The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

20.05.2016 21:27  Первый выпуск системы выявления аномалий Sysdig Falco

Представлен новый инструмент для контроля за безопасностью физических и виртуальных машин - Sysdig Falco, осуществляющий мониторинг за работой системы, контейнеров и приложений, выявляя отклонения в их типичном поведении. Реализуемые инструментом возможности можно сравнить с комбинацией из хостовой системы обнаружения вторжений OSSEC (HIDS), сетевой системы обнаружения атак Snort (NIDS) и отладочной утилиты strace. Исходные тексты Falco распространяются под лицензией GPLv2.

В отличие от систем выявления атак на основе сигнатур, охватывающих только известные виды атак и эксплоитов, применяемая в Falco модель контроля штатного поведения приложений не пытается отследить все возможные пути проникновения, а нацелена на выявление проблемы через фиксацию действия атакующего, уже после того как он получил доступ к системе. Возможная нештатная активность определяется в форме набора правил, позволяющих отфильтровывать события, которые требуют протоколирования и отправки уведомления.

Правила охватывают широкий спектр активности в системе, включая запуск процессов, доступ к файлам, логи и сетевую активность. Например, как аномалии могут восприниматься такие события, как запуск bash в контейнере, установка исходящего сетевого соединения на не связанный с сервисом номер порта, изменение в директориях с исполняемыми файлами (/usr/bin и т.п.), создание не связанных с устройствами файлов в /dev (активность руткита), доступ к устройствам и важным системным файлам (например, web-камера и /etc/shadow) из не добавленных в белый список приложений, выполнение сетевых соединений из локальных утилит (например, ls).

Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы, и процесс-демон, осуществляющий фильтрацию аномалий. Несмотря на первый выпуск кодовая база оценивается как достаточно стабильная, так как работающий на уровне ядра модуль сбора данных о системных вызовах заимствован из уже хорошо протестированного инструмента для анализа работы системы и диагностирования проблем Sysdig. В процессе отладки и написания правил поддерживается чтение дампов трассировки sysdig, позволяющих симулировать наступление определённого события.

  1. Главная ссылка к новости (https://sysdig.com/blog/sysdig...)
  2. OpenNews: Выпуск системы обнаружения атак Snort 2.9.8.0
  3. OpenNews: Компания Cisco представила Snort 3.0, систему предотвращения атак нового поколения
  4. OpenNews: Twitter открыл код библиотеки для выявления аномалий в наборах данных
  5. OpenNews: Выпуск strace 4.11
Лицензия: CC-BY
Тип: Программы
Ключевые слова: sysdig, falco, monitorong, strace
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 22:18, 20/05/2016 [ответить] [показать ветку] [···]     [к модератору]
  • +/
    А вот это очень круто PCI DSS заставляет крутить на всех важных хостах Snort ил... весь текст скрыт [показать]
     
     
  • 2.3, Кирилл (??), 00:17, 21/05/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Зачем вы на хосты ставите сетевые IPS/IDS?
    Свосем наркоманы?
     
     
  • 3.4, Аноним (-), 00:24, 21/05/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Росанус'надзорщики
     
  • 3.8, Аноним (-), 10:25, 21/05/2016 [^] [ответить]     [к модератору]  
  • +/
    Standalone режим у них тоже есть В централизованном режиме нагрузка сильно не с... весь текст скрыт [показать]
     
     
  • 4.14, Аноним (-), 16:59, 21/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Кирюх, ты в следующий, раз если чего не знаешь - смело называй всех наркоманами. Желательно а реале. Чтобы у окружающих был удобный доступ к твоему лицу. Так победишь.
     
  • 1.2, sage (??), 23:39, 20/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Давно ждал, когда они сделают оповещения о событиях на определенные фильтры. Это здорово. Большой плюс sysdig в том, что он не тормозит систему.
     
  • 1.5, cmp (ok), 07:22, 21/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Устав боросться с кривыми программами, их загнали в контейнеры, теперь к этому прикрутили систему которая мониторит - не запустился ли баш, мне одному это кажется бредом, на кой черт контролить запуск баш в контейнере, его туда засунули чтобы он ничего не порушил, или зачем тогда контейнеры, а может еще и святой водой на всякий окропить.

    Кстате зачем отслеживать аномальную активность, а не запрещать ее? почему левые порты не закрыть фаерволом, почему не выпилить баш, на кой черт к дырявому софту добавлять софт, который наверняка не менее дряв.

     
     
  • 2.6, Аноним (-), 09:53, 21/05/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Вы не понимаете безопасность.

    // b.

     
     
  • 3.7, Аноним (-), 10:13, 21/05/2016 [^] [ответить]     [к модератору]  
  • +/
    И я тогда наверно тоже не понимаю эту безопасности Безопасность, в моих понят... весь текст скрыт [показать]
     
     
  • 4.10, angra (ok), 10:32, 21/05/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Удачи тебе в описании всех прав для процесса. У тебя явно очень много свободного времени и нет начальства.
     
     
  • 5.11, Аноним (-), 10:50, 21/05/2016 [^] [ответить]     [к модератору]  
  • +/
    Можно использовать общие правила работающие сразу для всех процессов Например з... весь текст скрыт [показать]
     
     
  • 6.25, Аноним (-), 23:49, 22/05/2016 [^] [ответить]     [к модератору]  
  • +/
    Только работать будет криво и потребуется нестандартный подход к администрирован... весь текст скрыт [показать]
     
  • 5.19, grsec (ok), 01:25, 22/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > Удачи тебе в описании всех прав для процесса. У тебя явно очень много свободного времени и нет начальства.

    Привет начальству, которое мешает тебе погрузиться в описание всех прав для процесса. Секурити, чо.

     
     
  • 6.20, Аноним (-), 04:36, 22/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Как ты ловко макнул Билла Гейтса.
     
  • 5.22, cmp (ok), 12:23, 22/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Начальство))), начальство всегда требует много за мало времени, это не разу не повод лепить залепуху, впрочем миром правят комерсы, а им на все насрать лишь бы деньги текли.

    Но у меня уже есть жизненый опыт, когда съэкономини пару копеек, зато потом самые печальные последствия с уголовным делом, допросами и тд, хотя я предупреждал, а они не послушали, так что могу позволить себе встать в позу, хотя отвественности за халатность в области ИТ безопасности не предусмотрена, так что всем похер, мне тоже похер, но это не правильно.

     
  • 2.9, angra (ok), 10:29, 21/05/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает ли это, что ненужно и оповещать экипаж о факте заполнения отсека водой? Помедитируй над этим вопросами.
     
     
  • 3.15, Аноним (-), 22:01, 21/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Надо делать дешевые корабли и нанимать матросов, которых потом никто не будет искать. Очевидно же.
     
     
  • 4.16, Crazy Alex (ok), 22:38, 21/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Тоже вариант, в общем-то, и неплохой. Но то, что с кораблём что-то не то и его пора взорвать ко всем чертям тоже надо как-то понять.
     
  • 3.23, ано (?), 20:13, 22/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной
    > пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает
    > ли это, что ненужно и оповещать экипаж о факте заполнения отсека
    > водой? Помедитируй над этим вопросами.

    Про пробоины уже давно все описано в должностных инструкциях

    А нам предлагают дополнить эту инструкцию новыми правилами. Например, боцман после обеда должен проследить куда выливает остатки борща кок. Вдруг он в трюм выливает ? Тогда проверить трюм уже критически наполнен борщем или еще можно лить

    Вы не находите, что такие инструкции для боцмана - чушь ?

     
  • 2.24, Аноним (-), 23:46, 22/05/2016 [^] [ответить]     [к модератору]  
  • +/
    Можно и запретить до кучи Только вот файрвол не поможет от взлома например вебн... весь текст скрыт [показать]
     
  • 1.17, RomanCh (ok), 22:50, 21/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Офигенный у них сайт. Без жабоскрипта не то что "плохо работает" - вообще ничего кликнуть нельзя. Видимо в целях безопасности так сделано...
     
  • 1.18, grsec (ok), 01:21, 22/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы,

    ИМХО велосипед.

     
     
  • 2.21, Аноним (-), 04:37, 22/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Очень ценное мнение. Обоснования видимо не последует и сообществу придётся смириться с твоим немногословием?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor