Los contenedores para el análisis de datos están plagados de vulnerabilidades

Los componentes de software antiguos y la inclusión de código innecesario crearon una superficie de ataque masiva en contenedores para análisis científico, dicen los investigadores. La actualización regular de los componentes de software puede eliminar dos tercios de las vulnerabilidades encontradas en las imágenes de los contenedores, mientras que la minimización de la cantidad de […]

Los componentes de software antiguos y la inclusión de código innecesario crearon una superficie de ataque masiva en contenedores para análisis científico, dicen los investigadores.

La actualización regular de los componentes de software puede eliminar dos tercios de las vulnerabilidades encontradas en las imágenes de los contenedores, mientras que la minimización de la cantidad de bibliotecas también puede reducir el área de superficie de ataque en algunos casos, según una investigación de un equipo de la Universidad de Concordia en Montreal.

La investigación, que se centró en aplicaciones en contenedores utilizadas en entornos informáticos de alto rendimiento (HPC) para el procesamiento de neuroimágenes, analizó 44 imágenes de contenedores utilizando escáneres de vulnerabilidades y descubrió que la imagen de contenedor promedio tenía más de 320 vulnerabilidades. Los contenedores basados ​​en distribuciones ligeras de Linux, como Alpine Linux, tenían muchas menos vulnerabilidades, lo que sugiere que minimizar el volumen de código también puede reducir la cantidad de vulnerabilidades, dijo el equipo de investigación en un documento publicado en línea la semana pasada.

Si bien los investigadores se centraron en aplicaciones en contenedores para analizar imágenes del cerebro, el problema de las vulnerabilidades no es particular de esa disciplina o paquetes de ciencia de datos, dice Tristan Glatard, profesor asociado en el departamento de informática e ingeniería de software de la Universidad de Concordia.

«El problema es general, no es específico de un software de análisis de datos o distribución de sistema operativo en particular», dice Glatard. «No hay un tipo particularmente malo … No encontramos ningún origen particular de vulnerabilidades».

La investigación destaca que la actualización de los paquetes incluidos en las imágenes es una forma probada para que los usuarios de contenedores Docker y Singularity reduzcan la cantidad de vulnerabilidades en el software. El año pasado, por ejemplo, una encuesta de imágenes de Docker encontró que el 60% tenía al menos una vulnerabilidad moderada, mientras que el 20% tenía al menos una vulnerabilidad de alto riesgo. Desafortunadamente, los científicos de datos, al igual que los trabajadores de TI de las empresas, a menudo desconfían de que las actualizaciones puedan dañar el software crítico.

Sin embargo, los investigadores instaron a otros científicos y especialistas en datos a ser más proactivos en la seguridad de los contenedores.

«[En] la neuroimagen, como en otras disciplinas, las actualizaciones de software generalmente no se recomiendan porque pueden afectar los resultados del análisis al introducir perturbaciones numéricas en los cálculos», afirmaron los investigadores en el artículo . «Creemos que esta posición no es viable desde una perspectiva de seguridad de TI y que podría poner en peligro toda la infraestructura de procesamiento de Big Data, comenzando por los centros de HPC».

El equipo de investigación usó un script para determinar el administrador de paquetes para una imagen específica y luego ejecutó la función de actualización del administrador para instalar las versiones de software más recientes. Tanto la imagen original como las imágenes actualizadas se escanearon con una variedad de escáneres de vulnerabilidades: Anchore, Vuls y Clair para imágenes de Docker, y las herramientas de contenedor de singularidad para imágenes de singularidad.

El número de vulnerabilidades encontradas varió desde alrededor de 1.700 para una imagen hasta casi cero para un puñado de otras. Si bien el número promedio de vulnerabilidades por imagen fue de 460, la imagen mediana tenía 321 vulnerabilidades. El número dependía de manera bastante lineal del número de paquetes, con alrededor de 1,7 problemas de seguridad descubiertos por componente de software en promedio, según la investigación. Sin embargo, la actualización de los contenedores eliminó casi dos tercios de los problemas de seguridad, lo que redujo la densidad de vulnerabilidad a un promedio de aproximadamente 0,6 por paquete de software.

Minimizar el número de paquetes a menudo redujo el número de vulnerabilidades, pero el impacto fue desigual. En algunos casos, la eliminación de paquetes innecesarios no tuvo ningún impacto, especialmente cuando había pocos paquetes extraños. Sin embargo, el uso de la distribución de Alpine Linux, una versión mínima de Linux comúnmente utilizada como imagen base en los contenedores de Docker, generalmente redujo el área de superficie de ataque, dice Glatard.