The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Первый выпуск системы выявления аномалий Sysdig Falco"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от opennews (??) on 20-Май-16, 22:18 
Представлен (https://sysdig.com/blog/sysdig-falco/) новый инструмент для контроля за безопасностью физических и виртуальных машин - Sysdig Falco (http://www.sysdig.org/falco/), осуществляющий мониторинг за работой  системы, контейнеров и приложений, выявляя отклонения в их типичном поведении.  Реализуемые инструментом возможности  можно сравнить с комбинацией из хостовой системы обнаружения вторжений OSSEC (http://ossec.github.io/) (HIDS (https://ru.wikipedia.org/wiki/%D0%A5%D0%...)), сетевой системы обнаружения атак Snort (https://www.snort.org/) (NIDS (https://ru.wikipedia.org/wiki/%D0%A1%D0%...)) и  отладочной утилиты strace (http://sourceforge.net/projects/strace/). Исходные тексты Falco распространяются (https://github.com/draios/falco) под лицензией GPLv2.

В отличие от систем выявления атак на основе сигнатур, охватывающих только известные виды атак и эксплоитов, применяемая в Falco модель контроля штатного поведения приложений не пятается отследить все возможные пути проникновения, а нацелена на  выявление проблемы через фиксацию действия атакующего, уже после того как он получил доступ к системе. Возможная нештатная активность определяется в форме набора правил (https://github.com/draios/falco/blob/dev/rules/falco_rules.yaml), позволяющих отфильтровывать события, которые требуют протоколирования и отправки уведомления.

Правила охватывают широкий спектр активности в системе, включая запуск процессов, доступ к файлам, логи и сетевую активность. Например, как аномалии могут восприниматься такие события, как запуск bash в контейнере, установка исходящего сетевого соединения на не связанный с сервисом номер порта, изменение в директориях с исполняемыми файлами (/usr/bin и т.п.), создание не связанных с устройствами файлов в /dev (активность руткита), доступ к устройствам и важным системным файлам (например, web-камера и /etc/shadow) из не добавленных в белый список приложений, выполнение сетевых соединений из локальных утилит (например, ls).

Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы, и процесс-демон, осуществляющий фильтрацию аномалий. Несмотря на первый выпуск кодовая база оценивается как достаточно стабильная, так как работающий на уровне ядра модуль сбора данных о системных вызовах заимствован из уже хорошо протестированного инструмента для анализа работы системы и диагностирования проблем Sysdig (https://github.com/draios/sysdig). В процессе отладки и написания правил поддерживается чтение дампов трассировки sysdig, позволяющих симулировать наступление определённого события.


URL: https://sysdig.com/blog/sysdig-falco/
Новость: http://www.opennet.ru/opennews/art.shtml?num=44470

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от Аноним (??) on 20-Май-16, 22:18 
> В отличие от систем выявления атак на основе сигнатур, охватывающих только известные виды атак и эксплоитов,

А вот это очень круто. PCI DSS заставляет крутить на всех важных хостах Snort или Suricata, которые тормозят и греют воздух, проверяя, не применяется и к Linux-серверу атака на NTLM и прочие важные вещи. Эксплоиты в их правила попадают сильно позже, чем закрываются обновлениями безопасности.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Первый выпуск системы выявления аномалий Sysdig Falco"  +1 +/
Сообщение от Кирилл (??) on 21-Май-16, 00:17 
Зачем вы на хосты ставите сетевые IPS/IDS?
Свосем наркоманы?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Первый выпуск системы выявления аномалий Sysdig Falco"  +1 +/
Сообщение от Аноним (??) on 21-Май-16, 00:24 
Росанус'надзорщики
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от Аноним (??) on 21-Май-16, 10:25 
> Зачем вы на хосты ставите сетевые IPS/IDS?

Standalone режим у них тоже есть. В централизованном режиме нагрузка сильно не снизится, правила всё равно проверяются на хосте. Ставим, потому что требования PCI DSS.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от Аноним (??) on 21-Май-16, 16:59 
Кирюх, ты в следующий, раз если чего не знаешь - смело называй всех наркоманами. Желательно а реале. Чтобы у окружающих был удобный доступ к твоему лицу. Так победишь.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

2. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от sage (??) on 20-Май-16, 23:39 
Давно ждал, когда они сделают оповещения о событиях на определенные фильтры. Это здорово. Большой плюс sysdig в том, что он не тормозит систему.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от cmp (ok) on 21-Май-16, 07:22 
Устав боросться с кривыми программами, их загнали в контейнеры, теперь к этому прикрутили систему которая мониторит - не запустился ли баш, мне одному это кажется бредом, на кой черт контролить запуск баш в контейнере, его туда засунули чтобы он ничего не порушил, или зачем тогда контейнеры, а может еще и святой водой на всякий окропить.

Кстате зачем отслеживать аномальную активность, а не запрещать ее? почему левые порты не закрыть фаерволом, почему не выпилить баш, на кой черт к дырявому софту добавлять софт, который наверняка не менее дряв.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Первый выпуск системы выявления аномалий Sysdig Falco"  +2 +/
Сообщение от Аноним (??) on 21-Май-16, 09:53 
Вы не понимаете безопасность.

// b.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от Аноним (??) on 21-Май-16, 10:13 
И я тогда наверно тоже не понимаю "эту безопасности".

Безопасность, в моих понятиях, это когда у каждого процесса необходимое и достаточное количество прав, а шаг в лево или в право, сразу, как минимум, расстрел процесса и сообщение в логах. В особых случаях, где работа процесса особо критична, его можно не убивать, а просто послать сообщение.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Первый выпуск системы выявления аномалий Sysdig Falco"  +2 +/
Сообщение от angra (ok) on 21-Май-16, 10:32 
Удачи тебе в описании всех прав для процесса. У тебя явно очень много свободного времени и нет начальства.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от Аноним (??) on 21-Май-16, 10:50 
> Удачи тебе в описании всех прав для процесса. У тебя явно очень
> много свободного времени и нет начальства.

Можно использовать общие правила работающие сразу для всех процессов. Например зачем мониторить /bin & /usr/bin если можно / & /usr монтировать ro и kernel.grsecurity.romount_protect = 1 Подобно закрываем и другие дыры, сразу для всех процессов.

В теории идеалист, и желал бы необходимых и достаточных правил для всех процессов. RSBAC от Grsecurity с gradmin могут самообучаться. На практике, пока начальство думает что безопасность == мозготрах, более чем точное написание сетевых фильтров для процессов не делаю.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

25. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от Аноним (??) on 22-Май-16, 23:49 
> Можно использовать общие правила работающие сразу для всех процессов. Например зачем мониторить
> /bin & /usr/bin если можно / & /usr монтировать ro и
> kernel.grsecurity.romount_protect = 1 Подобно закрываем и другие дыры, сразу для всех
> процессов.

Только работать будет криво и потребуется нестандартный подход к администрированию. Если это не проблема - тогда можно компьюткр вообще не включать.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от grsec (ok) on 22-Май-16, 01:25 
> Удачи тебе в описании всех прав для процесса. У тебя явно очень много свободного времени и нет начальства.

Привет начальству, которое мешает тебе погрузиться в описание всех прав для процесса. Секурити, чо.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от Аноним (??) on 22-Май-16, 04:36 
Как ты ловко макнул Билла Гейтса.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от cmp (ok) on 22-Май-16, 12:23 
Начальство))), начальство всегда требует много за мало времени, это не разу не повод лепить залепуху, впрочем миром правят комерсы, а им на все насрать лишь бы деньги текли.

Но у меня уже есть жизненый опыт, когда съэкономини пару копеек, зато потом самые печальные последствия с уголовным делом, допросами и тд, хотя я предупреждал, а они не послушали, так что могу позволить себе встать в позу, хотя отвественности за халатность в области ИТ безопасности не предусмотрена, так что всем похер, мне тоже похер, но это не правильно.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

9. "Первый выпуск системы выявления аномалий Sysdig Falco"  +4 +/
Сообщение от angra (ok) on 21-Май-16, 10:29 
Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает ли это, что ненужно и оповещать экипаж о факте заполнения отсека водой? Помедитируй над этим вопросами.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от Аноним (??) on 21-Май-16, 22:01 
Надо делать дешевые корабли и нанимать матросов, которых потом никто не будет искать. Очевидно же.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от Crazy Alex (ok) on 21-Май-16, 22:38 
Тоже вариант, в общем-то, и неплохой. Но то, что с кораблём что-то не то и его пора взорвать ко всем чертям тоже надо как-то понять.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от ано on 22-Май-16, 20:13 
> Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной
> пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает
> ли это, что ненужно и оповещать экипаж о факте заполнения отсека
> водой? Помедитируй над этим вопросами.

Про пробоины уже давно все описано в должностных инструкциях

А нам предлагают дополнить эту инструкцию новыми правилами. Например, боцман после обеда должен проследить куда выливает остатки борща кок. Вдруг он в трюм выливает ? Тогда проверить трюм уже критически наполнен борщем или еще можно лить

Вы не находите, что такие инструкции для боцмана - чушь ?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

24. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от Аноним (??) on 22-Май-16, 23:46 
> Кстате зачем отслеживать аномальную активность, а не запрещать ее?

Можно и запретить до кучи. Только вот файрвол не поможет от взлома например вебни, а атакующий потом может файрвол и протуннелить или даже заапгрейдить права и почистить правила, если надо.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

17. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от RomanCh (ok) on 21-Май-16, 22:50 
Офигенный у них сайт. Без жабоскрипта не то что "плохо работает" - вообще ничего кликнуть нельзя. Видимо в целях безопасности так сделано...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от grsec (ok) on 22-Май-16, 01:21 
> Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы,

ИМХО велосипед.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Первый выпуск системы выявления аномалий Sysdig Falco"  +/
Сообщение от Аноним (??) on 22-Май-16, 04:37 
Очень ценное мнение. Обоснования видимо не последует и сообществу придётся смириться с твоим немногословием?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor