Sophos neemt Capsule8 over

Sophos, een aanbieder van next-gene­ra­tion cyber­se­cu­rity, kondigt de overname van Capsule8 aan. Dit is een pionier en markt­leider op het gebied van runtime-zicht­baar­heid, detectie en respons voor Linux-produc­tie­ser­vers en contai­ners die on-premise en cloud workloads omvatten. Capsule8, opgericht in 2016, was nog steeds in privé­handen en heeft zijn hoofd­kan­toor in New York.

“Sophos beschermt vandaag meer dan twee miljoen servers voor meer dan 85.000 klanten wereld­wijd, en onze acti­vi­teiten op vlak van server­be­vei­li­ging groeien met meer dan 20% per jaar”, zegt Dan Schiappa, chief product officer bij Sophos. “De uitge­breide bescher­ming van de server is een cruciaal onderdeel van elke effi­ci­ënte cyber­be­vei­li­gings­stra­tegie waar orga­ni­sa­ties van elke omvang zich steeds meer op richten. Zeker omdat er nu meer workloads naar de cloud verhuizen. Dankzij Capsule8 levert Sophos nu geavan­ceerde en gespe­ci­fi­eerde oplos­singen om serve­r­om­ge­vingen te beschermen. Sophos breidt zijn positie als toon­aan­ge­vende wereld­wijde cyber­be­vei­li­gings­le­ve­ran­cier verder uit.”

Capsule8 richt zich specifiek op de ontwik­ke­ling van de security voor Linux en heeft in de markt zijn plaats verworven als een tech­no­lo­gie­leider en thought leader, met een markante stijging van het aantal klanten en omzet met 77% (tot 31 maart 2021). Dankzij de spec­ta­cu­laire groei in cloud­plat­forms, is Linux het dominante bestu­rings­sys­teem geworden voor server­wor­kloads. Het bijzon­dere ontwerp van Capsule8 (met focus op hoge pres­ta­ties en weinig belasting) is ideaal voor Linux-servers die met name gebruikt worden voor groot­scha­lige workloads, productie-infra­struc­tuur en het opslaan van kritieke bedrijfsgegevens.

“Het basisidee van Capsule8 is dat bevei­li­ging op enter­prise-niveau voor Linux-systemen vereist dat er compo­nenten worden ingezet die specifiek voor die omgeving zijn ontworpen. Deze compo­nenten zijn meer geschikt om de juiste afweging te maken tussen security en pres­ta­ties wanneer dat nodig is, en om de gewenste niveaus van herstel­ver­mogen en bescher­ming te bereiken”, zegt Fernando Montenegro, principal research analist bij 451 Research, onderdeel van S&P Global Market Intel­li­gence, over de oplos­singen van Capsule81. “Naarmate orga­ni­sa­ties steeds vaker concepten zoals cloud­ge­ba­seerde uitvoe­ring en DevOps omarmen, verschuiven ook de onder­lig­gende compu­ter­om­ge­vingen opvallend meer in de richting van Linux als een veel­voor­ko­mende werk­om­ge­ving. Voor bevei­li­gings­teams, die vaak meer vertrouwd zijn met concepten voor Windows, betekent dit een poten­tiële uitdaging: er zijn voor Linux immers andere eisen, concepten en gewoontes. Dit is de ruimte die Capsule8 wil invullen met zijn endpoint-bevei­li­gings­aanbod, door een archi­tec­tuur die geop­ti­ma­li­seerd is voor Linux te combi­neren met meer func­ti­o­na­li­teiten die gericht zijn op enter­prise security en IT-opera­tions teams.”

Sophos inte­greert de Capsule8-tech­no­logie in zijn onlangs gelan­ceerde Adaptive Cyber­se­cu­rity Ecosystem (ACE) en biedt krachtige en licht­ge­wicht Linux-server- en cloud­con­tai­ner­be­vei­li­ging binnen dit open platform. Sophos zal de Capsule8-tech­no­logie ook opnemen in zijn Extended Detection and Response (XDR)-oplos­singen, zijn Intercept X-server­be­scher­mings­pro­ducten en de Sophos Managed Threat Response (MTR)- en Rapid Response-diensten. Hierdoor zal het Sophos Data Lake verder uitbreiden en verbe­teren waardoor het continu nieuwe infor­matie biedt voor geavan­ceerde threat hunting, security opera­tions en methodes om klanten te beschermen.

“Capsule8 is het eerste speciaal gebouwde detectie- & respons­plat­form voor Linux. We bieden bevei­li­gings­teams het cruciale inzicht dat ze nodig hebben om Linux-productie-infra­struc­tuur te beschermen tegen ongewenst gedrag, terwijl we tege­lij­ker­tijd inspelen op de vragen over kosten, pres­ta­ties en betrouw­baar­heid”, zegt John Viega, CEO van Capsule8. “We hebben nieuwe bena­de­ringen uitge­dok­terd om de runtime-bevei­li­ging op een veel veiligere en meer kosten­ef­fi­ci­ënte manier te leveren dan wie dan ook in de sector. Met de tech­no­logie van Capsule8 zijn orga­ni­sa­ties niet langer genood­zaakt om te kiezen tussen systeem­sta­bi­li­teit of bevei­li­gings­ri­sico. Gezien de groei en bedrijfs­kri­tieke aard van Linux-omge­vingen, in combi­natie met een snel veran­de­rend en doel­ge­richt bedrei­gings­land­schap, moeten orga­ni­sa­ties erop kunnen vertrouwen dat hun Linux-omge­vingen zowel perfor­mant als veilig zijn.”

Uit de threat intel­li­gence rapporten van SophosLabs blijkt dat cyber­cri­mi­nelen tactieken, tech­nieken en proce­dures (TTP’s) ontwik­kelen die specifiek op Linux-systemen focussen, waarbij vaak server­soft­ware als een eerste toegangs­punt wordt gebruikt. Eenmaal ze in de serve­r­om­ge­ving voet aan de grond hebben gekregen, zetten aanval­lers vaak scripts in om verdere geau­to­ma­ti­seerde acties uit te voeren. Voor­beelden hiervan zijn onder meer:

• De sleutel(s) van het Secure Shell-protocol (SSH) ontra­felen om directe toegang te krijgen
• Bestaande bevei­li­gings­dien­sten trachten te verwijderen
• Mandatory Access Control (MAC)-frameworks, zoals AppArmor en SELinux, uitschakelen
• Server­fire­wall­re­gels aanpassen of uitschakelen
• Post-exploit malware en confi­gu­ra­tie­be­standen installeren
• Zijde­lingse verplaat­singen in de bestaande infra­struc­tuur met zoge­naamde ‘living off the land’-tools, zoals SSH, Chef, Ansible, Salt en Puppet

Cyber­cri­mi­nelen gebruiken gecom­pro­mit­teerde Linux-servers ook als botnets voor cryp­to­mi­ning of als high-end infra­struc­tuur om aanvallen op andere platforms te lanceren, zoals het hosten van kwaad­aar­dige websites of het verzenden van kwaad­aar­dige e‑mails. Aangezien Linux-servers vaak waar­de­volle data bevatten, viseren aanval­lers ze ook als doelwit voor data­dief­stal en ransomware-aanvallen.

“Hackers zijn tegen­woordig onge­loof­lijk agressief en slag­vaardig omdat ze hun TTP’s aanpassen om zich te richten op de gemak­ke­lijkste, grootste of snelst groeiende oppor­tu­ni­teiten. Ze hebben gemerkt dat steeds meer orga­ni­sa­ties over­stappen op Linux-servers, dus passen ze hun aanpak aan om deze systemen aan te vallen. Om hiertegen beschermd te blijven, moeten orga­ni­sa­ties rekening houden met een sterke, maar licht­ge­wicht laag van Linux-bevei­li­ging die auto­ma­tisch inte­greert in de infra­struc­tuur en infor­matie deelt met endpoint‑, netwerk- en andere bevei­li­ging­slagen en ‑platforms binnen een omgeving”, aldus Schiappa. “We zullen deze toon­aan­ge­vende capa­ci­teit en stra­te­gisch belang­rijke zicht­baar­heid en detectie kunnen aanbieden door Capsule8 te combi­neren met onze Adaptive Cyber­se­cu­rity Ecosystem-producten en ‑diensten. Hierdoor wordt de moge­lijk­heid om verdachte acti­vi­teiten te vinden en te elimi­neren voordat ze effectief schade kunnen toebrengen, sterk verbeterd.”

Sophos verwacht later in dit fiscale jaar te starten met early access-programma’s voor de producten en diensten die gebruik­maken van de Capsule8-technologie.