Sophos ha adquirido Capsule8, compañía pionera en visibilidad, detección y respuesta en tiempo real para servidores Linux tanto en implantaciones on premise como para las cargas de trabajo en la nube. Fundada en 2016, Capsule8 es una empresa privada que tiene su sede en Nueva York.
Capsule8 se dedica exclusivamente al desarrollo de ciberseguridad de Linux contando con un crecimiento de facturación del 77% tras el cierre del último año fiscal, que concluyó el 31 de marzo de 2021. Impulsado por el drástico crecimiento de las plataformas en la nube, Linux se ha convertido en el sistema operativo dominante para cargas de trabajo de servidor. El diseño de alto rendimiento y bajo impacto de Capsule8 es ideal para servidores Linux, especialmente aquellos que se utilizan para cargas de trabajo a gran escala, infraestructura de producción y almacenamiento de datos comerciales críticos.
Sophos está integrando la tecnología de Capsule8 en su Ecosistema de Ciberseguridad Adaptativo (ACE) recientemente lanzado, lo que proporciona una seguridad potente y liviana para servidores Linux y contenedores cloud dentro de esta plataforma abierta. Sophos también incluirá dicha tecnología en sus soluciones Extended Detection and Response (XDR); los productos de protección de Intercept X para servidores; los servicios de Sophos Managed Threat Response (MTR) y Rapid Response. Esto ampliará el data lake de Sophos, ofreciendo así inteligencia continua para la búsqueda de amenazas avanzadas, las operaciones de seguridad y las prácticas de protección del cliente.
La inteligencia de amenazas de Sophos Labs revela que los adversarios están diseñando tácticas, técnicas y procedimientos (TTP) dirigidos específicamente a los sistemas Linux, a menudo explotando el software del servidor como un punto de entrada inicial. Después de hacerse un hueco, los atacantes suelen desplegar scripts para realizar más acciones automatizadas como:
- Borrar las claves del protocolo Secure Shell (SSH) para obtener acceso directo
- Intentar eliminar los servicios de seguridad existentes
- Deshabilitar marcos de control de acceso obligatorio (MAC), como AppArmor y SELinux
- Ajustar o deshabilitar las reglas de firewall del servidor
- Instalar archivos de configuración y malware posterior al exploit
- Moverse lateralmente a través de la infraestructura existente con herramientas como SSH, Chef, Ansible, Salt y Puppet
Los cibercriminales utilizan servidores Linux comprometidos como botnets de criptominería o como una infraestructura de alto nivel para lanzar ataques contra otras plataformas, alojar sitios web maliciosos o enviar correos electrónicos maliciosos. Dado que los servidores Linux a menudo contienen datos valiosos, los cibercriminales también los atacan para el robo de información y ransomware.
Sophos espera comenzar con los programas de acceso a sus productos y servicios aprovechando la tecnología Capsule8 a principios del año que viene.
