ソフォスは5月6日、サイバー攻撃対策ツール「Sophos Cloud Workload Protection」を機能強化し、Linux セキュリティとコンテナ向けのセキュリティ対策の新機能を発表した。これにより、Linux OSで進行中の攻撃やセキュリティ・インシデントの検出と応答、セキュリティオペレーションを向上し、アプリケーションパフォーマンスを高められるとしている。
Sophos Cloud Workload Protectionでは、ソフォスが買収したCapsule8の技術の統合により、Linux OS内で発生した攻撃をそのまま特定できるようになった。これは、アプリケーションやシステムの悪用を含む初期アクセスから特権の拡大、防御回避、データ収集や流出など、攻撃者の行動に関する分析を活用することで実現する。
権限を昇格してコンテナからホストへ抜け出す攻撃者を特定するコンテナエスケープ、暗号通貨を採掘する攻撃者によく見られる挙動を検出するクリプトマイナー、セキュリティ侵害の痕跡を削除して調査を妨害しようとしている可能性がある場合に警告、ホストで内部カーネル機能が不正に操作されているかどうかを示すカーネルエクスプロイトといったクラウドネイティブの脅威検出機能を提供する。
脅威が検出されると、Sophos XDR(Extended Detection and Response)がインシデントにリスクスコアを割り当て、関連するデータを提供。セキュリティアナリストとSophos Managed Threat Responseチームはこれらのデータを使用して調査を合理的に進めることができ、最も優先度の高いインシデントへの対応に注力できるとする。Live Responseが統合され、ホストへの安全なコマンドライン接続を確立して問題を修復できるということだ。
Sophos Cloud Workload Protectionは、Sophos Intercept X Advanced for Server with XDR とSophos Managed Threat Responseで既に利用可能で、クラウドネイティブのSophos Centralプラットフォームで管理される。シングルエージェントソリューションとして展開でき、カーネルモジュールを展開する必要がないため、柔軟で軽量な保護機能が提供されるとしている。また、近日中に Linuxセンサーとしても利用できるようになるということだ。