Sicherung vertraulicher Forschungsdaten durch TuxCare Live-Patching
Das kroatische Hochschul- und Forschungsnetz (CARNet) der Universität Zagreb sah sich mit einer erheblichen Bedrohung konfrontiert: Wie andere Bildungseinrichtungen waren auch seine Netze ständigen Angriffen von Cyberkriminellen ausgesetzt. Der einzige offensichtliche Weg zu einem sicheren Betrieb - regelmäßiges Patchen - war jedoch schwer durchführbar.
In dieser Fallstudie untersuchen wir, wie Mirsad Todorovac, CARNet-Systemingenieur an der Universität Zagreb, KernelCare Enterprise entdeckte und wie das Produkt - ein TuxCare-Service - der Universität half, die zunehmenden Cyber-Bedrohungen zu bekämpfen.
Universitäten als Ziele
Universitäten sind wichtige Ziele für böswillige Akteure, die von gewöhnlichen Kriminellen bis hin zu entschlossenen staatlichen Stellen reichen. Dafür gibt es eine Reihe von Gründen. Ja, wie jede andere Organisation verfügen auch Universitäten über wertvolle personenbezogene Daten, die für kriminelle Machenschaften missbraucht werden können.
Als Forschungseinrichtungen haben Universitäten jedoch in der Regel mit nicht-öffentlichen Forschungsinformationen zu tun, und der Zugang zu diesen Informationen kann sehr folgenreich sein. Je nach Einrichtung kann es sich dabei um streng gehütete Industriegeheimnisse zu neuen Produkten oder um geheime militärische Forschungsergebnisse handeln. Cyberkriminelle wollen Zugang zu diesen Daten wegen ihres wirtschaftlichen Wertes - und manchmal auch aus reiner Spionageabsicht.
Daher ist Cybersicherheit für Universitäten wirklich wichtig, und diese wichtigen Einrichtungen stehen bei der Umsetzung von Cybersicherheitsmaßnahmen vor denselben Problemen wie kommerzielle Organisationen. Es gibt auch einige besondere Herausforderungen: So sind die IT-Systeme von Universitäten oft sehr verteilt und weniger zentralisiert als die typischen IT-Systeme von Unternehmen, was die Koordinierung von Cybersicherheitsmaßnahmen erheblich erschwert.
Und das bringt uns zu Mirsad und seinem Team bei CARNet, die wussten, dass die Universität Zagreb durch Cyberkriminalität erheblichen rechtlichen, rufschädigenden, wirtschaftlichen und betrieblichen Risiken ausgesetzt war. Ein erfolgreicher Angriff könnte zum Verlust künftiger Studiengebühren führen und würde künftige Forschungspartner und Finanzmittel abschrecken.
Patching: leichter gesagt als getan
Es gibt viele Möglichkeiten zum Schutz von Technologieressourcen - Firewalls, erweiterter Bedrohungsschutz und so weiter. Und in der Tat ist eine Kombination von Wegen unerlässlich, um Schutz vor Bedrohungen zu erreichen. Eine der effektivsten Möglichkeiten, die Sicherheit deutlich zu erhöhen, ist jedoch das Patchen.
In der Praxis ist es jedoch nicht einfach, Patches auf laufende Workloads anzuwenden. Das Patchen erwies sich auch für das Team von CARNet als Herausforderung, da es sich als störend und zeitaufwändig erwies. Nur wenige Unternehmen führen das Patching konsequent durch.
Eine der größten Herausforderungen sind die Ressourcen. Als Systemingenieur bei CARNet war Mirsad für die Verwaltung mehrerer Server in zwei Organisationen zuständig, und diese Zahl schien schnell zu wachsen.
Das sagt Mirsad: "Die Kernel-Patches, die zur Behebung von Schwachstellen benötigt wurden, waren eine Belastung für die Systemadministratoren, zum Teil weil sie unerwünschte Ausfallzeiten mit sich brachten." Der Teamleiter wies auf ein häufiges Problem hin: Neustarts, um eine gepatchte Version des Kernels zu installieren, wurden mitunter unannehmbar lange hinausgezögert.
Die Verzögerungen beim Patchen "vergrößerten das Zeitfenster, in dem die Bösewichte ihre Pläne umsetzen konnten", so Mirsad.
Suche nach einer Patching-Lösung
Die schnellstmögliche Behebung von Schwachstellen ist ein bewährtes Verfahren und wohl eine der besten Maßnahmen, um die Infrastruktur vor Sicherheitsverletzungen zu schützen.
Wie Mirsad erklärt, verzögert sich die Behebung von Sicherheitslücken jedoch häufig, weil es an Ressourcen mangelt und es schwierig ist, eine Einigung darüber zu erzielen, wie dies geschehen soll - und gleichzeitig die Zeit zu finden, kritische Anlagen vom Netz zu nehmen. Das war genau das, was das Team an der Universität Zagreb erlebt hat.
Um die Infrastruktur der Universität Zagreb zu schützen, begann Mirsad mit der Suche nach einem Linux-Kernel-Patching-Automatisierungstool. Dabei stieß er zunächst auf den Kernel-Livepatch-Service von Ubuntu. Als Vorläufer von KernelCare Enterprise handelt es sich um einen Dienst, der Ubuntu-Server im laufenden Betrieb patchen kann - ohne dass der Server neu gestartet werden muss.
Livepatch von Ubuntu unterstützte jedoch keine Server außerhalb des Ubuntu-Ökosystems, was bedeutete, dass es keine universelle Lösung war, da Mirsads Team auf Debian-Maschinen als Teil ihres Betriebssystem-Mixes angewiesen war. Während Livepatch dabei half, die Ubuntu-Workloads zu unterstützen, blieben die Debian-Server der Universität ohne eine Lösung. Die Suche ging weiter, bis sich die Recherchen des Teams auszahlten und sie auf den Dienst KernelCare Enterprise stießen.
Nahtlose, erfolgreiche Umsetzung
Der Start mit KernelCare Enterprise war einfach. Tatsächlich waren die Abonnementgebühren für das Produkt so erschwinglich und das Potenzial des Produkts so groß, dass sich das Team sofort für ein Testkonto anmeldete - sie warteten nicht einmal auf die Genehmigung der Mittel, sondern bezahlten die anfängliche Lizenzgebühr von einem persönlichen PayPal-Konto.
KernelCare Enterprise hat seine Leistungsfähigkeit schnell unter Beweis gestellt. Server, auf denen KernelCare Enterprise läuft, werden kontinuierlich mit den neuesten Linux-Kernel-Patches aktualisiert, und ein Neustart nach jeder Aktualisierung war nicht erforderlich. Das CARNet-Team brauchte nicht lange, um zu erkennen, dass die Einführung des Produkts in seinem gesamten Technologiepark einen entscheidenden Wandel bewirken würde.
Auch die Integration von KernelCare Enterprise war einfach. Es musste lediglich ein Skript ausgeführt werden - ein Prozess, der bei großen Serverflotten automatisiert werden kann. Nach einer kurzen Testphase aktivierte das Team KernelCare Enterprise auf Knopfdruck in seiner gesamten Serverumgebung.
Interessanterweise trat ein Punkt schnell zutage. Das Team war überrascht, als es feststellte, dass seine "vollständig gepatchten" Debian Jessie-Server 91 Sicherheitslücken aufwiesen. Glücklicherweise konnte dies schnell und mühelos mit KernelCare Enterprise gepatcht werden.
Patching-Erfolg mit KernelCare Enterprise
Dank KernelCare Enterprise war das erfolgreiche Patchen für das CARNet-Team ein wirklich einfacher Prozess - vom Testen bis zum Rollout gab es keine Pannen. Es war schnell klar, dass der Vorteil des Einsatzes von KernelCare Enterprise gegenüber dem Verzicht auf Live-Kernel-Patching die relativ geringen Kosten für das Abonnement von KernelCare Enterprise deutlich überstieg.
Das Verfassen langer entschuldigender E-Mails, die technisch nicht versierte Benutzer ohnehin nicht verstehen würden, gehörte der Vergangenheit an, und es bestand keine Notwendigkeit mehr, komplizierte Upgrade-Prozesse einzurichten - und keine Unterbrechung für die Benutzer.
Das CarNET-Team lobte den Support von TuxCare, der auf Support-Anfragen innerhalb weniger Minuten reagierte und Probleme innerhalb von Stunden löste. Laut Mirsad "war das TuxCare-Supportteam sehr offen für Vorschläge zur Verbesserung eines bereits ausgezeichneten Services, und ich fühle mich fast wie ein Teil des Entwicklerteams".
Jetzt, nach zwei Jahren Arbeit mit TuxCare und der KernelCare Enterprise-Lösung, sagt Mirsad, dass: "Bis heute sehe ich keine Alternative zu diesem Produkt in Bezug auf Preis und Zuverlässigkeit, und wir werden bei der KernelCare Enterprise-Lösung bleiben."