La empresa Sophos, líder en ciberseguridad, ha anunciado la compra de la compañía Capsule8, empresa especializada en visibilidad, detección y respuesta en tiempo real para servidores Linux.

“Sophos ya protege a más de dos millones de servidores en más de 85.000 clientes en todo el mundo, y el negocio de seguridad de servidores de Sophos está creciendo más del 20% anual”, afirma Dan Schiappa, Chief Product Officer (CPO) de Sophos. “La protección integral del servidor es un componente crucial de cualquier estrategia de ciberseguridad eficaz en la que las organizaciones de todos los tamaños se centran cada vez más, especialmente a medida que más cargas de trabajo se trasladan a la nube. Con Capsule8, Sophos ofrece soluciones avanzadas para proteger los entornos de servidor y amplía su posición como proveedor líder de ciberseguridad a nivel mundial”.

Capsule8 se dedica exclusivamente al desarrollo de ciberseguridad de Linux y se ha establecido como un líder tecnológico en el mercado, contando con clientes destacados y un crecimiento de facturación del 77% tras el cierre del último año fiscal, que concluyó el 31 de marzo de 2021. Impulsado por el drástico crecimiento de las plataformas en la nube, Linux se ha convertido en el sistema operativo dominante para cargas de trabajo de servidor. El diseño de alto rendimiento y bajo impacto de Capsule8 es ideal para servidores Linux, especialmente aquellos que se utilizan para cargas de trabajo a gran escala, infraestructura de producción y almacenamiento de datos comerciales críticos.

«La idea principal detrás de Capsule8 radica en que proporcionar seguridad de nivel empresarial para sistemas Linux requiere la implementación de componentes diseñados específicamente para ese entorno», explica Fernando Montenegro, analista principal de investigación de 451 Research. “A medida que las organizaciones adoptan modelos cada vez más basados en la nube, los entornos informáticos están migrando hacia Linux como un entorno de ejecución habitual. Para los equipos de seguridad, a menudo más familiarizados con los conceptos centrados en Windows, esto representa un desafío potencial, dado que Linux conlleva demandas, conceptos y prácticas diferentes. Este es el espacio que Capsule8 pretende abordar con su oferta de seguridad, combinando una arquitectura optimizada para Linux con más funciones destinadas a la seguridad empresarial y los equipos de operaciones de TI».

Sophos está integrando la tecnología de Capsule8 en su Ecosistema de Ciberseguridad Adaptativo (ACE) recientemente lanzado, lo que proporciona una seguridad potente y liviana para servidores Linux y contenedores cloud dentro de esta plataforma abierta. Sophos también incluirá dicha tecnología en sus soluciones Extended Detection and Response (XDR); los productos de protección de Intercept X para servidores; los servicios de Sophos Managed Threat Response (MTR) y Rapid Response. Esto ampliará aún más el Data Lake de Sophos, ofreciendo así inteligencia continua para la búsqueda de amenazas avanzadas, las operaciones de seguridad y las prácticas de protección del cliente.

“Capsule8 es la principal plataforma de respuesta y detección especialmente diseñada para Linux. Brindamos a los equipos de seguridad la visibilidad que necesitan para proteger la infraestructura de producción de Linux contra comportamientos no deseados, mientras que al mismo tiempo abordamos los problemas de costes, rendimiento y fiabilidad”, comenta John Viega, CEO de Capsule8. “Con esta tecnología las empresas ya no están obligadas a elegir entre la estabilidad del sistema y el nivel de seguridad apropiado. Dado el crecimiento y la naturaleza de misión crítica de los entornos Linux, y el panorama de amenazas dirigidas que cambia rápidamente, las organizaciones deben estar seguras de que sus entornos Linux son eficaces y seguros».

La inteligencia de amenazas de Sophos Labs revela que los adversarios están diseñando tácticas, técnicas y procedimientos (TTP) dirigidos específicamente a los sistemas Linux, a menudo explotando el software del servidor como un punto de entrada inicial. Después de hacerse un hueco, los atacantes suelen desplegar scripts para realizar más acciones automatizadas como:

  • Borrar las claves del protocolo Secure Shell (SSH) para obtener acceso directo
  • Intentar eliminar los servicios de seguridad existentes
  • Deshabilitar marcos de control de acceso obligatorio (MAC), como AppArmor y SELinux
  • Ajustar o deshabilitar las reglas de firewall del servidor
  • Instalar archivos de configuración y malware posterior al exploit
  • Moverse lateralmente a través de la infraestructura existente con herramientas como SSH, Chef, Ansible, Salt y Puppet

Los cibercriminales utilizan servidores Linux comprometidos como botnets de criptominería o como una infraestructura de alto nivel para lanzar ataques contra otras plataformas, alojar sitios web maliciosos o enviar correos electrónicos maliciosos. Dado que los servidores Linux a menudo contienen datos valiosos, los cibercriminales también los atacan para el robo de información y ransomware.