollan”, expresa Crystal Morin, ingeniera de investigación de amenazas en Sysdig.

Solo el 15% de las vulnerabilidades críticas y altas con una solución disponible se encuentran en paquetes cargados en tiempo de ejecución. Al filtrar los paquetes vulnerables que realmente están en uso, las empresas pueden concentrar sus esfuerzos en una fracción más pequeña de las vulnerabilidades reparables que representan un riesgo real. 

 

Los paquetes de Java son los que más riesgos conllevan

Al medir el porcentaje de vulnerabilidades en los paquetes cargados en tiempo de ejecución por tipo de paquete para evaluar qué lenguaje, bibliotecas o tipos de archivos presentaban el mayor riesgo de vulnerabilidad, Sysdig descubrió que los paquetes de Java eran responsables del 61% de las más de 320 000 vulnerabilidades en los paquetes en ejecución. Los paquetes de Java constituyen el 24% de los paquetes cargados en tiempo de ejecución. 

Más vulnerabilidades en los paquetes expuestos en tiempo de ejecución dan como resultado un mayor riesgo de compromiso o ataque. Java tiene la mayor cantidad de vulnerabilidades expuestas en tiempo de ejecución. Si bien Java no es el tipo de paquete más popular en todas las imágenes de contenedor, es el más común en uso en tiempo de ejecución.  “Por esta razón, creemos que tanto los buenos como los malos se centran en los paquetes de Java para sacar el máximo provecho de su inversión. Debido a su popularidad, es probable que los cazadores de errores estén más dedicados a las vulnerabilidades del lenguaje Java”, asevera Morin. 

Si bien los tipos de paquetes más nuevos o menos comunes pueden parecer más seguros, Morin dijo que esto podría deberse a que no se han descubierto vulnerabilidades o, peor aún, se han encontrado, pero no se han revelado. 

 

Aplicando el concepto shift-left, shield-right

Shift-left es la práctica de mover las pruebas, la calidad y la evaluación del rendimiento al principio del ciclo de vida del desarrollo. Sin embargo, incluso con la práctica perfecta de seguridad de desplazamiento a la izquierda, pueden surgir amenazas en la producción. Las organizaciones deben seguir una estrategia de desplazamiento a la izquierda y escudo a la derecha, sugirió Sysdig. La seguridad Shield-right enfatiza los mecanismos para proteger y monitorear los servicios en ejecución. “Las prácticas de seguridad tradicionales con herramientas como firewalls y sistemas de prevención de intrusos (IPS) no son suficientes. Dejan vacíos porque, por lo general, no brindan información sobre las cargas de trabajo en contenedores y el contexto nativo de la nube circundante”. 

La visibilidad del tiempo de ejecución puede ayudar a las organizaciones a mejorar la práctica de turno a la izquierda. Una vez que los contenedores están en producción, un ciclo de retroalimentación para correlacionar los problemas descubiertos en el tiempo de ejecución con el código subyacente ayuda a los desarrolladores a saber dónde enfocarse. Las pruebas de seguridad estáticas también pueden basarse en la inteligencia de tiempo de ejecución para identificar qué paquetes se ejecutan dentro de los contenedores que ejecutan la aplicación. 

“Esto permite a los desarrolladores quitar prioridad a las vulnerabilidades de los paquetes no utilizados y, en cambio, centrarse en corregir las vulnerabilidades en ejecución explotables. El objetivo de cada programa de ciberseguridad debe ser la seguridad del ciclo de vida completo”, agrega Morin. 

La mala configuración es el principal culpable de los incidentes de seguridad en la nube

Si bien las vulnerabilidades son una preocupación, las configuraciones incorrectas siguen siendo el factor más importante en los incidentes de seguridad en la nube y, por lo tanto, deberían ser una de las principales causas de preocupación en las organizaciones. Para 2023, el 75 % de las fallas de seguridad se deberán a una gestión inadecuada de las identidades, el acceso y los privilegios, frente al 50 % en 2020, según Gartner. Los datos de Sysdig mostraron que solo el 10% de los permisos otorgados a usuarios que no eran administradores se utilizaron cuando se analizaron durante un período de 90 días. 

El análisis año tras año reveló que las organizaciones están otorgando acceso a más empleados o madurando sus prácticas de gestión de acceso e identidad (IAM). El crecimiento en la población de usuarios humanos puede ser un subproducto de mover más negocios a entornos de nube o aumentar la dotación de personal debido al crecimiento del negocio, señaló la firma de seguridad cibernética. Este año, se descubrió que el 58 % de las identidades en el entorno de nube de los clientes de Sysdig eran roles no humanos, frente al 88 % del año pasado. 

Los roles no humanos a menudo se usan temporalmente y, si ya no se usan y no se eliminan, proporcionan puntos de acceso fáciles para los actores malintencionados. “La razón del cambio en los tipos de roles podría ser que el uso de la nube de las organizaciones está creciendo y, con la adopción, se otorgan accesos a la nube a más empleados, lo que cambia el equilibrio de los roles humanos y no humanos”, dijo Morin. 

Más del 98% de los permisos otorgados a identidades no humanas no se han utilizado durante al menos 90 días. “A menudo, estos permisos no utilizados se otorgan a identidades huérfanas, como cuentas de prueba vencidas o cuentas de terceros”, señaló Sysdig. 

 

Aplicación de los principios de privilegio mínimo a las identidades no humanas

Los equipos de seguridad deben aplicar los principios de privilegios mínimos a las identidades no humanas de la misma manera que administran las identidades humanas. También deben eliminar las cuentas de prueba no utilizadas siempre que sea posible para evitar el riesgo de acceso. Si bien esto puede ser tedioso de determinar manualmente, los filtros de permisos en uso y las recomendaciones generadas automáticamente pueden hacer que este proceso sea más eficiente, señaló Sysdig. 

El principio de privilegio mínimo es el mismo para los no humanos que para los humanos. Las organizaciones deben otorgar el acceso mínimo que un ser humano necesita para hacer el trabajo. Lo mismo se aplica a los no humanos, como aplicaciones, servicios en la nube o herramientas comerciales que necesitan acceso para hacer su trabajo. Estos funcionan de manera similar a las aplicaciones en el teléfono celular que solicitan permisos para acceder a contactos, fotos, cámara, micrófono y más. 

“Con eso, también debemos considerar la gestión de acceso para estas entidades no humanas. La concesión de permisos excesivos y la no gestión regular de los permisos concedidos proporciona acceso inicial adicional, movimiento lateral y opciones de escalada de privilegios para los actores maliciosos”, dice Morin. 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper