Sophos anunció la adquisición de Capsule8, especializada en visibilidad, detección y respuesta en tiempo real para servidores de Linux que cubren las instalaciones y cargas de trabajo en la nube. Fundada en 2016, Capsule8 es una empresa privada que tiene su sede en Nueva York.
“La protección integral del servidor es un componente crucial de cualquier estrategia de ciberseguridad eficaz en la que las organizaciones de todos los tamaños se centran cada vez más, especialmente a medida que más cargas de trabajo se trasladan a la nube. Con Capsule8, Sophos podrá ofrecer soluciones avanzadas para proteger los entornos de servidor”, dijo Dan Schiappa, Chief Product Officer (CPO) de Sophos.
Capsule8 se dedica exclusivamente al desarrollo de ciberseguridad de Linux. Impulsado por el dramático crecimiento de las plataformas en la nube, Linux se ha convertido en el sistema operativo dominante para cargas de trabajo de servidor. El diseño de alto rendimiento y bajo impacto de la empresa es ideal para servidores Linux, especialmente aquellos que se utilizan para cargas de trabajo a gran escala, infraestructura de producción y almacenamiento de datos comerciales críticos.
«La idea principal detrás de Capsule8 radica en que proporcionar seguridad de nivel empresarial para sistemas Linux requiere la implementación de componentes diseñados específicamente para ese entorno», dijo Fernando Montenegro, analista principal de investigación de 451 Research. “A medida que las organizaciones adoptan modelos cada vez más basados en la nube, los entornos informáticos están migrando hacia Linux para su ejecución. Para los equipos de seguridad, a menudo más familiarizados con los conceptos centrados en Windows, esto representa un desafío potencial. Este es el espacio que se pretende abordar, combinando una arquitectura optimizada para Linux con más funciones destinadas a la seguridad empresarial y los equipos de operaciones de TI».
Sophos está integrando la tecnología de Capsule8 en su Ecosistema de Ciberseguridad Adaptable (ACE) recientemente lanzado, lo que proporciona una seguridad para servidores Linux y contenedores en la nube dentro de esta plataforma abierta.
Sophos también incluirá dicha tecnología en sus soluciones Extended Detection and Response (XDR); los productos de protección de servidor Intercept X; los servicios de Sophos Managed Threat Response (MTR) y Rapid Response. Esto ampliará aún más el lago de datos de Sophos, ofreciendo así inteligencia continua para la búsqueda de amenazas avanzadas, las operaciones de seguridad y las prácticas de protección del cliente.
La inteligencia de amenazas de Sophos Labs revela que los adversarios están diseñando tácticas, técnicas y procedimientos (TTP) dirigidos específicamente a los sistemas Linux, a menudo explotando el software del servidor como un punto de entrada inicial. Después de hacerse un hueco, los atacantes suelen desplegar scripts para realizar más acciones automatizadas como:
- Descartar las claves del protocolo Secure Shell (SSH) para obtener acceso directo
- Intentar eliminar los servicios de seguridad existentes
- Deshabilitar marcos de control de acceso obligatorio (MAC), como AppArmor y SELinux
- Ajustar o deshabilitar las reglas de firewall del servidor
- Instalación de archivos de configuración y malware posterior al exploit
- Moverse lateralmente a través de la infraestructura existente con herramientas como SSH, Chef, Ansible, Salt y Puppet
Los cibercriminales utilizan servidores Linux comprometidos como botnets de criptominería o como una infraestructura de alto nivel para lanzar ataques hacia otras plataformas, alojar sitios web maliciosos o enviar correos electrónicos apócrifos. Dado que los servidores Linux a menudo contienen datos valiosos, los atacantes también los atacan para el robo de información y ransomware.
Sophos espera comenzar con los programas de acceso a sus productos y servicios aprovechando la tecnología Capsule8 a finales de este año fiscal.