Sophos, een aanbieder van next-generation cybersecurity, kondigt de overname van Capsule8 aan. Dit is een pionier en marktleider op het gebied van runtime-zichtbaarheid, detectie en respons voor Linux-productieservers en containers die on-premise en cloud workloads omvatten. Capsule8, opgericht in 2016, was nog steeds in privéhanden en heeft zijn hoofdkantoor in New York.
“Sophos beschermt vandaag meer dan twee miljoen servers voor meer dan 85.000 klanten wereldwijd, en onze activiteiten op vlak van serverbeveiliging groeien met meer dan 20% per jaar”, zegt Dan Schiappa, chief product officer bij Sophos. “De uitgebreide bescherming van de server is een cruciaal onderdeel van elke efficiënte cyberbeveiligingsstrategie waar organisaties van elke omvang zich steeds meer op richten. Zeker omdat er nu meer workloads naar de cloud verhuizen. Dankzij Capsule8 levert Sophos nu geavanceerde en gespecifieerde oplossingen om serveromgevingen te beschermen. Sophos breidt zijn positie als toonaangevende wereldwijde cyberbeveiligingsleverancier verder uit.”
Capsule8 richt zich specifiek op de ontwikkeling van de security voor Linux en heeft in de markt zijn plaats verworven als een technologieleider en thought leader, met een markante stijging van het aantal klanten en omzet met 77% (tot 31 maart 2021). Dankzij de spectaculaire groei in cloudplatforms, is Linux het dominante besturingssysteem geworden voor serverworkloads. Het bijzondere ontwerp van Capsule8 (met focus op hoge prestaties en weinig belasting) is ideaal voor Linux-servers die met name gebruikt worden voor grootschalige workloads, productie-infrastructuur en het opslaan van kritieke bedrijfsgegevens.
“Het basisidee van Capsule8 is dat beveiliging op enterprise-niveau voor Linux-systemen vereist dat er componenten worden ingezet die specifiek voor die omgeving zijn ontworpen. Deze componenten zijn meer geschikt om de juiste afweging te maken tussen security en prestaties wanneer dat nodig is, en om de gewenste niveaus van herstelvermogen en bescherming te bereiken”, zegt Fernando Montenegro, principal research analist bij 451 Research, onderdeel van S&P Global Market Intelligence, over de oplossingen van Capsule81. “Naarmate organisaties steeds vaker concepten zoals cloudgebaseerde uitvoering en DevOps omarmen, verschuiven ook de onderliggende computeromgevingen opvallend meer in de richting van Linux als een veelvoorkomende werkomgeving. Voor beveiligingsteams, die vaak meer vertrouwd zijn met concepten voor Windows, betekent dit een potentiële uitdaging: er zijn voor Linux immers andere eisen, concepten en gewoontes. Dit is de ruimte die Capsule8 wil invullen met zijn endpoint-beveiligingsaanbod, door een architectuur die geoptimaliseerd is voor Linux te combineren met meer functionaliteiten die gericht zijn op enterprise security en IT-operations teams.”
Sophos integreert de Capsule8-technologie in zijn onlangs gelanceerde Adaptive Cybersecurity Ecosystem (ACE) en biedt krachtige en lichtgewicht Linux-server- en cloudcontainerbeveiliging binnen dit open platform. Sophos zal de Capsule8-technologie ook opnemen in zijn Extended Detection and Response (XDR)-oplossingen, zijn Intercept X-serverbeschermingsproducten en de Sophos Managed Threat Response (MTR)– en Rapid Response-diensten. Hierdoor zal het Sophos Data Lake verder uitbreiden en verbeteren waardoor het continu nieuwe informatie biedt voor geavanceerde threat hunting, security operations en methodes om klanten te beschermen.
“Capsule8 is het eerste speciaal gebouwde detectie- & responsplatform voor Linux. We bieden beveiligingsteams het cruciale inzicht dat ze nodig hebben om Linux-productie-infrastructuur te beschermen tegen ongewenst gedrag, terwijl we tegelijkertijd inspelen op de vragen over kosten, prestaties en betrouwbaarheid”, zegt John Viega, CEO van Capsule8. “We hebben nieuwe benaderingen uitgedokterd om de runtime-beveiliging op een veel veiligere en meer kostenefficiënte manier te leveren dan wie dan ook in de sector. Met de technologie van Capsule8 zijn organisaties niet langer genoodzaakt om te kiezen tussen systeemstabiliteit of beveiligingsrisico. Gezien de groei en bedrijfskritieke aard van Linux-omgevingen, in combinatie met een snel veranderend en doelgericht bedreigingslandschap, moeten organisaties erop kunnen vertrouwen dat hun Linux-omgevingen zowel performant als veilig zijn.”
Uit de threat intelligence rapporten van SophosLabs blijkt dat cybercriminelen tactieken, technieken en procedures (TTP’s) ontwikkelen die specifiek op Linux-systemen focussen, waarbij vaak serversoftware als een eerste toegangspunt wordt gebruikt. Eenmaal ze in de serveromgeving voet aan de grond hebben gekregen, zetten aanvallers vaak scripts in om verdere geautomatiseerde acties uit te voeren. Voorbeelden hiervan zijn onder meer:
- De sleutel(s) van het Secure Shell-protocol (SSH) ontrafelen om directe toegang te krijgen
- Bestaande beveiligingsdiensten trachten te verwijderen
- Mandatory Access Control (MAC)-frameworks, zoals AppArmor en SELinux, uitschakelen
- Serverfirewallregels aanpassen of uitschakelen
- Post-exploit malware en configuratiebestanden installeren
- Zijdelingse verplaatsingen in de bestaande infrastructuur met zogenaamde ‘living off the land’-tools, zoals SSH, Chef, Ansible, Salt en Puppet
Cybercriminelen gebruiken gecompromitteerde Linux-servers ook als botnets voor cryptomining of als high-end infrastructuur om aanvallen op andere platforms te lanceren, zoals het hosten van kwaadaardige websites of het verzenden van kwaadaardige e-mails. Aangezien Linux-servers vaak waardevolle data bevatten, viseren aanvallers ze ook als doelwit voor datadiefstal en ransomware-aanvallen.
“Hackers zijn tegenwoordig ongelooflijk agressief en slagvaardig omdat ze hun TTP’s aanpassen om zich te richten op de gemakkelijkste, grootste of snelst groeiende opportuniteiten. Ze hebben gemerkt dat steeds meer organisaties overstappen op Linux-servers, dus passen ze hun aanpak aan om deze systemen aan te vallen. Om hiertegen beschermd te blijven, moeten organisaties rekening houden met een sterke, maar lichtgewicht laag van Linux-beveiliging die automatisch integreert in de infrastructuur en informatie deelt met endpoint-, netwerk- en andere beveiligingslagen en -platforms binnen een omgeving”, aldus Schiappa. “We zullen deze toonaangevende capaciteit en strategisch belangrijke zichtbaarheid en detectie kunnen aanbieden door Capsule8 te combineren met onze Adaptive Cybersecurity Ecosystem-producten en -diensten. Hierdoor wordt de mogelijkheid om verdachte activiteiten te vinden en te elimineren voordat ze effectief schade kunnen toebrengen, sterk verbeterd.”
Sophos verwacht later in dit fiscale jaar te starten met early access-programma’s voor de producten en diensten die gebruikmaken van de Capsule8-technologie.