Sécurisation des données de recherche confidentielles grâce aux correctifs en direct de TuxCare

Le réseau académique et de recherche croate (CARNet) de l'université de Zagreb était confronté à une menace importante : comme d'autres établissements d'enseignement, ses réseaux faisaient l'objet d'attaques constantes de la part de cybercriminels. Mais le seul moyen évident de sécuriser les opérations - l'application régulière de correctifs - était difficile à mettre en œuvre de manière cohérente.

Dans cette étude de cas, nous examinons comment Mirsad Todorovac, ingénieur système CARNet à l'université de Zagreb, a découvert KernelCare Enterprise et comment le produit - un service TuxCare - a aidé l'université à lutter contre les cybermenaces croissantes.

Les universités comme cibles

Les universités sont des cibles majeures pour les acteurs malveillants, qu'il s'agisse de criminels de droit commun ou d'agences d'État déterminées. Il y a plusieurs raisons à cela. Oui, comme toute autre organisation, les universités détiennent des données personnelles précieuses qui peuvent être utilisées à des fins criminelles.

Cependant, en tant qu'institutions de recherche, les universités traitent couramment des informations de recherche non publiques, et l'accès à ces informations peut être lourd de conséquences. Selon l'institution, il peut s'agir de secrets industriels étroitement conservés concernant de nouveaux produits, ou de recherches militaires classifiées. Les cybercriminels veulent accéder à ces données pour leur valeur économique - et parfois simplement pour faire de l'espionnage.

La cybersécurité est donc très importante pour les universités et ces institutions importantes sont confrontées aux mêmes problèmes de mise en œuvre des mesures de cybersécurité que les organisations commerciales. Par exemple, les systèmes informatiques des universités sont souvent très distribués et moins centralisés que ceux des entreprises, ce qui rend la coordination des politiques de cybersécurité beaucoup plus difficile.

Cela nous amène à Mirsad et à son équipe de CARNet, qui savaient que l'université de Zagreb était confrontée à d'importants risques juridiques, économiques, opérationnels et de réputation liés à la cybercriminalité. Une attaque réussie pourrait entraîner la perte des frais d'inscription des étudiants et dissuaderait les futurs partenaires de recherche et les financements.

Patching : plus facile à dire qu'à faire

Il est possible de sécuriser les actifs technologiques par de nombreux moyens : pare-feu, protection avancée contre les menaces, etc. Et il est vrai qu'une combinaison de moyens est essentielle pour assurer la protection contre les menaces. Néanmoins, l'un des moyens les plus efficaces de renforcer la sécurité consiste à appliquer des correctifs.

Mais dans la pratique, il n'est pas facile d'appliquer des correctifs à des charges de travail réelles. Pour l'équipe de CARNet, l'application des correctifs s'est également révélée être un défi, car l'équipe a trouvé que l'application des correctifs était perturbatrice et prenait beaucoup de temps. Peu d'organisations parviennent à appliquer les correctifs de manière cohérente.

L'un des plus grands défis est celui des ressources. En tant qu'ingénieur système chez CARNet, Mirsad était responsable de l'administration de plusieurs serveurs dans deux organisations, et ce nombre semblait croître rapidement.

Mirsad déclare que : "Les correctifs du noyau nécessaires pour corriger les vulnérabilités étaient un fardeau pour le personnel d'administration du système, en partie parce qu'ils entraînaient des temps d'arrêt indésirables." Soulignant un problème courant, le chef d'équipe a déclaré que les redémarrages nécessaires à l'installation d'une version corrigée du noyau étaient parfois reportés pendant une durée inacceptable.

Selon Mirsad, les retards dans l'application des correctifs "ont augmenté la fenêtre d'opportunité pour les malfaiteurs de déployer leurs stratagèmes".

A la recherche d'une solution de patching

La correction des vulnérabilités dès que possible est une bonne pratique et c'est sans doute l'une des meilleures choses que vous puissiez faire pour protéger votre infrastructure contre les failles de sécurité.

Mais comme l'explique Mirsad, la correction des vulnérabilités est souvent retardée en raison d'un manque de ressources et de la difficulté à trouver un accord sur la manière de procéder - tout en essayant de trouver le temps de mettre les actifs critiques hors ligne. C'est exactement ce qu'a vécu l'équipe de l'université de Zagreb.

Pour protéger l'infrastructure de l'université de Zagreb, Mirsad s'est mis à la recherche d'un outil d'automatisation des correctifs du noyau Linux. Ce voyage l'a d'abord conduit au service Ubuntu kernel livepatch. Précurseur de KernelCare Enterprise, ce service permet de patcher les serveurs Ubuntu à la volée, sans qu'il soit nécessaire de les redémarrer.

Cependant, le livepatch d'Ubuntu ne prenait pas en charge les serveurs en dehors de l'écosystème Ubuntu, ce qui signifiait qu'il ne s'agissait pas d'une solution universelle, étant donné que l'équipe de Mirsad s'appuyait sur des machines Debian dans le cadre de son mélange de systèmes d'exploitation. Si livepatch a permis de prendre en charge les charges de travail Ubuntu, les serveurs Debian de l'université sont restés sans solution. La recherche s'est poursuivie jusqu'à ce que les efforts de recherche de l'équipe portent leurs fruits et qu'ils tombent sur le service KernelCare Enterprise.

Une mise en œuvre transparente et réussie

L'utilisation de KernelCare Enterprise a été simple. En fait, les frais d'abonnement au produit étaient si abordables et le potentiel de ce dernier si élevé que l'équipe s'est immédiatement inscrite pour un compte d'essai - elle n'a même pas attendu l'approbation des fonds, payant les frais de licence initiaux à partir d'un compte PayPal personnel.

KernelCare Enterprise a rapidement démontré sa puissance. Les serveurs qui utilisent KernelCare Enterprise sont continuellement mis à jour avec les derniers correctifs du noyau Linux, et il n'est pas nécessaire de redémarrer après chaque mise à jour. L'équipe de CARNet n'a pas eu besoin de beaucoup de temps pour comprendre que le déploiement du produit dans l'ensemble de son parc technologique allait changer la donne.

L'intégration de KernelCare Enterprise a également été simple. Il a suffi d'exécuter un script - un processus qui peut être automatisé pour les grands parcs de serveurs. Après une brève période d'essai et d'une simple pression sur un bouton, l'équipe a activé KernelCare Enterprise sur l'ensemble de son environnement de serveurs.

Il est intéressant de noter qu'un point a rapidement été soulevé. L'équipe a été surprise de découvrir que ses serveurs Debian Jessie "entièrement patchés" présentaient 91 vulnérabilités. Heureusement, ces vulnérabilités ont été corrigées rapidement et sans effort grâce à KernelCare Enterprise.

Succès des correctifs avec KernelCare Enterprise

Grâce à KernelCare Enterprise, il a été très simple pour l'équipe de CARNet de réussir à appliquer les correctifs - il n'y a eu aucun problème, depuis les tests jusqu'au déploiement. Il est rapidement apparu que les avantages du déploiement de KernelCare Enterprise par rapport à la non-utilisation du live kernel patching dépassaient largement les coûts relativement minimes de l'abonnement à KernelCare Enterprise.

La rédaction de longs courriels d'excuses que les utilisateurs non techniques n'auraient de toute façon pas compris est devenue une chose du passé, et il n'a plus été nécessaire de mettre en place des processus de mise à niveau compliqués - et aucune perturbation pour les utilisateurs.

L'équipe de CarNET a fait l'éloge du support reçu de TuxCare - TuxCare répondant aux demandes de support en quelques dizaines de minutes et résolvant les problèmes en quelques heures. Selon Mirsad, "l'équipe d'assistance de TuxCare s'est montrée très ouverte aux suggestions visant à améliorer un service déjà excellent, et j'ai l'impression de faire partie de l'équipe de développeurs".

Aujourd'hui, après deux ans d'utilisation de TuxCare et de la solution KernelCare Enterprise, Mirsad déclare : "Pour l'instant, je ne vois pas d'alternative au produit à ce niveau de prix et de fiabilité : "Aujourd'hui, je ne vois pas d'alternative au produit à ce niveau de prix et de fiabilité, et nous allons nous en tenir à la solution KernelCare Enterprise".