A kiberbiztonság szakértő Sophos bejelentette, hogy felvásárolta az úttörő szerepet betöltő Capsule8-et, mely piacvezető a Linux szerverekhez és containerekhez kapcsolódó runtime visibility, illetve felismerés és elhárítás terén, mely lefedi a helyi és a felhőszervereket is. A 2016-ban alapított Capsule8 magántulajdonban van, központja pedig New Yorkban található.
"A Sophos világszerte már több, mint 85 ezer ügyfél kétmillió szerverét védi, és a cég szerverbiztonsági ágazata több, mint 20 százalékkal nő évente." mondta Dan Schiappa, a Sophos vezető termékmenedzsere. "Az átfogó szervervédelem alapvető része bármely digitális biztonsági stratégiának, melyre mérettől függetlenül egyre inkább koncentrálnak a szervezetek, különösen amiatt, mert a munka egyre nagyobb része megy végbe a felhőben. A Capsule8-tel a Sophos fejlett, differenciált megoldásokat nyújt a szerverkörnyezetek védelmére és tovább erősíti pozícióját vezető globális kiberbiztonsági szolgáltatóként."
A Capsule8 kizárólagosan a Linux biztonsági fejlesztésére dedikálta magát és technológia-szellemi vezető szerepet szerzett a piacon komoly ügyfelek megnyerésével és 2021. március 31-ig az évi számlázás 77 százalékos növekedésével. A felhőplatformok drámai terjedése miatt a Linux a szerverek domináns operációs rendszerévé vált. A Capsule8 nagy teljesítményű, kis erőforrásigényű dizájnja ideális a Linux szerverek részére - legfőképpen azok számára, melyekre nagymértékű munkaterhelés hárul, illetve amelyek termelési infrastruktúráért vagy kritikus üzleti adatok tárolásáért felelnek.
"A Capsule8 mögött rejlő fő gondolat az, hogy a Linux-rendszerek vállalati szintű védelmének biztosításához olyan komponenseket kell telepíteni, melyeket specifikusan ahhoz a környezethez terveztek. Ezek a komponensek hatékonyabbak a biztonság és teljesítmény közötti kompromisszumok megkötésében, hogy elérjék a kívánt szintű ellenálló képességet és védelmet." mondta Fernando Montenegro, az S&P Global Market Intelligence részét képező 451 Research vezető kutató analitikusa a Capsule8 megoldásai kapcsán. "Ahogy a szervezetek lassan implementálják az olyan koncepciókat, mint például a felhő-alapú működés vagy a DevOps, az alapul szolgáló IT platformok észrevehetően a Linux, mint gyakori végrehajtási környezet irányába mozdulnak el. A gyakran inkább Windows-központú módszerek terén jártasabb biztonsági csapatok számára ez potenciális kihívást jelent - mások az elvárások, a koncepciók és a módszerek a Linux esetében. Ez az a terület, amely kapcsán a Capsule8 segítséget nyújt végponti biztonsági megoldásával, mely kombinálja a Linuxra optimalizált architektúrát a vállalati biztonsági és IT műveleti csapatoknak szánt bővebb funkciókkal."
A Sophos a Capsule8 technológiáját a nemrég elindított adaptív kiberbiztonsági ökoszisztémájába integrálja (*Adaptive Cybersecurity Ecosystem, ACE), így e nyílt platform keretében erőteljes és erőforráshatékony Linux szerver és cloud containter biztonságot nyújt. A Sophos a Capture8 technológiáját az Extended Detection and Response (XDR) megoldásaiban, Intercept X szervervédelmi termékeiben és Sophos Managed Threat Response, illetve Rapid Response szolgáltatásaiban is használni fogja. Ez tovább fogja bővíteni, fejleszteni a Sophos adattárát és folyamatos, friss információkat biztosít a fejlett fenyegetés-vadászathoz, biztonsági műveletekhez és az ügyfeleket védő gyakorlatokhoz.
"A Capsule8 az első, konkrétan felismerés és elhárítás céljából létrehozott platform Linuxra. A biztonsági csapatok számára azt a kulcsfontosságú átláthatóságot biztosítjuk, melyre szükségük van a Linux termelési infrastruktúrák védelméhez a támadások ellen, miközben a fenntartási költségek, erőforrások és megbízhatóság témakörét is kezeljük." mondta John Viega, a Capsule8 CEO-ja.
"Új megközelítéseket hoztunk létre, hogy futásidejű védelmet nyújtsunk biztonságosabb és költséghatékonyabb módon, mint bárki az iparágból. A Capsule8 technológiájával a szervezetek nincsenek többé rákényszerítve arra, hogy a rendszer stabilitása és biztonsági kockázatok közül kelljen választani. A Linux környezetek terjedéséből és kritikus fontosságú természetükből fakadóan, illetve a gyorsan változó, célzott fenyegetésekben gazdag támadási lehetőségek miatt a szervezeknek biztosnak kell lenni abban, hogy Linux környezeteik jól teljesítenek és biztonságosak."
A SophosLabs fenyegetésekkel kapcsolatos információi rámutatnak arra, hogy a támadók olyan taktikákat, technikákat és procedúrákat (TTP-ket) terveznek, melyek konkrétan Linux rendszereket céloznak és a szerverszoftvert gyakran kezdő behatolási pontként használják ki. Miután megvetették a lábukat a támadók általában további automatikus műveleteket végrehajtó szkripteket telepítenek. Ezek közé tartoznak:
- Secure Shell protokoll (SSH) kulcsok kezelése a közvetlen hozzáférés megszerzéséhez
- a meglévő biztonsági szolgáltatások eltávolításának megkísérlése,
- az elrendelő hozzáférés-kezelési (Mandatory Access Control, MAC) frameworkök deaktivitálása, mint például az AppArmor vagy SELinux,
- a szerver tűzfalszabályainak átkonfigurálása vagy deaktiválása (iptables),
- post-exploit malware és konfigurációs fájlok telepítése,
- a létező infrastruktúrán keresztül történő laterális mozgás olyan meglévő eszközök felhasználásával, mint például az SSH, Chef, Ansible, Salt és a Puppet
A támadók a feltört Linux szervereket kriptobányász botnetekként vagy más platformokat célzó támadások indítására szolgáló magasszintű infrastruktúraként használják, például ártalmas weboldalak hosztolására vagy káros emailek küldésére. Mivel a Linux szerverek gyakran értékes adatokat tárolnak, adatlopás vagy ransomware fertőzés céljából is támadják őket.
"Napjaink támadói hihetetlenül agresszívek és gyorsak a TTP-ik adaptálásában, hogy a legkönnyebb, legnagyobb és leggyorsabban növekvő lehetőségekre fókuszáljanak. Nekik is feltűnt, hogy egyre több szervezet vált Linux szerverekre, és adaptálják, illetve testreszabják a megközelítéseiket ezen rendszerek megtámadása céljából. Hogy védettek maradjanak, a szervezeteknek egy erőteljes, ám erőforrás-hatékony Linux biztonsági réteggel kell számolniuk, amely automatikusan integrálja és osztja meg az adatokat az endpointtal, hálózattal és más biztonsági rétegekkel, illetve platformokkal a teljes hálózaton belül." mondta Schiappa. "Ezt az iparágvezető képességet, továbbá stratégiailag fontos átláthatóságot és észlelést fogjuk biztosítani a Capsule8 és az adaptív kiberbiztonsági ökoszisztémánk termékeinek, illetve szolgáltatásainak kombinálásával. Ezzel jelentősen kiterjesztjük a képességeinket, hogy megtaláljuk és elimináljuk a gyanús tevékenységeket mielőtt azok károssá válnának."
A Sophos úgy tervezi, hogy korai hozzáféréses programokat indít a Capsule8 technológiáját használó termékeivel és szolgáltatásaival ezen pénzügyi év egy későbbi részében.
