Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Resiliência cibernética

O futuro da execução segura de código: adotando abordagens colaborativas de eBPF

David Lenrow
,
Líder técnico, exploração de tecnologia
January 9, 2025
23 leitura mínima

Na cibersegurança, estamos sempre procurando maneiras robustas e confiáveis de executar código. Ferramentas como o eBPF (filtro de pacotes estendido de Berkeley) e tecnologias especializadas de sandboxing se tornaram soluções essenciais.

No entanto, dois eventos no verão de 2024 destacam os pontos fortes e fracos dessas ferramentas.

  • Junho de 2024: Um bug no verificador de código aprimorado do Berkely Packet Filter (eBPF) permitiu que o driver Linux de um grande fornecedor de EDR (detecção e resposta de terminais) travasse o kernel Linux, causando uma grande interrupção entre seus clientes Linux.
  • Julho de 2024: Um bug no ambiente de execução segura de código desenvolvido internamente pelo mesmo fornecedor permitiu que uma atualização travasse o kernel e tornasse o sistema não inicializável. Isso levou a uma interrupção ainda mais prejudicial e altamente divulgada para seus clientes do Windows.

Esses dois incidentes mostram duas maneiras diferentes de fazer atualizações de sistema de baixo nível em sistemas ativos e por que devemos preferir uma abordagem unificada e aberta para manter a execução do código segura.

Equilibrando atualizações rápidas de código com estabilidade do sistema

No cenário atual de ameaças em rápida evolução, é crucial enviar rapidamente atualizações às ferramentas de segurança para impedir as ameaças antes que elas causem problemas. Essas atualizações precisam chegar a todos os sistemas de segurança em minutos ou horas. Os “sensores” de EDR podem ser corrigidos remotamente ao vivo pelo seu fornecedor várias vezes ao dia se as ameaças exigirem esse volume.

Mas há um equilíbrio:

  • Às vezes, o envio de atualizações para ferramentas de segurança estreitamente integradas ao sistema operacional pode causar grandes interrupções.
  • Mas esperar muito tempo para atualizar pode permitir que o malware se espalhe.

A solução é encontrar uma maneira segura de mitigar rapidamente as vulnerabilidades no código e definir onde o código do sistema operacional deve interagir com as ferramentas de segurança.

Soluções seguras de execução de código: sandboxing avançado versus eBPF

Duas tecnologias surgiram para ajudar a garantir que o código esteja seguro e correto antes da execução:

Tecnologias especializadas de sandboxing

O sandboxing usa máquinas virtuais (VMs) e verificadores pequenos e focados para garantir que somente códigos seguros e aprovados sejam executados.

Essas VMs não são como os sistemas tradicionais baseados em hipervisor que executam sistemas operacionais completos. Em vez disso, eles são criados para executar programas com segurança usando um conjunto específico de instruções virtuais (como a forma como as VMs Java ou JavaScript funcionam, não o VMware).

O verificador é fundamental — ele verifica o código antes de ser executado para se certificar de que está seguro e correto. Essa abordagem isola ações potencialmente arriscadas, criando um espaço seguro para a execução do código.

Os programas executados em uma sandbox são como programas em linguagem de montagem. Eles usam um conjunto de instruções pequeno e básico que pode funcionar com a maioria dos processadores. Esse design simples torna o código eficiente e garante que ele possa ser executado com segurança no ambiente sandbox ou kernel.

eBPF

O filtro de pacotes estendido de Berkeley adota uma abordagem mais integrada, especialmente em sistemas Linux. Ele permite que o código seja executado com segurança dentro do kernel, oferecendo melhor visibilidade e controle sem arriscar a estabilidade do sistema.

O eBPF tem um forte verificador embutido que garante que o código seja seguro. Isso evita que código com instruções não seguras seja executado e oferece uma maneira mais simplificada e eficiente de executar código.

As interrupções de TI de julho de 2024: o que elas nos ensinaram sobre execução segura de código

Mesmo com as proteções implementadas, eventos recentes mostraram fraquezas nas ferramentas de sandboxing e na tecnologia eBPF.

É verdade que a interrupção do Linux aconteceu devido a um bug no verificador eBPF que causou a falha do sistema operacional. Isso mostra que mesmo ferramentas avançadas como o eBPF podem ter problemas, tornando importante ficar alerta e continuar aprimorando-as. Mas o resultado da correção do verificador eBPF tem implicações diferentes para o futuro porque faz parte de uma solução comunitária.

Quando o bug do verificador foi encontrado, a comunidade trabalhou em conjunto rapidamente para corrigi-lo. Esse esforço coletivo ajuda a melhorar o eBPF para todos e torna menos provável que problemas semelhantes aconteçam novamente.

O incidente do Blue Screen of Death (BSOD) no ambiente Windows foi causado por erros de memória. Esses erros vieram de tamanhos de matriz incompatíveis em uma ferramenta especial de sandboxing e seu sistema de verificação. Os esforços para analisar e mitigar o incidente mostraram a importância de ter um forte processo de verificação. Isso evitaria que as vulnerabilidades comprometessem a estabilidade do sistema.

Ao contrário do eBPF, os sistemas proprietários de VMs e verificadores de sandbox funcionam em ecossistemas fechados. Embora possam corrigir os bugs identificados, essas melhorias só ajudam os usuários de um único fornecedor. Essa forma isolada de trabalhar retarda o compartilhamento de melhorias de segurança e aumenta as chances de problemas semelhantes acontecerem em outros lugares.

Rumo a uma abordagem unificada: o caso do eBPF

Esses incidentes contrastantes mostram a importância de usar um sistema aberto e compartilhado para executar código seguro.

A abordagem colaborativa do eBPF cria uma base sólida para melhorar as ferramentas de segurança em diferentes plataformas. Ao usar uma única VM e um verificador integrados ao sistema operacional, as organizações podem evitar a criação de vários sistemas do tipo “faça você mesmo” inconsistentes e potencialmente inseguros.

Um bom exemplo dessa ideia é o trabalho que está sendo feito para trazer o eBPF para o Windows. Ao adicionar o eBPF ao sistema operacional, as organizações podem criar um ambiente seguro e padronizado para executar ferramentas de segurança de baixo nível. Essa mudança não apenas torna o sistema operacional mais seguro, mas também promove o uso da abordagem comprovada do eBPF em todo o setor.

Os esforços para transformar as bases de segurança em vários sistemas operacionais com integração segura do kernel mostram o potencial dessa ideia. Usando os recursos do eBPF, esses projetos visam construir um sistema mais seguro e conectado para que as ferramentas de segurança funcionem em diferentes sistemas operacionais.

O que o eBPF significa para o futuro da cibersegurança

Problemas recentes com ferramentas de segurança mostram como a adoção do eBPF pode beneficiar o setor cibernético. Com seu modelo aberto e colaborativo, as organizações podem considerar os benefícios potenciais da integração do eBPF em suas soluções.

Ao usar o eBPF, a responsabilidade pelas falhas do sistema, como os pânicos do kernel, passaria para o provedor do sistema operacional. Eles estão mais bem equipados para lidar com esses problemas e manter o sistema seguro e estável.

E ao confiar em fornecedores confiáveis de sistemas operacionais para manter o eBPF seguro, as organizações podem se concentrar em fornecer atualizações mais rápidas e confiáveis para seus clientes. Esse método suporta a meta de permitir melhorias rápidas sem sacrificar a segurança.

Embora um teste cuidadoso antes de iniciar as atualizações ainda seja importante, o uso dos recursos de segurança integrados do eBPF pode diminuir muito a chance de problemas acontecerem enquanto o sistema está em execução.

Adotar a colaboração é o futuro da execução segura de código

Incidentes recentes que resultaram de problemas de execução de código mostram as complexidades de manter ambientes robustos e confiáveis.

VMs e verificadores proprietários de sandbox podem oferecer às organizações mais controle e personalização, mas também as impedem de melhorias de segurança mais amplas. Por outro lado, a abordagem aberta e colaborativa do eBPF cria um sistema mais forte que permite melhorias constantes e benefícios de segurança compartilhados.

À medida que o setor evolui, o uso de modelos como o eBPF, que incentivam a colaboração e a padronização, pode ajudar a criar sistemas mais fortes e seguros. As organizações podem se beneficiar muito com a adição do eBPF às suas ferramentas, usando o conhecimento compartilhado da comunidade para melhorar a segurança.

Com esse espírito de colaboração, o futuro da cibersegurança parece mais promissor e seguro para todos.

Entre em contato conosco hoje para saber mais sobre a plataforma de segmentação Illumio Zero Trust.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

O braço longo do escritório de advocacia e o futuro da segurança cibernética
Resiliência cibernética

O braço longo do escritório de advocacia e o futuro da segurança cibernética

Para um profissional de segurança em um escritório de advocacia, você deve fazer duas coisas: (1) proteger os dados do seu escritório e (2) fazer isso sem interromper o trabalho diário dos sócios e associados do escritório.

Leia mais
Cargas úteis e beacons de malware: técnicas para mitigar o impacto
Resiliência cibernética

Cargas úteis e beacons de malware: técnicas para mitigar o impacto

Na parte final desta série, nos concentramos em algumas das técnicas de ofuscação usadas para disfarçar cargas úteis de malware e examinamos as técnicas de mitigação que as organizações podem empregar.

Leia mais
Explorando o uso da funcionalidade NGFW em um ambiente de microssegmentação
Resiliência cibernética

Explorando o uso da funcionalidade NGFW em um ambiente de microssegmentação

Saiba mais sobre a pesquisa da Illumio sobre as possibilidades de implementar recursos NGFW em um ambiente de microssegmentação.

Leia mais
Equilibrando segurança e resiliência operacional: a estratégia da Illumio para lançamentos de software seguros e estáveis
Produtos Illumio

Equilibrando segurança e resiliência operacional: a estratégia da Illumio para lançamentos de software seguros e estáveis

Obtenha uma visão geral das escolhas de design que fizemos na plataforma Illumio que ajudam a manter você seguro e, ao mesmo tempo, reduzir o efeito do pior cenário possível.

Leia mais
Um guia para lidar com a sobrecarga de políticas nos sistemas distribuídos atuais
Resiliência cibernética

Um guia para lidar com a sobrecarga de políticas nos sistemas distribuídos atuais

Explore os oito tipos de políticas de sistemas distribuídos e descubra um roteiro claro para entender sua infraestrutura, segurança e automação

Leia mais
A evolução do design de sistemas: de interfaces somente de gravação à automação multinuvem
Resiliência cibernética

A evolução do design de sistemas: de interfaces somente de gravação à automação multinuvem

Obtenha informações sobre a evolução do design de sistemas e dos sistemas distribuídos — e os desafios e oportunidades que estão por vir.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais