Mitigación de una amenaza para la seguridad mediante la aplicación oportuna de parches en el núcleo de Linux
La aplicación de parches al kernel de Linux es un proceso que incluye la aplicación de parches de seguridad al kernel de Linux para abordar las vulnerabilidades conocidas que podrían dañar el sistema. Las vulnerabilidades conocidas se refieren a las vulnerabilidades de seguridad divulgadas públicamente que suelen encontrar los usuarios o los investigadores de seguridad. Dado que su información está disponible públicamente, son más fáciles de encontrar y explotar para los atacantes. Por lo tanto, es fundamental aplicar parches tan pronto como se publiquen para mitigar estas vulnerabilidades.
Las organizaciones necesitan prácticas eficaces de gestión de parches que mantengan la coherencia en la aplicación de parches sin demora para mantener un entorno informático seguro. Al retrasar los parches, las organizaciones sólo siguen poniendo su sistema y sus datos sensibles en riesgo de ciberataque. A encuesta de 2019 del Instituto Ponemon encontró que el 60% de las brechas fueron el resultado de vulnerabilidades conocidas no parcheadas, de las cuales los parches fueron liberados pero no aplicados.
En esta entrada del blog, analizaremos algunos de los incidentes de seguridad famosos que fueron consecuencia del retraso en la aplicación de parches. También discutiremos cómo live patching puede ayudar en el parcheo oportuno del kernel de Linux sin causar ningún tiempo de inactividad o la necesidad de programar ventanas de mantenimiento difíciles de coordinar.
Incidentes de seguridad derivados del retraso en la aplicación de parches
Una de las brechas de seguridad más populares que está relacionada con el retraso en la aplicación de parches es la de filtración de datos de Equifax que se produjo en marzo de 2017. Durante ese mismo mes, se encontró una vulnerabilidad (CVE-2017-5638) en Apache Struts, un marco Java de código abierto utilizado por Equifax. Para contrarrestar este problema, el 7 de marzo, la Apache Software Foundation publicó un parche para solucionar esta vulnerabilidad. Aunque el 9 de marzo se informó a los administradores de TI de Equifax de que aplicaran este parche a cualquier sistema afectado, el empleado responsable no llevó a cabo esta tarea.
Como resultado, los piratas informáticos lograron explotar esta vulnerabilidad para acceder a los datos confidenciales de unos 150 millones de clientes. Debido a esta brecha, Equifax sufrió daños por valor de unos 700 millones de dólares.
Otro de los peores casos de retraso en la aplicación de parches es la filtración de datos de Marriott que ocurrió en 2014 antes de que Marriott adquiriera Starwood Hotels en 2016. Marriott no descubrió la filtración hasta 2018. Esto demuestra que la empresa había sido víctima durante cuatro largos años debido a una vulnerabilidad no parcheada que, en última instancia, expuso 383 millones de registros de clientes.
Cómo el Live Patching puede minimizar los parches retrasados
En el enfoque convencional de aplicación de parches al núcleo de Linux, es necesario reiniciar el sistema para aplicar los parches de seguridad, lo que provoca ciertos intervalos de inactividad que acaban interrumpiendo el servicio. Por lo tanto, puede resultar difícil para las organizaciones aplicar los parches en el momento oportuno, especialmente en el caso de los sistemas críticos que no pueden permitirse el tiempo de inactividad para aplicar los parches. Dado que el tiempo de inactividad repercute negativamente en el funcionamiento y la reputación de las organizaciones, muchas de ellas retrasan la aplicación de parches para mantener sus servidores Linux en funcionamiento.
Pero ese no es el caso de la aplicación de parches al núcleo de Linux en vivo, ya que los parches de seguridad se aplican mientras el núcleo está en funcionamiento y no es necesario reiniciar el sistema. Esto puede ahorrar a las organizaciones costes relacionados con el tiempo de inactividad, los reinicios del sistema y las posibles interrupciones del servicio. Además, aplicar los parches sin reiniciar reduce las posibilidades de inestabilidad del sistema causada por posibles reinicios relacionados con los parches.
Otra razón para retrasar la aplicación de parches es el obstáculo que supone aplicarlos manualmente. Según el 52% de los encuestados en la encuesta de 2019 del Ponemon Instituteel uso de procesos manuales pone a sus organizaciones en desventaja a la hora de responder a las vulnerabilidades. Los empleados de TI tienden a pasar por alto los riesgos del retraso en la aplicación de parches y a incumplir el calendario de parches debido a una mala gestión de los mismos.
Pero la aplicación de parches debe realizarse de forma programada como parte de una rutina de mantenimiento regular. La actualización periódica del kernel y otros componentes de software permite mantener la seguridad y el rendimiento del sistema.
Esto puede lograrse más fácilmente con una solución de parcheo automatizada, como KernelCare Enterprise.
KernelCare Enterprise es una herramienta de live patching que puede descargar y aplicar automáticamente parches al kernel siempre que estén disponibles. Agiliza y simplifica el procedimiento de aplicación de parches, permitiendo a los equipos automatizar eficazmente la aplicación periódica de parches contra vulnerabilidades. La aplicación automatizada de parches también permite responder con mayor rapidez a las amenazas emergentes, garantizando que las vulnerabilidades se aborden con prontitud.
KernelCare elimina la necesidad de depender de las ventanas de mantenimiento sugeridas por el proveedor original de la distribución Linux para hacer frente a posibles amenazas de seguridad, lo que permite a las empresas minimizar el riesgo de que se exploten vulnerabilidades mientras esperan una ventana de mantenimiento. Además, KernelCare puede parchear todas las distribuciones empresariales populares, incluidas RHEL, CentOS, AlmaLinux, Oracle Linux, Rocky Linux, Debian, Ubuntu, Raspberry PI y más.
Para obtener información detallada sobre cómo funciona la aplicación de parches en vivo KernelCare de TuxCare, consulte esta guía.
Palabras finales
La aplicación oportuna de parches al núcleo de Linux ayuda a las organizaciones a adelantarse a las posibles amenazas a la seguridad. Por lo tanto, los parches de seguridad deben aplicarse al núcleo de Linux tan pronto como estén disponibles. De este modo se garantiza que el núcleo se mantenga al día con las últimas actualizaciones de seguridad, correcciones de errores y mejoras de rendimiento. Un enfoque de parcheo en vivo, en particular, ofrece una forma revolucionaria de abordar las vulnerabilidades de seguridad sin causar ningún tiempo de inactividad innecesario.