Cyberdreigingen nemen toe en ook Linux-omgevingen worden steeds meer bedreigd. De fabrikant Capsule8 biedt geschikte beveiligingsoplossingen. De Protect-suite beschermt Linux-servers en cloudcontainers die on-premises, maar ook in de cloud worden aangeboden.
De beveiligingsspecialist Sophos zegt al meer dan twee miljoen servers te beschermen voor meer dan 85.000 klanten wereldwijd. Daarnaast groeit het bedrijf voor serverbeveiliging met meer dan 20 procent per jaar.
Om op dit succes voort te bouwen, heeft Sophos Capsule8 overgenomen. De Amerikaanse fabrikant is in 2016 opgericht in New York en is gespecialiseerd in transparantie en detectie en respons voor Linux-servers en containers. Haar Protect-Suite oplossing dekt zowel on-premises als cloudcapaciteiten.
De beveiligingsoplossing van Capsule8 is geschikt voor Linux-servers die worden gebruikt voor hooggeschaalde workloads, productie-infrastructuren en de opslag van bedrijfskritische gegevens.
“Caspule8 is het eerste speciaal gebouwde detectie- en responsplatform voor Linux. Wij bieden beveiligingsteams het inzicht dat ze nodig hebben om Linux-productie-infrastructuren te beschermen tegen ongewenste toegang, terwijl ze tegelijkertijd de kosten, prestaties en betrouwbaarheid in het oog houden”, aldus John Viega, CEO bij Capsule8.
De technologie van Capsule8 wordt al gebruikt in de service-oplossingen Sophos Extended Detection and Response (XDR), Intercept X Server Protection, Managed Threat Response (MTR) en Rapid Response. Daarnaast stelt de overname Sophos in staat zijn data lake verder uit te breiden, een voortdurend groeiende verzameling gegevens die de basis vormt voor threat hunting.
Volgens de dreigingsanalyses van SophosLabs ontwikkelen aanvallers speciale tactieken voor Linux-systemen. Zij gebruiken vaak serversoftware als het eerste toegangspunt. Zodra de aanvallers voet aan de grond hebben gekregen in het systeem, zetten zij meestal scripts in om verdere, geautomatiseerde acties uit te voeren. Deze omvatten:
- Het gebruik van Secure Shell Protocol (SSH)-sleutels, om directe toegang te krijgen
- Herstel bestaande beveiligingsdiensten
- Het uitschakelen van Mandatory Access Control (MAC)-frameworks zoals AppArmor en SELinux
- Het aanpassen of uitschakelen van serverfirewallregels
- Het installeren van post-exploit malware en configuratiebestanden
- Spionage met legitieme tools, die al in bestaande infrastructuur worden gebruikt (bijvoorbeeld SSH, Chef, Ansible, Salt of Puppet Moving)
Sophos is ook van plan om tijdens het lopende boekjaar early access-programma’s te lanceren voor producten en diensten die gebruikmaken van Capsule8-technologieën.