URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 107998
[ Назад ]

Исходное сообщение
"Первый выпуск системы выявления аномалий Sysdig Falco"

Отправлено opennews , 20-Май-16 22:18 
Представлен (https://sysdig.com/blog/sysdig-falco/) новый инструмент для контроля за безопасностью физических и виртуальных машин - Sysdig Falco (http://www.sysdig.org/falco/), осуществляющий мониторинг за работой  системы, контейнеров и приложений, выявляя отклонения в их типичном поведении.  Реализуемые инструментом возможности  можно сравнить с комбинацией из хостовой системы обнаружения вторжений OSSEC (http://ossec.github.io/) (HIDS (https://ru.wikipedia.org/wiki/%D0%A5%D0%... сетевой системы обнаружения атак Snort (https://www.snort.org/) (NIDS (https://ru.wikipedia.org/wiki/%D0%A1%D0%... и  отладочной утилиты strace (http://sourceforge.net/projects/strace/). Исходные тексты Falco распространяются (https://github.com/draios/falco) под лицензией GPLv2.

В отличие от систем выявления атак на основе сигнатур, охватывающих только известные виды атак и эксплоитов, применяемая в Falco модель контроля штатного поведения приложений не пятается отследить все возможные пути проникновения, а нацелена на  выявление проблемы через фиксацию действия атакующего, уже после того как он получил доступ к системе. Возможная нештатная активность определяется в форме набора правил (https://github.com/draios/falco/blob/dev/rules/falco_rules.y... позволяющих отфильтровывать события, которые требуют протоколирования и отправки уведомления.

Правила охватывают широкий спектр активности в системе, включая запуск процессов, доступ к файлам, логи и сетевую активность. Например, как аномалии могут восприниматься такие события, как запуск bash в контейнере, установка исходящего сетевого соединения на не связанный с сервисом номер порта, изменение в директориях с исполняемыми файлами (/usr/bin и т.п.), создание не связанных с устройствами файлов в /dev (активность руткита), доступ к устройствам и важным системным файлам (например, web-камера и /etc/shadow) из не добавленных в белый список приложений, выполнение сетевых соединений из локальных утилит (например, ls).

Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы, и процесс-демон, осуществляющий фильтрацию аномалий. Несмотря на первый выпуск кодовая база оценивается как достаточно стабильная, так как работающий на уровне ядра модуль сбора данных о системных вызовах заимствован из уже хорошо протестированного инструмента для анализа работы системы и диагностирования проблем Sysdig (https://github.com/draios/sysdig). В процессе отладки и написания правил поддерживается чтение дампов трассировки sysdig, позволяющих симулировать наступление определённого события.


URL: https://sysdig.com/blog/sysdig-falco/
Новость: http://www.opennet.me/opennews/art.shtml?num=44470


Содержание

Сообщения в этом обсуждении
"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено Аноним , 20-Май-16 22:18 
> В отличие от систем выявления атак на основе сигнатур, охватывающих только известные виды атак и эксплоитов,

А вот это очень круто. PCI DSS заставляет крутить на всех важных хостах Snort или Suricata, которые тормозят и греют воздух, проверяя, не применяется и к Linux-серверу атака на NTLM и прочие важные вещи. Эксплоиты в их правила попадают сильно позже, чем закрываются обновлениями безопасности.


"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено Кирилл , 21-Май-16 00:17 
Зачем вы на хосты ставите сетевые IPS/IDS?
Свосем наркоманы?

"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено Аноним , 21-Май-16 00:24 
Росанус'надзорщики

"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено Аноним , 21-Май-16 10:25 
> Зачем вы на хосты ставите сетевые IPS/IDS?

Standalone режим у них тоже есть. В централизованном режиме нагрузка сильно не снизится, правила всё равно проверяются на хосте. Ставим, потому что требования PCI DSS.


"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено Аноним , 21-Май-16 16:59 
Кирюх, ты в следующий, раз если чего не знаешь - смело называй всех наркоманами. Желательно а реале. Чтобы у окружающих был удобный доступ к твоему лицу. Так победишь.

"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено sage , 20-Май-16 23:39 
Давно ждал, когда они сделают оповещения о событиях на определенные фильтры. Это здорово. Большой плюс sysdig в том, что он не тормозит систему.

"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено cmp , 21-Май-16 07:22 
Устав боросться с кривыми программами, их загнали в контейнеры, теперь к этому прикрутили систему которая мониторит - не запустился ли баш, мне одному это кажется бредом, на кой черт контролить запуск баш в контейнере, его туда засунули чтобы он ничего не порушил, или зачем тогда контейнеры, а может еще и святой водой на всякий окропить.

Кстате зачем отслеживать аномальную активность, а не запрещать ее? почему левые порты не закрыть фаерволом, почему не выпилить баш, на кой черт к дырявому софту добавлять софт, который наверняка не менее дряв.


"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено Аноним , 21-Май-16 09:53 
Вы не понимаете безопасность.

// b.


"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено Аноним , 21-Май-16 10:13 
И я тогда наверно тоже не понимаю "эту безопасности".

Безопасность, в моих понятиях, это когда у каждого процесса необходимое и достаточное количество прав, а шаг в лево или в право, сразу, как минимум, расстрел процесса и сообщение в логах. В особых случаях, где работа процесса особо критична, его можно не убивать, а просто послать сообщение.


"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено angra , 21-Май-16 10:32 
Удачи тебе в описании всех прав для процесса. У тебя явно очень много свободного времени и нет начальства.

"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено Аноним , 21-Май-16 10:50 
> Удачи тебе в описании всех прав для процесса. У тебя явно очень
> много свободного времени и нет начальства.

Можно использовать общие правила работающие сразу для всех процессов. Например зачем мониторить /bin & /usr/bin если можно / & /usr монтировать ro и kernel.grsecurity.romount_protect = 1 Подобно закрываем и другие дыры, сразу для всех процессов.

В теории идеалист, и желал бы необходимых и достаточных правил для всех процессов. RSBAC от Grsecurity с gradmin могут самообучаться. На практике, пока начальство думает что безопасность == мозготрах, более чем точное написание сетевых фильтров для процессов не делаю.


"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено Аноним , 22-Май-16 23:49 
> Можно использовать общие правила работающие сразу для всех процессов. Например зачем мониторить
> /bin & /usr/bin если можно / & /usr монтировать ro и
> kernel.grsecurity.romount_protect = 1 Подобно закрываем и другие дыры, сразу для всех
> процессов.

Только работать будет криво и потребуется нестандартный подход к администрированию. Если это не проблема - тогда можно компьюткр вообще не включать.


"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено grsec , 22-Май-16 01:25 
> Удачи тебе в описании всех прав для процесса. У тебя явно очень много свободного времени и нет начальства.

Привет начальству, которое мешает тебе погрузиться в описание всех прав для процесса. Секурити, чо.


"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено Аноним , 22-Май-16 04:36 
Как ты ловко макнул Билла Гейтса.

"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено cmp , 22-Май-16 12:23 
Начальство))), начальство всегда требует много за мало времени, это не разу не повод лепить залепуху, впрочем миром правят комерсы, а им на все насрать лишь бы деньги текли.

Но у меня уже есть жизненый опыт, когда съэкономини пару копеек, зато потом самые печальные последствия с уголовным делом, допросами и тд, хотя я предупреждал, а они не послушали, так что могу позволить себе встать в позу, хотя отвественности за халатность в области ИТ безопасности не предусмотрена, так что всем похер, мне тоже похер, но это не правильно.


"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено angra , 21-Май-16 10:29 
Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает ли это, что ненужно и оповещать экипаж о факте заполнения отсека водой? Помедитируй над этим вопросами.

"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено Аноним , 21-Май-16 22:01 
Надо делать дешевые корабли и нанимать матросов, которых потом никто не будет искать. Очевидно же.

"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено Crazy Alex , 21-Май-16 22:38 
Тоже вариант, в общем-то, и неплохой. Но то, что с кораблём что-то не то и его пора взорвать ко всем чертям тоже надо как-то понять.

"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено ано , 22-Май-16 20:13 
> Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной
> пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает
> ли это, что ненужно и оповещать экипаж о факте заполнения отсека
> водой? Помедитируй над этим вопросами.

Про пробоины уже давно все описано в должностных инструкциях

А нам предлагают дополнить эту инструкцию новыми правилами. Например, боцман после обеда должен проследить куда выливает остатки борща кок. Вдруг он в трюм выливает ? Тогда проверить трюм уже критически наполнен борщем или еще можно лить

Вы не находите, что такие инструкции для боцмана - чушь ?


"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено Аноним , 22-Май-16 23:46 
> Кстате зачем отслеживать аномальную активность, а не запрещать ее?

Можно и запретить до кучи. Только вот файрвол не поможет от взлома например вебни, а атакующий потом может файрвол и протуннелить или даже заапгрейдить права и почистить правила, если надо.


"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено RomanCh , 21-Май-16 22:50 
Офигенный у них сайт. Без жабоскрипта не то что "плохо работает" - вообще ничего кликнуть нельзя. Видимо в целях безопасности так сделано...

"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено grsec , 22-Май-16 01:21 
> Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы,

ИМХО велосипед.


"Первый выпуск системы выявления аномалий Sysdig Falco"
Отправлено Аноним , 22-Май-16 04:37 
Очень ценное мнение. Обоснования видимо не последует и сообществу придётся смириться с твоим немногословием?