Sophos, specialista globale nella sicurezza informatica di ultima generazione, ha annunciato oggi di aver acquisito Capsule8, pioniere e leader di mercato nell’ambito delle soluzioni per la visibilità, il rilevamento e la risposta runtime per server e container Linux sia on-premise che in cloud. Fondata nel 2016, Capsule8 è una società con sede a New York.
“Sophos protegge già più di due milioni di server e oltre 85.000 clienti in tutto il mondo e in questo ambito il nostro business è cresciuto di oltre il 20% all’anno” ha affermato Dan Schiappa, chief product officer, Sophos. “La protezione completa del server è una componente cruciale per qualsiasi strategia di sicurezza informatica davvero efficace per aziende di ogni dimensione, consce della sua importanza soprattutto nel momento in cui un numero sempre maggiore di workload si sposta nel cloud. Con Capsule8, Sophos offrirà soluzioni avanzate e differenziate atte a proteggere gli ambienti server e potenzia la propria posizione di fornitore leader di sicurezza informatica globale”.
Capsule8 si dedica esclusivamente allo sviluppo della sicurezza di Linux e si è affermato come leader e punto di riferimento nel mercato, con una crescita del fatturato del 77% nell’anno fiscale concluso il 31 marzo 2021. Spinto dalla sensibile crescita delle piattaforme cloud, Linux è diventato il sistema operativo dominante per i workload dei server. La soluzione progettata per alte prestazioni a basso impatto di Capsule8 è ideale per i server Linux, in particolare quelli utilizzati per workload su larga scala, infrastrutture di produzione e archiviazione di dati aziendali critici.
“Capsule8 basa la propria proposta sul concetto che per fornire sicurezza di livello enterprise adatta ai sistemi Linux sia necessaria l’implementazione di componenti progettati specificamente per quell’ambiente. Questi componenti sono in grado di realizzare compromessi tra sicurezza e prestazioni quando necessario in modo più agile, al fine di raggiungere i livelli desiderati di resilienza e protezione”, ha affermato Fernando Montenegro, principal reserarch analyst di 451 Research, parte di S&P Global Market Intelligence, in riferimento alle soluzioni di Capsule8. “Mentre le aziende si muovono verso concetti come la distribuzione di servizi basata su cloud e DevOps”, gli ambienti di elaborazione sottostanti si spostano notevolmente verso Linux come ambiente di esecuzione frequente. Per i team di sicurezza, che spesso hanno più familiarità con i concetti incentrati su Windows, ciò rappresenta una potenziale sfida: esistono richieste, concetti e pratiche diverse per Linux. Questo è lo spazio dove Capsule8 si posiziona con la sua offerta di sicurezza degli endpoint, combinando un’architettura ottimizzata per Linux con più funzionalità rivolte alla sicurezza aziendale e ai team operativi IT”.
Sophos sta integrando la tecnologia Capsule8 nel suo Adaptive Cybersecurity Ecosystem (ACE), lanciato di recente, fornendo una soluzione di sicurezza per server Linux e per i container Cloud potente e leggera da inserire in questa piattaforma open.
Sophos includerà anche la tecnologia Capsule8 nelle sue soluzioni Extended Detection and Response (XDR), nei prodotti per la protezione dei server Intercept X e nei servizi Sophos Managed Threat Response (MTR) e Rapid Response. Ciò amplierà e migliorerà ulteriormente il data lake di Sophos e fornirà informazioni continue e aggiornate per la ricerca avanzata delle minacce, le operazioni di sicurezza e le pratiche di protezione dei clienti.
“Capsule8 è la prima piattaforma di rilevamento e risposta appositamente creata per Linux. Forniamo ai team di sicurezza la visibilità cruciale di cui hanno bisogno per proteggere l’infrastruttura di produzione Linux da comportamenti indesiderati, affrontando allo stesso tempo problemi di costi, prestazioni e affidabilità”, ha affermato John Viega, CEO, Capsule8. “Abbiamo sviluppato nuovi approcci per fornire sicurezza runtime in un modo molto più sicuro ed economicamente efficiente di chiunque altro nel settore. Con la tecnologia Capsule8, le aziende non sono più costrette a scegliere tra stabilità del sistema e rischio per la sicurezza. Data la crescita e la natura mission-critical degli ambienti Linux e il panorama delle minacce mirate in rapida evoluzione, le aziende devono essere sicure che i loro ambienti Linux siano sia performanti che sicuri”.
Le informazioni sulle minacce di SophosLabs rivelano che gli autori dei cyberattacchi stanno mettendo a punto tattiche, tecniche e procedure (TTP) mirate per i sistemi Linux, spesso sfruttando il software del server come punto di ingresso iniziale. Dopo essersi infiltrati, gli aggressori di solito distribuiscono script per eseguire ulteriori azioni automatizzate, tra cui:
• Eliminare le chiavi del protocollo Secure Shell (SSH) per ottenere l’accesso diretto
• Tentare di rimuovere i servizi di sicurezza esistenti
• Disabilitare i framework di controllo degli accessi obbligatori (MAC), come AppArmor e SELinux
• Modificare o disabilitare le regole del firewall del server (iptables)
• Installare malware e file di configurazione post-exploit
• Muoversi lateralmente tramite l’infrastruttura esistente con strumenti presenti su questi ambienti
“I cybercriminali utilizzano server Linux compromessi come botnet per ricavare cryptovaluta o come infrastruttura di fascia alta per lanciare attacchi su altre piattaforme, come l’hosting di siti Web dannosi o l’invio di e-mail malevoli. Dato che i server Linux spesso contengono dati preziosi, gli aggressori li prendono di mira anche per furto di dati e ransomware. Oggi gli autori dei cyberattacchi sono straordinariamente aggressivi e agili poiché adattano i loro TTP allo scopo di concentrarsi sulle opportunità più facili, più grandi o in più rapida crescita. Inoltre, hanno ormai capito che sempre più aziende passano ai server Linux, e di conseguenza stanno adattando e personalizzando i loro approcci al fine di colpire proprio questi sistemi. Per mantenere alti livelli di protezione, le aziende devono prevedere un livello di sicurezza Linux efficace ma leggero che integri e condivida automaticamente l’intelligence con endpoint, network e con altri livelli e piattaforme di sicurezza al proprio interno” ha affermato Schiappa. “Forniremo questa capacità di visibilità e rilevamento, fondamentale per un leader di settore e strategicamente importante, combinando Capsule8 con i nostri prodotti e servizi che compongono il nostro Adaptive Cybersecurity Ecosystem, migliorando notevolmente la capacità di trovare ed eliminare attività sospette prima che diventino dannose”.
Sophos prevede di avviare degli early access programs per far provare i prodotti e servizi che sfruttano la tecnologia Capsule8 entro la fine dell’anno fiscale.