Представлен (https://sysdig.com/blog/sysdig-falco/) новый инструмент для контроля за безопасностью физических и виртуальных машин - Sysdig Falco (http://www.sysdig.org/falco/), осуществляющий мониторинг за работой системы, контейнеров и приложений, выявляя отклонения в их типичном поведении. Реализуемые инструментом возможности можно сравнить с комбинацией из хостовой системы обнаружения вторжений OSSEC (http://ossec.github.io/) (HIDS (https://ru.wikipedia.org/wiki/%D0%A5%D0%... сетевой системы обнаружения атак Snort (https://www.snort.org/) (NIDS (https://ru.wikipedia.org/wiki/%D0%A1%D0%... и отладочной утилиты strace (http://sourceforge.net/projects/strace/). Исходные тексты Falco распространяются (https://github.com/draios/falco) под лицензией GPLv2.В отличие от систем выявления атак на основе сигнатур, охватывающих только известные виды атак и эксплоитов, применяемая в Falco модель контроля штатного поведения приложений не пятается отследить все возможные пути проникновения, а нацелена на выявление проблемы через фиксацию действия атакующего, уже после того как он получил доступ к системе. Возможная нештатная активность определяется в форме набора правил (https://github.com/draios/falco/blob/dev/rules/falco_rules.y... позволяющих отфильтровывать события, которые требуют протоколирования и отправки уведомления.
Правила охватывают широкий спектр активности в системе, включая запуск процессов, доступ к файлам, логи и сетевую активность. Например, как аномалии могут восприниматься такие события, как запуск bash в контейнере, установка исходящего сетевого соединения на не связанный с сервисом номер порта, изменение в директориях с исполняемыми файлами (/usr/bin и т.п.), создание не связанных с устройствами файлов в /dev (активность руткита), доступ к устройствам и важным системным файлам (например, web-камера и /etc/shadow) из не добавленных в белый список приложений, выполнение сетевых соединений из локальных утилит (например, ls).
Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы, и процесс-демон, осуществляющий фильтрацию аномалий. Несмотря на первый выпуск кодовая база оценивается как достаточно стабильная, так как работающий на уровне ядра модуль сбора данных о системных вызовах заимствован из уже хорошо протестированного инструмента для анализа работы системы и диагностирования проблем Sysdig (https://github.com/draios/sysdig). В процессе отладки и написания правил поддерживается чтение дампов трассировки sysdig, позволяющих симулировать наступление определённого события.
URL: https://sysdig.com/blog/sysdig-falco/
Новость: http://www.opennet.me/opennews/art.shtml?num=44470
> В отличие от систем выявления атак на основе сигнатур, охватывающих только известные виды атак и эксплоитов,А вот это очень круто. PCI DSS заставляет крутить на всех важных хостах Snort или Suricata, которые тормозят и греют воздух, проверяя, не применяется и к Linux-серверу атака на NTLM и прочие важные вещи. Эксплоиты в их правила попадают сильно позже, чем закрываются обновлениями безопасности.
Зачем вы на хосты ставите сетевые IPS/IDS?
Свосем наркоманы?
Росанус'надзорщики
> Зачем вы на хосты ставите сетевые IPS/IDS?Standalone режим у них тоже есть. В централизованном режиме нагрузка сильно не снизится, правила всё равно проверяются на хосте. Ставим, потому что требования PCI DSS.
Кирюх, ты в следующий, раз если чего не знаешь - смело называй всех наркоманами. Желательно а реале. Чтобы у окружающих был удобный доступ к твоему лицу. Так победишь.
Давно ждал, когда они сделают оповещения о событиях на определенные фильтры. Это здорово. Большой плюс sysdig в том, что он не тормозит систему.
Устав боросться с кривыми программами, их загнали в контейнеры, теперь к этому прикрутили систему которая мониторит - не запустился ли баш, мне одному это кажется бредом, на кой черт контролить запуск баш в контейнере, его туда засунули чтобы он ничего не порушил, или зачем тогда контейнеры, а может еще и святой водой на всякий окропить.Кстате зачем отслеживать аномальную активность, а не запрещать ее? почему левые порты не закрыть фаерволом, почему не выпилить баш, на кой черт к дырявому софту добавлять софт, который наверняка не менее дряв.
Вы не понимаете безопасность.// b.
И я тогда наверно тоже не понимаю "эту безопасности".Безопасность, в моих понятиях, это когда у каждого процесса необходимое и достаточное количество прав, а шаг в лево или в право, сразу, как минимум, расстрел процесса и сообщение в логах. В особых случаях, где работа процесса особо критична, его можно не убивать, а просто послать сообщение.
Удачи тебе в описании всех прав для процесса. У тебя явно очень много свободного времени и нет начальства.
> Удачи тебе в описании всех прав для процесса. У тебя явно очень
> много свободного времени и нет начальства.Можно использовать общие правила работающие сразу для всех процессов. Например зачем мониторить /bin & /usr/bin если можно / & /usr монтировать ro и kernel.grsecurity.romount_protect = 1 Подобно закрываем и другие дыры, сразу для всех процессов.
В теории идеалист, и желал бы необходимых и достаточных правил для всех процессов. RSBAC от Grsecurity с gradmin могут самообучаться. На практике, пока начальство думает что безопасность == мозготрах, более чем точное написание сетевых фильтров для процессов не делаю.
> Можно использовать общие правила работающие сразу для всех процессов. Например зачем мониторить
> /bin & /usr/bin если можно / & /usr монтировать ro и
> kernel.grsecurity.romount_protect = 1 Подобно закрываем и другие дыры, сразу для всех
> процессов.Только работать будет криво и потребуется нестандартный подход к администрированию. Если это не проблема - тогда можно компьюткр вообще не включать.
> Удачи тебе в описании всех прав для процесса. У тебя явно очень много свободного времени и нет начальства.Привет начальству, которое мешает тебе погрузиться в описание всех прав для процесса. Секурити, чо.
Как ты ловко макнул Билла Гейтса.
Начальство))), начальство всегда требует много за мало времени, это не разу не повод лепить залепуху, впрочем миром правят комерсы, а им на все насрать лишь бы деньги текли.Но у меня уже есть жизненый опыт, когда съэкономини пару копеек, зато потом самые печальные последствия с уголовным делом, допросами и тд, хотя я предупреждал, а они не послушали, так что могу позволить себе встать в позу, хотя отвественности за халатность в области ИТ безопасности не предусмотрена, так что всем похер, мне тоже похер, но это не правильно.
Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает ли это, что ненужно и оповещать экипаж о факте заполнения отсека водой? Помедитируй над этим вопросами.
Надо делать дешевые корабли и нанимать матросов, которых потом никто не будет искать. Очевидно же.
Тоже вариант, в общем-то, и неплохой. Но то, что с кораблём что-то не то и его пора взорвать ко всем чертям тоже надо как-то понять.
> Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной
> пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает
> ли это, что ненужно и оповещать экипаж о факте заполнения отсека
> водой? Помедитируй над этим вопросами.Про пробоины уже давно все описано в должностных инструкциях
А нам предлагают дополнить эту инструкцию новыми правилами. Например, боцман после обеда должен проследить куда выливает остатки борща кок. Вдруг он в трюм выливает ? Тогда проверить трюм уже критически наполнен борщем или еще можно лить
Вы не находите, что такие инструкции для боцмана - чушь ?
> Кстате зачем отслеживать аномальную активность, а не запрещать ее?Можно и запретить до кучи. Только вот файрвол не поможет от взлома например вебни, а атакующий потом может файрвол и протуннелить или даже заапгрейдить права и почистить правила, если надо.
Офигенный у них сайт. Без жабоскрипта не то что "плохо работает" - вообще ничего кликнуть нельзя. Видимо в целях безопасности так сделано...
> Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы,ИМХО велосипед.
Очень ценное мнение. Обоснования видимо не последует и сообществу придётся смириться с твоим немногословием?