Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

El futuro de la ejecución segura de código: adopción de enfoques colaborativos de eBPF

David Lenrow
Líder técnico, Exploración de tecnología
Illumio Editorial
9de enero de 2025
23 min. leer

En ciberseguridad, siempre estamos buscando formas estables y confiables de ejecutar código. Herramientas como eBPF (Berkeley Packet Filter extendido) y tecnologías especializadas de sandboxing se convirtieron en soluciones clave.

Sin embargo, dos eventos en el verano de 2024 destacan tanto las fortalezas como las debilidades de estas herramientas.

  • Junio de 2024: Un error en el verificador de código mejorado de Berkely Packet Filter (eBPF) permitió que el controlador de Linux para un importante proveedor de EDR (detección y respuesta de puntos finales) bloqueara el kernel de Linux, causando una interrupción importante entre sus clientes de Linux.  
  • Julio de 2024: Un error en el entorno de ejecución de código seguro de cosecha propia de ese mismo proveedor permitió que una actualización bloqueara el kernel e hiciera que el sistema no pudiera arrancar. Esto llevó a una interrupción aún más dañina y altamente publicitada para sus clientes de Windows.  

Estos dos incidentes muestran dos formas diferentes de realizar actualizaciones de sistemas de bajo nivel en sistemas en tiempo real, y por qué deberíamos preferir un enfoque unificado y abierto para mantener segura la ejecución del código.

Equilibrar las actualizaciones rápidas de código con la estabilidad del sistema

En el panorama actual de amenazas en rápido movimiento, es crucial enviar rápidamente actualizaciones a las herramientas de seguridad para detener las amenazas antes de que causen problemas. Estas actualizaciones deben llegar a todos los sistemas de seguridad en cuestión de minutos u horas. Los "sensores" EDR pueden ser parcheados en tiempo real de forma remota por su proveedor varias veces al día si las amenazas requieren tal volumen.  

Pero hay un equilibrio:  

  • El envío de actualizaciones a herramientas de seguridad que están estrechamente integradas con el sistema operativo a veces puede causar interrupciones importantes.  
  • Pero esperar demasiado tiempo para actualizar podría permitir que el malware se propague.  

La solución es encontrar una forma segura de mitigar rápidamente las vulnerabilidades en el código y definir dónde debe interactuar el código del sistema operativo con las herramientas de seguridad.

Soluciones seguras de ejecución de código: sandboxing avanzado frente a eBPF

Surgieron dos tecnologías para ayudar a garantizar que el código sea seguro y correcto antes de ejecutarlo:

Tecnologías especializadas de sandboxing  

El espacio aislado usa máquinas virtuales (VM) y comprobadores pequeños y enfocados para cerciorar de que solo se ejecuta código seguro y aprobado.  

Estas máquinas virtuales no son como los sistemas tradicionales basados en hipervisores que ejecutan sistemas operativos completos. En cambio, están diseñados para ejecutar programas de forma segura empleando un conjunto específico de instrucciones virtuales (como cómo funcionan las máquinas virtuales de Java o JavaScript, no VMware).  

El verificador es clave: verifica el código antes de ejecutarlo para cerciorar de que sea seguro y correcto. Este enfoque aísla las acciones potencialmente riesgosas, creando un espacio seguro para que se ejecute el código.

Los programas que se ejecutan en un sandbox son como programas de lenguaje ensamblador. Usan un conjunto pequeño y básico de instrucciones que pueden funcionar con la mayoría de los procesadores. Este diseño simple hace que el código sea eficiente y garantiza que pueda ejecutar de forma segura en el entorno sandbox o kernel.

eBPF

El filtro de paquetes Berkeley extendido adopta un enfoque más integrado, especialmente en sistemas Linux. Permite que el código se ejecute de forma segura dentro del kernel, lo que brinda una mejor visibilidad y control sin arriesgar la estabilidad del sistema.  

eBPF tiene un fuerte verificador incorporado que garantiza que el código sea seguro. Esto evita que se ejecute código con instrucciones no seguras y ofrece una forma más ágil y eficiente de ejecutar código.

Las interrupciones de TI de julio de 2024: lo que nos mostraron sobre la ejecución segura de código

Incluso con las protecciones implementadas, los eventos recientes mostraron debilidades en las herramientas de sandboxing y la tecnología eBPF.  

Es cierto que la interrupción de Linux ocurrió debido a un error en el verificador eBPF que provocó que el sistema operativo fallara. Esto demuestra que incluso las herramientas avanzadas como eBPF pueden tener problemas, por lo que es importante mantener alerta y seguir mejorándolas. Pero el resultado de arreglar el verificador eBPF tiene diferentes participaciones para el futuro porque es parte de una solución comunitaria.  

Cuando se encontró el error del verificador, la comunidad trabajó en conjunto rápidamente para solucionarlo. Este esfuerzo colectivo ayuda a mejorar el eBPF para todos y hace que sea menos probable que vuelvan a ocurrir problemas similares.

El incidente de la pantalla azul de la muerte (BSOD) en el entorno de Windows fue causado por errores de memoria. Estos errores provenían de tamaños de matriz no coincidentes en una herramienta especial de sandboxing y su sistema de verificación. Los esfuerzos para analizar y mitigar el incidente mostraron lo importante que es tener un proceso de verificación estable. Esto evitaría que las vulnerabilidades comprometan la estabilidad del sistema.  

A diferencia de eBPF, los sistemas patentados de VM y verificador de sandboxing funcionan en ecosistemas cerrados. Si bien pueden corregir errores identificados, esas mejoras solo ayudan a los usuarios de un solo proveedor. Esta forma de trabajar aislados ralentiza el intercambio de mejoras de seguridad y aumenta las posibilidades de que ocurran problemas similares en otros lugares.

Hacia un enfoque unificado: el caso del eBPF

Estos incidentes contrastantes muestran la importancia de usar un sistema abierto y compartido para ejecutar código seguro.  

El enfoque colaborativo de eBPF crea una base estable para mejorar las herramientas de seguridad en diferentes plataformas. Al usar una sola máquina virtual y un comprobador integrados en el sistema operativo, las organizaciones pueden evitar la creación de múltiples sistemas de bricolaje inconsistentes y potencialmente inseguros.

Un buen ejemplo de esta idea es el trabajo que se está realizando para llevar eBPF a Windows. Al agregar eBPF a su sistema operativo, las organizaciones pueden crear un entorno seguro y estandarizado para ejecutar herramientas de seguridad de bajo nivel. Este cambio no solo hace que el sistema operativo sea más seguro, sino que también promueve el uso del enfoque probado de eBPF en toda la industria.

Los esfuerzos para transformar los fundamentos de seguridad en múltiples sistemas operativos con una integración segura del kernel muestran el potencial de esta idea. Mediante el uso de las características de eBPF, estos proyectos tienen como objetivo construir un sistema más seguro y conectado para que las herramientas de seguridad funcionen en diferentes sistemas operativos.

Qué significa eBPF para el futuro de la ciberseguridad

Los problemas recientes con las herramientas de seguridad muestran cómo la adopción de eBPF podría beneficiar a la industria cibernética. Con su modelo abierto y colaborativo, las organizaciones podrían considerar los beneficios potenciales de integrar eBPF en sus soluciones.  

Al usar eBPF, la responsabilidad de los bloqueos del sistema, como los pánicos del kernel, pasaría al proveedor del sistema operativo. Están mejor equipados para manejar estos problemas y mantener el sistema seguro y estable.

Y al confiar en proveedores de sistemas operativos confiables para mantener seguro eBPF, las organizaciones pueden concentrar en proporcionar actualizaciones más rápidas y confiables a sus clientes. Este método respalda el objetivo de permitir mejoras rápidas sin sacrificar la seguridad.  

Aunque las pruebas cuidadosas antes de lanzar actualizaciones siguen siendo importantes, el uso de las funciones de seguridad integradas de eBPF puede reducir en gran medida la posibilidad de que ocurran problemas mientras el sistema está funcionando.

Adoptar la colaboración es el futuro de la ejecución segura de código

Los incidentes recientes que resultaron de problemas de ejecución de código muestran las complejidades de mantener entornos estables y confiables.  

Las máquinas virtuales y los verificadores de sandboxing patentados pueden brindar a las organizaciones más control y personalización, pero también las excluyen de mejoras de seguridad más amplias. Por otro lado, el enfoque abierto y colaborativo de eBPF crea un sistema más estable que permite la mejora constante y los beneficios de seguridad compartidos.

A medida que la industria evoluciona, el uso de modelos como eBPF que fomentan la colaboración y la estandarización puede ayudar a crear sistemas más fuertes y seguros. Las organizaciones pueden beneficiarse mucho de agregar eBPF a sus herramientas, empleando el conocimiento compartido de la comunidad para mejorar la seguridad.  

Con este espíritu de colaboración, el futuro de la ciberseguridad parece más brillante y seguro para todos.

Póngase en contacto con nosotros hoy para obtener más información sobre la plataforma de segmentación Illumio Zero Trust.

Temas relacionados

No items found.

Artículos relacionados

Fuera de la vista, fuera de la mente: los peligros de ignorar la visibilidad de la nube
Cyber Resilience

Fuera de la vista, fuera de la mente: los peligros de ignorar la visibilidad de la nube

Comprenda por qué los enfoques de visibilidad tradicionales ya no funcionan y cómo obtener una visibilidad completa de sus entornos híbridos y multinube.

Read more
Mucho más allá de la visibilidad: cómo Illumio Insights conecta sus puntos de seguridad críticos
Cyber Resilience

Mucho más allá de la visibilidad: cómo Illumio Insights conecta sus puntos de seguridad críticos

Descubra por qué la observabilidad es fundamental para comprender y reducir el riesgo cibernético.

Read more
El progreso de la confianza cero federal de este año fiscal: una sesión de preguntas frecuentes de expertos
Cyber Resilience

El progreso de la confianza cero federal de este año fiscal: una sesión de preguntas frecuentes de expertos

Obtenga información sobre el estado de Zero Trust en el gobierno, la transformación federal de Zero Trust de este año y cómo la tecnología de Zero Trust, como la microsegmentación, está modernizando la ciberseguridad federal.

Read more
Equilibrio entre la seguridad y la resiliencia operativa: la estrategia de Illumio para lanzamientos de software seguros y estables
PRODUCTOS ILLUMIO

Equilibrio entre la seguridad y la resiliencia operativa: la estrategia de Illumio para lanzamientos de software seguros y estables

Obtenga una descripción general de las decisiones de diseño que tomamos en la plataforma Illumio que lo ayudan a mantener seguro y reducir el efecto del peor de los casos.

Read more
Una guía para navegar por la sobrecarga de políticas en los sistemas distribuidos actuales
Cyber Resilience

Una guía para navegar por la sobrecarga de políticas en los sistemas distribuidos actuales

Explore los ocho tipos de políticas de sistemas distribuidos y descubra una hoja de ruta clara para comprender su infraestructura, seguridad y automatización

Read more
La evolución del diseño de sistemas: de interfaces de solo escritura a la automatización multinube
Cyber Resilience

La evolución del diseño de sistemas: de interfaces de solo escritura a la automatización multinube

Obtenga información sobre la evolución del diseño de sistemas y los sistemas distribuidos, y los desafíos y oportunidades que se avecinan.

Read more

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more