Sophos ha presentato alcune importanti novità per la sua soluzione Sophos Cloud Workload Protection, tra cui le funzionalità per la sicurezza dei container e degli host Linux.
Queste novità accelerano il rilevamento e la neutralizzazione degli attacchi in corso e degli incidenti di sicurezza riguardanti i sistemi operativi Linux, migliorano la gestione della sicurezza IT e ottimizzano le performance delle applicazioni.
Secondo una nuova ricerca svolta dai SophosLabs, i tool DDoS (Distributed Denial of Service), i miner di criptovalute e varie tipologie di backdoor sono le tre principali tipologie di minacce Linux rilevate da Sophos all’interno di un dataset che copre il periodo gennaio-marzo 2022.
I tool DDoS rappresentano quasi la metà di tutti i malware Linux intercettati in questo intervallo di tempo, probabilmente a causa degli attacchi automatizzati che cercano di reinfettare rapidamente e ripetutamente server aggiornati.
I SophosLabs hanno inoltre registrato un recente incremento nel numero di cybercriminali specializzati in ransomware che si affidano a tool rivolti contro gli hypervisor delle macchine virtuali, molte delle quali si trovano all’interno di ambienti Linux.
Come sottolineato in una nota ufficiale da Joe Levy, chief technology and product officer di Sophos: «La superficie degli ambienti Linux continua a crescere man mano che le aziende di tutto il mondo procedono alla migrazione di un numero crescente di workload verso il cloud. Anche se Linux è ampiamente considerato uno dei sistemi operativi più sicuri, esso non è scevro di rischi legati alle applicazioni e non è immune ai cyberattacchi. Gli autori degli attacchi colpiscono i container e gli host Linux perché sono di grande valore e, spesso, poco protetti. Sophos Cloud Workload Protection che automatizza e semplifica già la prevenzione e il rilevamento di questi attacchi sui sistemi Windows, adesso mette a disposizione le medesime funzionalità e capacità di osservazione anche sui sistemi operativi Linux».
Proteggere l’infrastruttura Linux
Grazie all’integrazione della tecnologia Capsule8, che Sophos ha acquisito nel luglio 2021, Sophos Cloud Workload Protection fornisce una efficace visibilità su container e host Linux residenti on-premise, in data center o nel cloud proteggendoli dalle cyberminacce avanzate.
La soluzione applica tecniche di analytics alle TTP (Tattiche, Tecniche e Procedure) alla base degli attacchi per rilevare le minacce presenti nel cloud come:
- Sconfinamento dai container: identifica gli attaccanti che provano a innalzare i privilegi di accesso per passare dai container agli host
- Cryptominer: rileva i comportamenti comunemente associati ai miner di criptovalute
- Distruzione di dati: avverte quando un attaccante potrebbe tentare di cancellare gli indicatori di compromissione che fanno parte di un’indagine in corso
- Exploit del kernel: evidenzia i tentativi di manomissione delle funzioni del kernel di un host
Una volta rilevate le minacce, Sophos XDR (extended detection and response) assegna un punteggio di rischio agli incidenti e fornisce dati contestuali che permettono agli analisti specializzati e al team Sophos Managed Threat Response di razionalizzare le indagini e concentrarsi sugli incidenti prioritari. Integrated Live Response apre quindi un terminale sicuro a riga di comando sull’host per la rapida neutralizzazione del problema.
Sophos Cloud Workload Protection si integra trasparentemente con Sophos Adaptive Cybersecurity Ecosystem, il pilastro dell’intero portafoglio di soluzioni Sophos.
Questo ecosistema smart unifica l’intera gamma di capacità della piattaforma Sophos per la sicurezza cloud-based comprendente Sophos Cloud Workload Protection, Sophos Cloud Security Posture Management, gestione della postura di sicurezza Kubernetes, scansione delle immagini dei container, scansione degli ambienti infrastructure-as-code, gestione delle assegnazioni dell’infrastruttura cloud e monitoraggio dei costi del cloud a garanzia di visibilità, sicurezza e conformità.
La soluzione Sophos Cloud Workload Protection è già disponibile con Sophos Intercept X Advanced for Server, con XDR e Sophos Managed Threat Response, ed è gestita all’interno della piattaforma cloud-native Sophos Central.
La soluzione può essere implementata sotto forma di singolo agent, ideale per i team responsabili delle operazioni di sicurezza, garantendo protezione flessibile e leggera con limiti di risorse ottimizzati senza bisogno di installare moduli del kernel.
Sophos Cloud Workload Protection sarà presto disponibile anche sotto forma di sensore Linux. Particolarmente adatto ai team SOC (Security Operations Center) e DevSecOps che hanno bisogno di insight approfonditi sui workload mission-critical a fronte di un minimo impatto prestazionale, il sensore Linux fornirà integrazione via API con le soluzioni esistenti per l’automazione, l’orchestrazione, la gestione dei log e la risposta agli incidenti.