Attacchi DDoS (Distributed Denial of Service), i miner di criptovalute e varie tipologie di backdoor sono le principali minacce di cui dovrebbero preoccuparsi le aziende che utilizzano host con sistema operativo Linux, secondo quanto emerso da statistiche di Sophos relative al trimestre di gennaio-marzo 2022. In particolare, gli strumenti dediti al lancio di DDoS rappresentano quasi la metà di tutti i malware Linux intercettati nell’intervallo di tempo considerato, un dato che è tanto alto probabilmente a causa degli attacchi automatizzati che cercano di infettare più volte, rapidamente e ripetutamente, i server.
E proprio da Sophos arrivano ora alcune novità tese a proteggere gli host Linux e le applicazioni racchiuse nei container (tecnologia che ha proprio in Linux il suo ambiente di elezione). La nuova soluzione Cloud Workload Protection include funzionalità per la sicurezza dei container e degli host Linux, che permettono di ottenere tre risultati: accelerare i tempi di scoperta e di reazione dagli attacchi o incidenti in corso; migliorare la gestione della sicurezza IT; e infine ottimizzare le performance delle applicazioni.
Grazie all'integrazione della tecnologia Capsule8, società acquisita nel 2021, Sophos Cloud Workload Protection può offrire visibilità su container e host Linux residenti on-premise, in data center o nel cloud. La soluzione applica tecniche di analytics alle Ttp (tattiche, tecniche e procedure) alla base degli attacchi per rilevare le minacce presenti nel cloud, come per esempio lo sconfinamento dai container (quando gli autori dell’attacco provano a innalzare i privilegi di accesso per passare dai container agli host), i cryptominer, i tentativi di distruzione delle tracce di un attacco (a volte gli autori tentano di cancellare gli indicatori di compromissione) e gli exploit del kernel.
Una volta rilevate le minacce, il modulo Xdr (extended detection and response) assegna un punteggio di rischio e fornisce dati contestuali che permettono agli analisti dell’azienda cliente o agli specialisti del Sophos Managed Threat Response di indagare a fondo sugli eventi significativi, trascurando gli altri. Infine, la funzione Integrated Live Response apre un terminale sicuro a riga di comando sull'host per consentire una rapida neutralizzazione del problema.
Cloud Workload Protection si integra in modo trasparente con le altre soluzioni Sophos inserite nell’Adaptive Cybersecurity Ecosystem e dedicate alla sicurezza di Kubernetes, alla scansione delle immagini dei container e degli ambienti infrastructure-as-code, alla gestione delle assegnazioni dell'infrastruttura cloud e al monitoraggio dei costi del cloud. Sophos Cloud Workload Protection è fornita all’interno Sophos Intercept X Advanced for Server, con Xdr e Sophos Managed Threat Response, ed è gestita all'interno della piattaforma cloud-native Sophos Central.
La soluzione può essere implementata sotto forma di singolo agent, senza bisogno di installare moduli del kernel, fatto che garantisce una protezione flessibile e poco impattante sulle prestazioni delle applicazioni. Prossimamente sarà resa disponibile anche una versione installabile tramite sensore Linux, particolarmente indicata per i team Soc (Security Operations Center) e DevSecOps. Tramite Api, il sensore potrà integrarsi con le soluzioni esistenti per l'automazione, l'orchestrazione, la gestione dei log e la risposta agli incidenti.