Cloud Workload Protection dla kontenerów i systemu Linux
Firma Sophos rozbudowała rozwiązanie Cloud Workload Protection. Nowe funkcje bezpieczeństwa dla systemu Linux i kontenerów przyspieszają wykrywanie cyberzagrożeń oraz reagowanie na nie. Usprawniają też działanie chronionego środowiska IT i zwiększają wydajność aplikacji.
Linux także jest zagrożony
Badania przeprowadzone przez SophosLabs wskazują, że trzy główne zagrożenia dla systemu Linux to ataki DDoS, kryptominery i luki w zabezpieczeniach. Prawie połowę wszystkich wykrytych złośliwych aplikacji stanowią narzędzia do prowadzenia ataków DDoS – prawdopodobnie jest to spowodowane ich automatyzacją oraz wielokrotnymi próbami ponownego infekowania zaktualizowanych serwerów. Eksperci Sophos wykryli również wzrost liczby ataków ransomware wykorzystujących maszyny wirtualne, z których wiele działa w środowisku Linux.
– Linux jest powszechnie stosowany. Uważany jest za jeden z najbezpieczniejszych systemów operacyjnych, jednak nie oznacza to, że jest całkowicie odporny na ataki. Cyberprzestępcy za cel często obierają kontenery i hosty, które zazwyczaj są słabiej chronione. Dlatego Sophos rozszerzył funkcje automatyzujące wykrywanie ataków i zapobieganie im także na system operacyjny Linux. Dotychczas rozwiązanie Sophos Cloud Workload Protection przeznaczone było tylko dla stacji bazujących na systemie Windows – podkreśla Grzegorz Nocoń, inżynier systemowy w firmie Sophos.
Pełna widoczność zagrożeń w chmurze
Rozwiązanie Cloud Workload Protection wykorzystuje mechanizm stworzony przez firmę Capsule8, którą Sophos przejął w 2021 r. Dzięki temu zapewniona została pełna widzialność w ramach kontenerów i hostów systemu Linux – zarówno w firmowych centrach danych, jak i w chmurze. Korzystając z analizy taktyk, technik i procedur stosowanych przez atakujących, rozwiązanie chroni przed zaawansowanymi, bazującymi na chmurze cyberzagrożeniami, takimi jak:
– Opuszczanie kontenerów – identyfikuje ataki, w ramach których przestępcy zwiększają uprawnienia dostępu, aby przejąć kontrolę nad hostem kontenera.
– Kryptominery – wykrywa zachowania charakterystyczne dla złośliwych programów do zakamuflowanego kopania kryptowalut.
– Niszczenie danych – ostrzega, gdy atakujący może próbować usunąć ślady złośliwych działań, będące przedmiotem toczącego się dochodzenia.
– Luki jądra systemu operacyjnego – wskazuje, czy modyfikowane są wewnętrzne funkcje jądra systemu na serwerze.
Po wykryciu zagrożenia rozwiązanie Sophos XDR (eXtended Detection and Response) przypisuje danemu incydentowi ocenę ryzyka oraz dostarcza dane kontekstowe, które umożliwiają analitykom bezpieczeństwa lub zespołowi reagowania sprawne przeciwdziałanie atakom. Zintegrowana funkcja Live Response dodatkowo zapewnia bezpieczny, zdalny terminal wiesza poleceń między urządzeniem końcowym a konsolą zarządzania, w celu szybkiej neutralizacji zagrożenia. Cloud Workload Protection można zintegrować z pozostałymi rozwiązaniami Sophos w ramach ekosystemu Adaptive Cybersecurity (ACE), które zapewniają m.in. weryfikację strategii zabezpieczeń środowisk chmurowych, Kubernetes, skanowanie kontenerów, zarządzanie uprawnieniami czy monitorowanie wydatków związanych z chmurą publiczną.
Rozwiązanie jest już dostępne w pakiecie z produktami Sophos Intercept X Advanced dla serwerów, XDR oraz usługą Sophos Managed Threat Response. Można nim zarządzać w ramach chmurowej platformy Sophos Central. Cloud Workload Protection może być też wdrożony jako odrębne rozwiązanie, np. dla zespołów odpowiedzialnych za bezpieczeństwo IT.
Sophos Cloud Workload Protection wkrótce będzie również dostępny jako aplikacja dla systemu Linux, przeznaczona m.in. dla zespołów DevSecOps i Security Operations Center (SOC), które potrzebują pełnego wglądu w środowiska IT o krytycznym znaczeniu, z zagwarantowanym minimalnym wpływem na ich wydajność. Aplikacja zapewni integrację interfejsu API z istniejącymi rozwiązaniami do automatyzacji, orkiestracji, zarządzania logami i reagowania na incydenty.