Protección de los datos confidenciales de la investigación mediante la aplicación de parches en tiempo real TuxCare

La Red Académica y de Investigación Croata (CARNet) de la Universidad de Zagreb se enfrentaba a una importante amenaza: al igual que otras instituciones educativas, sus redes sufrían constantes ataques de ciberdelincuentes. Pero la única vía obvia para garantizar la seguridad de las operaciones -la aplicación periódica de parches- era difícil de llevar a cabo de forma coherente.

En este estudio de caso analizamos cómo Mirsad Todorovac, ingeniero de sistemas de CARNet en la Universidad de Zagreb, descubrió KernelCare Enterprise y cómo el producto -un servicio de TuxCare- ayudó a la universidad a luchar contra las crecientes ciberamenazas.

Las universidades como objetivo

Las universidades son objetivos importantes para los actores malintencionados, que van desde delincuentes comunes hasta organismos estatales decididos. Hay una mezcla de razones para ello. Sí, al igual que cualquier otra organización, las universidades poseen valiosos datos personales de los que se puede abusar con fines delictivos.

Sin embargo, como instituciones de investigación, las universidades suelen manejar información de investigación que no es pública, y el acceso a esta información puede tener grandes consecuencias. Dependiendo de la institución, puede tratarse de cualquier cosa, desde secretos industriales muy bien guardados sobre nuevos productos hasta investigaciones militares clasificadas. Los ciberdelincuentes quieren acceder a estos datos por su valor económico y, a veces, por puro espionaje.

Así pues, la ciberseguridad es realmente importante para las universidades y estas importantes instituciones se enfrentan a los mismos problemas a la hora de aplicar medidas de ciberseguridad que las organizaciones comerciales. También existen algunos retos específicos: por ejemplo, los sistemas informáticos de las universidades suelen estar muy distribuidos y menos centralizados que los de las empresas, lo que dificulta la coordinación de las políticas de ciberseguridad.

Y eso nos lleva a Mirsad y su equipo de CARNet, que sabían que la Universidad de Zagreb se enfrentaba a importantes riesgos jurídicos, de reputación, económicos y operativos derivados de la ciberdelincuencia. Un ataque con éxito podría provocar la pérdida de futuras matrículas de estudiantes y disuadiría a futuros socios de investigación y financiación.

Parchear: más fácil decirlo que hacerlo

Se pueden proteger los activos tecnológicos por muchas vías: cortafuegos, protección avanzada frente a amenazas, etcétera. Y sí, una combinación de rutas es esencial para lograr la protección contra amenazas. No obstante, una de las formas más eficaces de dar un impulso significativo a la seguridad es mediante la aplicación de parches.

Pero en la práctica, aplicar parches a cargas de trabajo activas no es fácil. La aplicación de parches también supuso un reto para el equipo de CARNet, ya que los parches les resultaban molestos y llevaban mucho tiempo. Pocas organizaciones consiguen aplicar los parches correctamente de forma sistemática.

Uno de los mayores retos son los recursos. Como ingeniero de sistemas de CARNet, Mirsad era responsable de la administración de múltiples servidores en dos organizaciones, y ese número parecía crecer rápidamente.

Mirsad afirma que: "Los parches del kernel necesarios para corregir vulnerabilidades eran una carga para el personal de administración del sistema, en parte porque conllevaban tiempos de inactividad no deseados". Señalando un problema común, el jefe del equipo dijo que los reinicios para instalar una versión parcheada del núcleo se posponían a veces durante un tiempo inaceptablemente largo.

Según Mirsad, los retrasos en la aplicación de parches "aumentaron las posibilidades de que los delincuentes desplegaran sus artimañas".

Buscando una solución de parcheo

Parchear las vulnerabilidades lo antes posible es una buena práctica y, sin duda, una de las mejores cosas que se pueden hacer para proteger la infraestructura frente a las brechas de seguridad.

Pero, como explica Mirsad, la aplicación de parches a las vulnerabilidades suele retrasarse por falta de recursos y dificultad para ponerse de acuerdo sobre cómo hacerlo, además de intentar encontrar tiempo para desconectar activos críticos. Eso era exactamente lo que experimentaba el equipo de la Universidad de Zagreb.

Para proteger la infraestructura de la Universidad de Zagreb, Mirsad empezó a buscar una herramienta de automatización de parches para el núcleo de Linux. Este viaje le llevó primero al servicio livepatch del núcleo de Ubuntu. Precursor de KernelCare Enterprise, es un servicio que puede parchear servidores Ubuntu sobre la marcha, sin necesidad de reiniciar el servidor.

Sin embargo, livepatch de Ubuntu no soportaba servidores fuera del ecosistema Ubuntu, lo que significaba que no era una solución universal, dado que el equipo de Mirsad dependía de máquinas Debian como parte de su mezcla de sistemas operativos. Mientras que livepatch ayudó a soportar sus cargas de trabajo de Ubuntu, los servidores Debian de la Universidad se quedaron sin solución. La búsqueda continuó hasta que los esfuerzos de investigación del equipo dieron sus frutos y dieron con el servicio KernelCare Enterprise.

Implantación perfecta y satisfactoria

Empezar a utilizar KernelCare Enterprise fue muy sencillo. De hecho, las tarifas de suscripción al producto eran tan asequibles y el potencial de lo que podía ofrecer tan alto que el equipo se registró en una cuenta de prueba de inmediato; ni siquiera esperaron a la aprobación de los fondos, pagando la licencia inicial con una cuenta personal de PayPal.

KernelCare Enterprise demostró rápidamente su potencia. Los servidores que ejecutan KernelCare Enterprise se actualizan continuamente con los últimos parches del núcleo de Linux, sin necesidad de reiniciar después de cada actualización. El equipo de CARNet no tardó en darse cuenta de que el despliegue del producto en todo su parque tecnológico iba a cambiar las reglas del juego.

La integración de KernelCare Enterprise también fue sencilla. Todo lo que hizo falta fue ejecutar un script, un proceso que puede automatizarse en grandes flotas de servidores. Esencialmente, tras un breve periodo de prueba y con solo pulsar un interruptor, el equipo lo activó en todo su entorno de servidores.

Curiosamente, rápidamente surgió un punto. El equipo se sorprendió al descubrir que sus servidores Debian Jessie "totalmente parcheados" tenían 91 vulnerabilidades. Afortunadamente, esto se solucionó rápidamente y sin esfuerzo con KernelCare Enterprise.

Éxito en la aplicación de parches con KernelCare Enterprise

Gracias a KernelCare Enterprise, el éxito de la aplicación de parches fue un proceso realmente sencillo para el equipo de CARNet: no hubo ningún fallo, desde las pruebas hasta el despliegue. Rápidamente quedó claro que las ventajas de implantar KernelCare Enterprise frente a no utilizar parches de kernel en vivo superaban con creces los costes relativamente mínimos de suscribirse a KernelCare Enterprise.

Escribir largos correos de disculpa que los usuarios no técnicos no entenderían de todos modos pasó a ser cosa del pasado, y ya no hubo necesidad de establecer complicados procesos de actualización, ni trastornos para los usuarios.

El equipo de CarNET elogió la asistencia recibida de TuxCare, que responde a las solicitudes de asistencia en decenas de minutos y resuelve los problemas en cuestión de horas. Según Mirsad, "El equipo de asistencia de TuxCare se ha mostrado muy abierto a sugerencias para mejorar un servicio ya de por sí excelente, y me siento casi como parte del equipo de desarrolladores."

Ahora, tras dos años trabajando con TuxCare y la solución KernelCare Enterprise, Mirsad afirma que: "a día de hoy, no veo ninguna alternativa al producto a ese nivel de precio y fiabilidad, y vamos a seguir con la solución KernelCare Enterprise".