Cybersecurity-teams hebben veel eisen die strijden om beperkte middelen. Beperkte budgetten zijn een probleem, en beperkte personele middelen zijn ook een knelpunt. Ook moet de continuïteit van de bedrijfsvoering te allen tijde worden gewaarborgd. Het is een frustrerende mix van uitdagingen – met middelen achter taken zoals patchen die zelden voldoende zijn om te voldoen aan beveiligingsprerogatieven of nalevingsdeadlines.
De veelheid aan verschillende beveiligingsgerelateerde normen hebben altijd strikte deadlines, en het is vaak zo dat zakelijke behoeften niet noodzakelijkerwijs overeenkomen met die vereisten. De kern van wat TuxCare doet, is geautomatiseerde live-patching – een manier om kritieke services consequent te beschermen tegen beveiligingsrisico’s, zonder de noodzaak om aanzienlijke middelen te besteden om dit te doen, of de noodzaak om te leven met bedrijfsstoringen.
In dit artikel leggen we uit hoe: TuxCare helpt organisaties zoals die van u beter om te gaan met beveiligingsuitdagingen, waaronder patching, en de ondersteuning van besturingssystemen die aan het einde van hun levensduur zijn.
Het raadsel van het patchen
Enterprise Linux-gebruikers weten dat ze moeten patchen – patchen is zeer effectief in het dichten van mazen in de beveiliging, terwijl het ook een veelvoorkomende nalevingsvereiste is. Maar in de praktijk komt patching niet zo vaak of zo strak voor als zou moeten. Beperkte middelen zijn een beperking, maar patchen heeft ook zakelijke implicaties, wat kan leiden tot vertragingen bij het patchen.
Neem bijvoorbeeld het patchen van de kernel van een Linux-besturingssysteem. Meestal houdt dat in dat het besturingssysteem opnieuw moet worden opgestart, wat betekent dat de services die op het besturingssysteem worden uitgevoerd offline gaan, met voorspelbare bedrijfsonderbrekingen. Wat je ook probeert te patchen, het probleem blijft: het is onmogelijk om databases, gevirtualiseerde workloads, enzovoort offline te halen zonder dat iemand het merkt. De alternatieven zijn complexe oplossingen of het uitstellen van patches.
Risico’s van niet op tijd patchen
Maar zoals we allemaal weten, brengt het uitstellen van patches aanzienlijke risico’s met zich mee, waarvan er twee grote zijn. Ten eerste zijn er nalevingsvereisten die een maximale periode aangeven tussen het uitbrengen van een patch en het toepassen van die patch.
Organisaties die moeite hebben om de bedrijfsonderbreking van patching te overwinnen, lopen het risico het patchen uit te stellen in de mate dat ze workloads uitvoeren die in strijd zijn met de nalevingsregels zoals het recente CISA-mandaat. Dat betekent een risico op boetes of zelfs omzetverlies.
Zelfs volledig compatibele workloads laten echter een blootstellingsvenster achter – de tijd tussen het moment waarop criminele actoren het vermogen ontwikkelen om een kwetsbaarheid te misbruiken en het moment waarop deze wordt gepatcht.
Het geeft indringers de kans om uw systemen binnen te dringen en schade aan te richten. Vertraagde patching laat een langere periode achter, maar zelfs patching binnen compliance-regelgeving kan nog steeds leiden tot een zeer lange risicoperiode. Het is algemeen aanvaard dat 30 dagen tegenwoordig de gemeenschappelijke noemer is van de meest voorkomende cyberbeveiligingsnormen voor de “geaccepteerde” vertraging tussen het bekendmaken van kwetsbaarheden en patchen, maar dat is nog steeds een zeer groot risicovenster – u voldoet aan de nalevingsvereisten, maar zijn uw systemen wel echt veilig? Alleen als organisaties patchen zodra een patch wordt uitgebracht, wordt dit venster echt geminimaliseerd.
Hoewel het onmogelijk is om een venster waarin kwetsbaarheden kunnen worden misbruikt volledig te vermijden – de recente Log4j-kwetsbaarheid werd actief misbruikt ten minste een week voordat deze werd bekendgemaakt – het is nog steeds noodzakelijk om dit venster te minimaliseren.
Overbrug de patchkloof met TuxCare
TuxCare identificeerde een dringende noodzaak om het bedrijfsverstoringselement van patching te verwijderen. Ons oplossing voor live kernel-patching, dat voor het eerst werd uitgerold onder het merk KernelCare, stelt bedrijven zoals het uwe in staat om zelfs de meest kritieke workloads zonder onderbreking te patchen.
In plaats van de patch opnieuw op te starten en te hopen dat alles routinematig werkt, kunnen organisaties die de KernelCare-service gebruiken er zeker van zijn dat het patchen automatisch gebeurt en bijna zodra een patch wordt uitgebracht.
KernelCare pakt zowel compliance-problemen als bedreigingsvensters aan door live patching voor de Linux-kernel te bieden binnen enkele uren nadat een fix beschikbaar is, waardoor de blootstellingsperiode wordt verkort en aan de vereisten in compliance-normen wordt voldaan of deze worden overschreden.
De tijdsbestekken rond patchen zijn de afgelopen decennia consequent gekrompen, van vele maanden tot slechts 30 dagen om snel bewegende bedreigingen te bestrijden – KernelCare vernauwt het tijdsbestek tot een zo minimaal mogelijk venster.
KernelCare bereikt dit zonder de reguliere werking van servers en services te verstoren. Eindgebruikers zullen nooit beseffen dat de patch is geïmplementeerd. Het ene moment is een server kwetsbaar, en het volgende moment gewoon niet meer kwetsbaar.
Hoe zit het met het patchen van bibliotheken?
We hebben je daar ook gedekt, dankzij LibrayCare, TuxCare’s oplossing voor kritieke systeembibliotheken, die het patchen van andere kritieke componenten zoals glibc en OpenSSL omvat. Dat zijn fundamentele componenten van elk Linux-systeem die intensief worden gebruikt door externe ontwikkelaars voor het leveren van functionaliteit zoals IO of codering.
Bibliotheken zijn een prominent doelwit voor kwaadwillende actoren die voet aan de grond willen krijgen in een systeem. Alleen OpenSSL wordt geassocieerd met a lijst met honderden bekende kwetsbaarheden. Het ongelukkige neveneffect van het gebruik door andere applicaties is dat elke patch die op een bibliotheek wordt toegepast, bedrijfsverstorende downtime zal veroorzaken, net als kernelpatching.
Nogmaals, dat is de factor die het meest bijdraagt aan vertragingen bij de implementatie van patches – het onvermogen om patches te implementeren zonder de reguliere stroom van zakelijke activiteiten op getroffen systemen te beïnvloeden. Voor bibliotheken vereist het ook planning, goedkeuring en implementatie van onderhoudsvensters, een anachronisme in een moderne IT-omgeving. Dankzij live patching kan LibraryCare bibliotheken effectief patchen zonder dat er zelfs maar een enkele service opnieuw moet worden opgestart op andere applicaties.
Zorgen voor databasebeveiliging bij actieve, live databaseservices
Databases slaan de meest waardevolle activa op in het arsenaal van een bedrijf, zijn gegevens. Het veilig houden is van het grootste belang voor de bedrijfscontinuïteit en effectiviteit, en dit wordt gedekt door meerdere normen zoals de AVG, de CCPA en andere branchespecifieke normen in bijvoorbeeld de gezondheidszorg en financiën, die datalekken vertalen in zware, bedrijfsbedreigende boetes. Amazon meldde bijvoorbeeld: de grootste AVG-boete tot nu toe, met maar liefst 887 miljoen dollar aan waarde.
Gegevens moeten echter te allen tijde bereikbaar zijn, op straffe van opnieuw bedrijfsonderbreking als patching wordt geprobeerd. Om deze reden heeft het TuxCare-team de live patching-technologie uitgebreid om ook: databasesystemen zoals MariaDB, MySQL of PostgreSQL, de meest gebruikte open-source databasesystemen van vandaag.
Nu kunt u uw database-backend beveiligen tegen bekende kwetsbaarheden, met de tijdige implementatie van patches die niet langer weken of maanden van tevoren hoeven te worden gepland. Het helpt om transparant en zonder wrijving met andere gebruikers en systemen te voldoen aan de vereisten voor gegevensbeveiliging.
Virtualisatie is ook gedekt
Een ander TuxCare-product, QEMUcare, neemt de complexiteit weg van het patchen van virtualisatiehosts die afhankelijk zijn van QEMU. Voorafgaand aan live patching was het up-to-date krijgen van QEMU een taak die een uitgebreide migratie van virtuele machines rond nodes impliceerde, een complexe en foutgevoelige taak die de prestaties en bruikbaarheid van die virtuele machines zou beïnvloeden.
Patching had een aanzienlijke impact op de eindgebruikerservaring van virtuele tenants. QEMUcare lost dit op door QEMU live te patchen terwijl de virtuele machines probleemloos op het systeem draaien.
Traditioneel was de virtuele infrastructuur zo gepland dat er extra capaciteit beschikbaar was om een aantal nodes die voor onderhoud uitvielen te dekken, waardoor middelen werden verspild die er meestal alleen maar zouden zitten met zijn spreekwoordelijke IT-duimen.
Als u uw hosts niet meer hoeft uit te schakelen of virtuele machines niet meer hoeft te migreren, hoeft u geen extra hardware aan te schaffen om deze bewerkingen uit te voeren, waardoor u bespaart op apparatuur, elektriciteit, koeling en rekeningen voor leveranciersondersteuning. Uw systemen worden binnen zeer korte tijd gepatcht nadat patches beschikbaar zijn en uw infrastructuur is veiliger.
Legacy-systemen blijven niet achter
Bedrijven hebben vaak legacy-systemen die om de een of andere reden niet zijn of kunnen worden gemigreerd naar recentere besturingssystemen. Deze oudere systemen zullen uiteindelijk niet meer worden ondersteund, waardoor de algemeen genoemde “end-of-life” (EOL)-datum wordt overschreden.
Op dit moment zal de leverancier achter die systemen ze niet langer ondersteunen of patches voor opkomende bedreigingen leveren. Dat betekent dat organisaties die deze systemen gebruiken automatisch niet voldoen aan de nalevingsnormen, omdat u natuurlijk niet kunt patchen als u geen patches tot uw beschikking heeft.
Het in eigen beheer ontwikkelen van patches is een steile heuvel om te beklimmen. De hoeveelheid moeite die wordt gestoken in het ontwikkelen, testen, implementeren en onderhouden van patches wordt al snel overweldigend in iets anders dan de eenvoudigste situaties. Zelfs dan heb je niet het comfort van een toegewijd team van ontwikkelaars met de ervaring en expertise om je te helpen als er iets misgaat.
TuxCare heeft die ervaring, en onze Uitgebreide levenscyclusondersteuning (ELS) service is het resultaat. Het heeft jarenlang gebruikers van EOL Linux-distributies zoals CentOS 6, Oracle 6 en Ubuntu LTS geholpen. TuxCare backports relevante fixes voor de meest gebruikte systeemhulpprogramma’s en bibliotheken.
TuxCare biedt doorlopende dekking voor patchen
We voegen voortdurend EOL-systemen toe naarmate deze het einde van hun levensduur bereiken, met: CentOS 8 de nieuwste toevoeging aan de ondersteunde distributielijst, aangezien CentOS 8 EOL bereikte op 1 januari 2022.
Nu onze gevestigde live-patchservice ook wordt aangevuld met patching voor bibliotheken, virtualisatie en meer, biedt TuxCare een echt uitgebreide patchservice die de grote beveiligingslacunes opvult waarmee zoveel organisaties worstelen.
Dankzij live patching kunt u er nu zeker van zijn dat uw kritieke systemen zo snel mogelijk en met minimale verstoring worden beschermd tegen nieuw ontdekte exploits. Die krachtige combinatie geeft TuxCare live patching de kracht om een belangrijk wapen te zijn in je cyberbeveiligingsarsenaal.
