Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Contención de Ransomware

Kubernetes no es inmune al ransomware y cómo Illumio puede ayudar

Christer Swartz
,
Director de Mercadotecnia de Soluciones
September 5, 2023
23 min. lectura

Ransomware no es un problema en Kubernetes, ¿verdad? Contenedores las construcciones son tan dinámicas y efímeras que hay poco riesgo de que el ransomware tenga tiempo para secuestrar un pod, por ejemplo, y luego intentar propagar lateralmente cargas útiles maliciosas entre espacios de nombres. Los pods giran hacia arriba y hacia abajo tan dinámicamente que el ransomware es de poca preocupación en Kubernetes, por lo que mi clúster está a salvo de esta amenaza de ciberseguridad específica, ¿verdad?

Desafortunadamente, esta suposición se ha demostrado que es incorrecta demasiadas veces. El ransomware tiende a funcionar de manera diferente en Kubernetes que fuera de los clústeres de contenedores, pero es un riesgo de ciberseguridad muy real que los arquitectos de DevSecOps no pueden darse el lujo de ignorar. El ransomware puede causar daños muy reales en un clúster de Kubernetes, y la mejor forma de remediación es la prevención.

Illumio puede evitar que el ransomware secuestra su clúster de Kubernetes, evitando que su organización sea la próxima víctima de ciberataque en aparecer en las noticias.

Cómo se propaga el ransomware en Kubernetes

En cargas de trabajo que no son contenedores, el ransomware secuestrará un host y luego buscará puertos abiertos. Los puertos comunes que están abiertos de forma predeterminada en muchas cargas de trabajo son RDP, SSH y SMB. Es trivial para el ransomware suplantar conexiones a través de estos puertos y establecer una conexión con un host vecino. Una vez que la conexión está abierta, el ransomware puede entregar rápidamente carga maliciosa al siguiente host, tome el control del mismo y busque puertos abiertos, repitiendo este proceso en todos los hosts vecinos muy rápidamente.

Al ransomware le encanta moverse. Una vez que el ransomware ingresa a la red, puede propagarse lateralmente rápidamente.

Esta propagación entre hosts puede ocurrir más rápido de lo que la mayoría de las soluciones de protección contra malware de detección y respuesta pueden identificar y responder. En muy corto tiempo, toda la infraestructura puede ser tomada como rehén.

En Kubernetes, los hosts, también conocidos como “nodos”, son máquinas virtuales (VM) o hosts bare-metal que ejecutan código de contenedores. Crean una capa de abstracción por encima del sistema operativo (SO) subyacente del nodo. Un clúster se crea cuando los pods y los servicios están asociados a un espacio de nombres, y ese espacio de nombres contiene todo el código y las bibliotecas que requiere la aplicación que se ejecuta dentro de él. Las construcciones dentro de un espacio de nombres son dinámicas: a medida que los recursos informáticos se escalan horizontalmente, los pods girarán hacia arriba y ejecutarán código y luego se pueden volver a girar rápidamente hacia abajo, solo para volver a girar hacia arriba en un momento posterior con una dirección IP diferente.

La vida útil de un pod puede ser muy breve, y la mayoría de los pods no ejecutan puertos abiertos como RDP o SSH. Esto se debe a que los pods no tienden a usar estos protocolos para comunicarse con otros pods. Por lo tanto, el ransomware a menudo se percibe como de poca relevancia dentro de un cluster.

El ransomware es una amenaza importante en Kubernetes

Sin embargo, ransomware puede convertirse rápidamente en un desastre cibernético en un clúster de Kubernetes. El código malicioso se puede introducir al principio del ciclo de vida del desarrollo del código, pero no se detecta porque aún no se está ejecutando. Las cargas maliciosas también se pueden introducir en un clúster de Kubernetes a través de API expuestas, configuraciones de autenticación débiles, software sin parches o quizás el riesgo más común: configuraciones mal configuradas.

Las amenazas cibernéticas se pueden introducir en cualquier parte de la cadena de suministro de software. Por ejemplo, si la imagen de un contenedor se descarga de un repositorio de código abierto; y luego se ejecuta dentro de un clúster, esa imagen puede contener código incrustado que se puede ejecutar y “escapar” de un pod al nodo subyacente. Luego implementará ransomware en ese nodo subyacente. En ese momento, el ransomware puede secuestrar ese nodo y establecer conexiones a través de puertos abiertos a nodos vecinos, lo que permite que la amenaza secuestra o encripte rápidamente todos los nodos subyacentes que alojan el clúster de Kubernetes.

Esto puede hacer que las aplicaciones que se ejecutan en los nodos de trabajo se vuelvan “bloqueadas” y se cierren de manera efectiva. Si el código se escapa a un nodo maestro subyacente, el plano de control del clúster de Kubernetes puede ser secuestrado y se corre el riesgo de bloquearlo todo el clúster. Un pequeño problema introducido al principio del ciclo de vida del desarrollo de código puede convertirse rápidamente en un desastre importante.

Un ejemplo de este tipo de malware es Siloscape, descubierto en marzo de 2021. Utiliza vulnerabilidades en procesos de subprocesos poco documentados para acceder al nodo subyacente, y luego es capaz de acceder a kubectl para ejecutar comandos que se extenderán a los nodos vecinos. Este es un claro ejemplo de por qué el plano de control de los nodos de Kubernetes necesita ser protegido y el acceso limitado por otros procesos. Illumio es capaz de imponer el acceso a procesos específicos en un host, lo que limita quién tiene acceso a ellos.

Illumio puede proteger proactivamente contra ransomware en Kubernetes

Illumio impone la comunicación de cargas de trabajo tanto dentro de un clúster de Kubernetes como en el nodo subyacente.

Dentro de un clúster de Kubernetes, Illumio impondrá la comunicación entre espacios de nombres o entre espacios de nombres y cargas de trabajo fuera de un controlador de entrada, evitando la comunicación innecesaria entre cargas de trabajo. A diferencia de otros proveedores, la visibilidad y la aplicación de Illumio se extienden a toda la superficie de ataque híbrida, no solo a los contenedores, lo que permite a los equipos de SecOps eliminar los silos de políticas y extender las operaciones existentes a contenedores, mejorando la resiliencia cibernética.


El mapa de dependencia de aplicaciones de Illumio proporciona visibilidad en clústeres y entornos de nube.

Entre los nodos subyacentes, Illumio también hará cumplir la comunicación para que si un código malicioso desconocido se escapa del clúster de Kubernetes y desciende al nodo, se evitará que ese código malicioso se propague a cualquier nodo vecino. Esto es posible porque Illumio impide que se establezcan sesiones entre esos nodos. Dado que Illumio asume que las brechas son inevitables, incluso por amenazas introducidas al comienzo de la cadena de suministro de software, los clústeres de Kubernetes están protegidos contra ransomware con la intención de interrumpir la infraestructura subyacente.

¿Cómo seguridad shift left en Kubernetes con Illumio

En ciberseguridad, shift-left se refiere a la introducción de soluciones de seguridad al comienzo del ciclo de vida del desarrollo del código:

  • El lado derecho del ciclo de vida representa el código de hospedaje como una aplicación y la implementación de un firewall frente a ella.
  • El lado izquierdo representa el nacimiento de ese código a medida que se desarrolla.

Si alguna carga de trabajo administrada contiene una amenaza desconocida incrustada en el código que luego se inicia e intenta propagarse a los hosts vecinos, Illumio evitará que esa amenaza se propague.

Esto es cierto incluso sin que Illumio sepa la intención de esa amenaza. La mayoría de las soluciones de seguridad de detección y respuesta intentan comprender la naturaleza de una amenaza antes de tomar una decisión. Pero Illumio no pierde el tiempo tratando de entender esto antes de tomar una decisión. La cantidad de comunicación lateral requerida por la mayoría de las cargas de trabajo es limitada, y la mayoría de los puertos abiertos deben cerrarse o monitorearse continuamente. Los dispositivos se pueden poner en cuarentena e Illumio puede evitar toda comunicación lateral sin necesidad de saber qué tipo de daño se está intentando.

Kubernetes nunca debe considerarse inmune al ransomware. La prevención es la mejor forma de remediación, e Illumio evita que el ransomware infecte todas las cargas de trabajo, incluso en Kubernetes.

¿Quiere saber más sobre cómo Illumio puede proteger Kubernetes de la propagación del ransomware? Póngase en contacto con nosotros hoy para una consulta gratuita y una demostración.

Temas relacionados

Contención de Ransomware

Artículos relacionados

Detener el ransomware: vea sus amenazas con Illumio
Contención de Ransomware

Detener el ransomware: vea sus amenazas con Illumio

Leer más
Kubernetes no es inmune al ransomware y cómo Illumio puede ayudar
Contención de Ransomware

Kubernetes no es inmune al ransomware y cómo Illumio puede ayudar

Descubra por qué el ransomware es un riesgo de ciberseguridad muy real en Kubernetes que los arquitectos de DevSecOps no pueden darse el lujo de ignorar.

Leer más
CCPA y Zero Trust Security para PII: Salud y educación
Contención de Ransomware

CCPA y Zero Trust Security para PII: Salud y educación

Leer más
Cómo Illumio construye seguridad cohesiva para contenedores
Segmentación de confianza cero

Cómo Illumio construye seguridad cohesiva para contenedores

Descubra cómo Illumio aplica las políticas de seguridad y ofrece visibilidad completa dentro de todos los entornos, todo en una sola plataforma.

Leer más
La I/O del clúster de Kubernetes es un gran desastre, pero la ayuda está en camino
Ciberresiliencia

La I/O del clúster de Kubernetes es un gran desastre, pero la ayuda está en camino

Obtenga más información sobre la proliferación de E/S de clústeres de Kubernetes y los esfuerzos que se están realizando para simplificar el entorno.

Leer más
¿100% Nube? Aún necesita segmentación de confianza cero
Segmentación de confianza cero

¿100% Nube? Aún necesita segmentación de confianza cero

Descubra por qué estar 100% en la nube no niega la necesidad de contención de brechas con la Segmentación de Confianza Cero y cómo Illumio puede ayudar.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información