Aujourd’hui, nous sommes fiers de vous présenter une autre avancée majeure de Sophos Cloud Workload Protection, avec de nouvelles fonctionnalités de sécurité pour Linux et les conteneurs, disponibles grâce une API qui s’intègre à vos systèmes SecOps et DevOps.
Des performances sans faille
Lorsque la disponibilité est votre principale exigence, les outils de sécurité doivent être légers et s’intégrer dans vos workflows existants pour prévenir les risques et optimiser les performances des applications.
Pour les entreprises agiles avec un environnement de production en expansion, atteindre cet équilibre tout en bénéficiant d’une protection complète n’est pas une tâche facile, en particulier si vous utilisez une pile technologique de plus en plus dispersée pouvant inclure des serveurs physiques, des machines virtuelles et des conteneurs, déployés sur-site (on-prem) ou dans le Cloud.
Le nouveau Sophos Linux Sensor détecte de manière proactive les attaques complexes dans l’ensemble de l’environnement de production Linux et vous indique celles qui nécessitent toute votre attention. Cette capacité vous permet de maximiser vos temps de fonctionnement et évite les hôtes surchargés, un problème courant des outils de sécurité traditionnels.
Options de déploiement au choix
Comme nous l’avions annoncé en avril 2022, vous pouvez désormais choisir entre deux modèles de déploiement pour notre protection de Linux et des conteneurs. La première option, un agent léger, est gérée depuis notre console de gestion centralisée Sophos Central. La deuxième option désormais disponible, Sophos Linux Sensor, est optimisée pour les détections à l’exécution (runtime) et est idéale pour les charges de travail sensibles à la latence.
Gestion dans Sophos Central
L’agent Linux léger fournit aux équipes de sécurité les informations essentielles dont elles ont besoin pour analyser et répondre aux comportements à risque, aux exploits et aux malwares depuis une seule et même console. En surveillant l’hôte Linux, cette option de déploiement permet aux équipes de gérer toutes les solutions Sophos à partir d’une seule et même interface. Elles peuvent ainsi passer en toute transparence de la chasse aux menaces au nettoyage et à la gestion.
Intégration de cette nouvelle API
Sophos Linux Sensor est une option de déploiement très flexible qui offre les meilleures performances possibles. Le capteur Linux utilise des API pour intégrer la détection des menaces au runtime, dans les environnements hôtes et les conteneurs, avec vos outils de réponse aux menaces existants.
Le capteur donne accès à un ensemble complet de détections au runtime, y compris des détections supplémentaires pour l’exploitation des applications et du système. Ce dernier offre également un niveau de contrôle supérieur idéal pour les équipes ayant besoin d’une granularité particulière pour créer des ensembles de règles personnalisés contenant uniquement les détections comportementales au runtime nécessaires pour des cas d’usage spécifiques de surveillance de la sécurité.
Voici quelques exemples de détections pour Linux et les conteneurs fournies par Sophos :
- Évasion des conteneurs : identifie les attaquants qui élèvent leurs privilèges à partir de l’accès au conteneur pour passer à l’hôte du conteneur.
- Cryptomineurs : détecte les noms de programmes ou les arguments communément associés aux mineurs de crypto-monnaies.
- Destruction de données : alerte sur le fait qu’un attaquant pourrait tenter de supprimer des indicateurs de compromission qui font partie d’une investigation en cours.
- Exploitation du noyau : met en évidence si les fonctions internes du noyau sont altérées sur un hôte.
Intégration simple aux systèmes SecOps et DevOps existants
Sophos Linux Sensor a été conçu pour offrir davantage de flexibilité. Les clients peuvent ainsi aisément utiliser les données des détections au runtime des comportements malveillants et des exploits de l’hôte et des conteneurs, et ce d’une manière qui s’intègre naturellement à vos workflows existants.
L’API permet d’intégrer facilement ces données dans vos systèmes, outils et processus SecOps et DevOps existants. Cela comprend également les SIEM (Splunk, etc.) ou l’envoi d’alertes à l’aide d’un webhook vers Amazon S3, Amazon Simple Queue Service, Google Cloud Storage, ELK et Azure Storage pour que ces données soient récupérées pour analyse.
Ceux qui préfèrent utiliser une console de gestion, avec des capacités intégrées de chasse aux menaces, d’investigation et de remédiation, peuvent choisir d’installer l’agent Linux de Sophos. Cette possibilité permet aux clients de gérer la protection depuis Sophos Central, notre console de gestion unique qui unifie les capacités de la plateforme de sécurité du Cloud hybride de Sophos.
Cela inclut Sophos Cloud Workload Protection, Sophos Cloud Security Posture Management (Gestion de la posture de sécurité du Cloud de Sophos), la gestion de la posture de sécurité Kubernetes, l’analyse des images de conteneurs, l’analyse de l’infrastructure programmable (IaC), la gestion des droits de l’infrastructure Cloud et la surveillance des dépenses du Cloud afin de garantir la visibilité, la sécurité et la conformité.
Pour en savoir plus et essayer gratuitement Sophos Cloud Workload Protection pendant 30 jours, rendez-vous sur sophos.fr/cwpp dès aujourd’hui.
Nos clients actuels qui souhaitent activer le capteur Linux peuvent contacter sophoslinuxsensor@sophos.com pour démarrer dans de bonnes conditions.
Billet inspiré de Performance-tuned Linux API protection, sur le Blog Sophos.