Las ciberamenazas crecen y los entornos Linux también están cada vez más amenazados. El fabricante Capsule8 ofrece soluciones de seguridad adecuadas. La suite Protect protege los servidores Linux y los contenedores en la nube que se proporcionan en las instalaciones, pero también en la nube.
El especialista en seguridad Sophos afirma que ya protege más de dos millones de servidores para más de 85.000 clientes en todo el mundo. Además, el negocio de seguridad de servidores está creciendo más de un 20% al año.
Para aprovechar este éxito, Sophos ha adquirido Capsule8. El fabricante estadounidense fue fundado en Nueva York en 2016 y está especializado en transparencia y detección y respuesta para servidores y contenedores Linux. Su solución Protect-Suite cubre tanto las capacidades locales como las de la nube.
La solución de seguridad de Capsule8 es adecuada para los servidores Linux utilizados para las cargas de trabajo de gran escala, las infraestructuras de producción y el almacenamiento de datos empresariales críticos.
"Caspule8 es la primera plataforma de detección y respuesta creada específicamente para Linux. Proporcionamos a los equipos de seguridad la visibilidad que necesitan para proteger las infraestructuras de producción de Linux de accesos no deseados, sin perder de vista el coste, el rendimiento y la fiabilidad", dijo John Viega, director general de Capsule8.
La tecnología de Capsule8 ya se utiliza en las soluciones de servicios Sophos Extended Detection and Response (XDR), Intercept X Server Protection, Managed Threat Response (MTR) y Rapid Response. Además, la adquisición permitirá a Sophos ampliar aún más su lago de datos, que es una colección de datos en constante crecimiento que constituye la base para la caza de amenazas.
Según los análisis de amenazas de SophosLabs, los atacantes desarrollan tácticas especiales para los sistemas Linux. Suelen utilizar el software del servidor como primer punto de entrada. Una vez que los atacantes se han afianzado en el sistema, suelen desplegar scripts para realizar otras acciones automatizadas. Entre ellas se encuentran:
- Preparación de claves del protocolo Secure Shell (SSH), para obtener acceso directo
- Eliminar los servicios de seguridad existentes
- Desactivar los marcos de control de acceso obligatorio (MAC), como AppArmor y SELinux
- Ajustar o desactivar las reglas del cortafuegos del servidor
- Instalar malware y archivos de configuración posteriores a la explotación
Espiar con herramientas legítimas, que ya se utiliza en la infraestructura existente (por ejemplo, SSH, Chef, Ansible, Salt o Puppet Moving)
Sophos también tiene previsto lanzar programas de acceso temprano para productos y servicios que utilicen las tecnologías de Capsule8 durante el presente ejercicio.