Curso completo ciberseguridad gratis Controles CIS. Control 7.6

Estimados amigos de Inseguros !!!

Seguimos con el control 7 de los CIS, gestión continua de vulnerabilidades, y hoy toca el 7.6: realizar escaneos automatizados de vulnerabilidades en imágenes de contenedores. Y esto es de los controles que te ponen al día con la realidad actual, porque hoy en muchas empresas ya no despliegas “servidores”, despliegas contenedores. Y si no escaneas contenedores, te estás dejando medio ataque fuera del radar.

Aquí también hay un mito típico: “pero si el contenedor es efímero, se crea y se destruye, no pasa nada”. Pues no. Precisamente porque es efímero, si metes una imagen vulnerable y la replicas 200 veces, has multiplicado el problema. Y como la gente despliega rápido, el riesgo viaja rápido.

Qué es lo que se escanea en un contenedor

No se escanea “Kubernetes” como tal.
Se escanea la imagen: lo que lleva dentro.

Sistema base.
Paquetes instalados.
Librerías.
Dependencias.
Versiones.
Configuraciones.
Y, muy importante, secretos accidentales (tokens, keys, credenciales) que alguien dejó dentro del build.

Esto engancha directo con SCA y con SBOM. Si sabes qué componentes tienes, sabes qué te afecta cuando sale una vulnerabilidad. Si no lo sabes, dependes de la suerte.

Dónde se integra esto para que sea automático

En el pipeline. En CI/CD.

Lo normal es:
build de imagen → escaneo automático → si pasa, se publica en el registry → si no pasa, se bloquea o se marca como “no apta”.

Y además, escaneo del registry. Porque aunque tu pipeline lo haga, luego hay imágenes viejas dando vueltas, tags “latest” que cambian, y repos que acumulan basura. Un registry con control serio te permite saber qué imágenes tienes, qué CVEs tienen, y qué entornos las están usando.

Qué vulnerabilidades te suelen salir aquí

Las típicas de paquetes y librerías: OpenSSL viejo, curl viejo, librerías base desactualizadas, frameworks con CVEs, etc. Pero también cosas de configuración: imágenes corriendo como root, permisos demasiado laxos, capas innecesarias, herramientas de debug que se quedaron metidas, y “cosas que no deberían estar”.

Y aquí enlaza con el concepto más práctico de todos: reduce superficie. Si tu contenedor lleva 300 paquetes y solo necesitas 20, estás regalando riesgo. Cuanto más minimalista sea la imagen, menos CVEs arrastras y menos cosas hay que parchear.

Y cómo se remedia esto sin morir

La remediación en contenedores no es “parchear en caliente”. La remediación es reconstruir la imagen con base actualizada, volver a escanear y redeployar. Es decir, el parcheo se hace por reemplazo. Por eso es tan importante tener bien montado el pipeline. Porque si actualizar una imagen es un drama, nadie lo hace. Y si nadie lo hace, acumulas CVEs y un día te explota.

Este control 7.6, bien aplicado, es una de las piezas clave de DevSecOps real. No de la palabra bonita. Real: automatización, bloqueo de lo crítico, visibilidad continua y remediación por rebuild.

Si te interesa aprender a aplicar gestión de vulnerabilidades en entornos modernos (contenedores, pipelines, SBOM, SCA, escaneo automatizado y remediación práctica), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia. Esto hoy ya es obligatorio si trabajas con cloud o Kubernetes.

Gracias por leerme !!!