The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

20.05.2016 21:27  Первый выпуск системы выявления аномалий Sysdig Falco

Представлен новый инструмент для контроля за безопасностью физических и виртуальных машин - Sysdig Falco, осуществляющий мониторинг за работой системы, контейнеров и приложений, выявляя отклонения в их типичном поведении. Реализуемые инструментом возможности можно сравнить с комбинацией из хостовой системы обнаружения вторжений OSSEC (HIDS), сетевой системы обнаружения атак Snort (NIDS) и отладочной утилиты strace. Исходные тексты Falco распространяются под лицензией GPLv2.

В отличие от систем выявления атак на основе сигнатур, охватывающих только известные виды атак и эксплоитов, применяемая в Falco модель контроля штатного поведения приложений не пытается отследить все возможные пути проникновения, а нацелена на выявление проблемы через фиксацию действия атакующего, уже после того как он получил доступ к системе. Возможная нештатная активность определяется в форме набора правил, позволяющих отфильтровывать события, которые требуют протоколирования и отправки уведомления.

Правила охватывают широкий спектр активности в системе, включая запуск процессов, доступ к файлам, логи и сетевую активность. Например, как аномалии могут восприниматься такие события, как запуск bash в контейнере, установка исходящего сетевого соединения на не связанный с сервисом номер порта, изменение в директориях с исполняемыми файлами (/usr/bin и т.п.), создание не связанных с устройствами файлов в /dev (активность руткита), доступ к устройствам и важным системным файлам (например, web-камера и /etc/shadow) из не добавленных в белый список приложений, выполнение сетевых соединений из локальных утилит (например, ls).

Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы, и процесс-демон, осуществляющий фильтрацию аномалий. Несмотря на первый выпуск кодовая база оценивается как достаточно стабильная, так как работающий на уровне ядра модуль сбора данных о системных вызовах заимствован из уже хорошо протестированного инструмента для анализа работы системы и диагностирования проблем Sysdig. В процессе отладки и написания правил поддерживается чтение дампов трассировки sysdig, позволяющих симулировать наступление определённого события.

  1. Главная ссылка к новости (https://sysdig.com/blog/sysdig...)
  2. OpenNews: Выпуск системы обнаружения атак Snort 2.9.8.0
  3. OpenNews: Компания Cisco представила Snort 3.0, систему предотвращения атак нового поколения
  4. OpenNews: Twitter открыл код библиотеки для выявления аномалий в наборах данных
  5. OpenNews: Выпуск strace 4.11
Лицензия: CC-BY
Тип: Программы
Ключевые слова: sysdig, falco, monitorong, strace
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 22:18, 20/05/2016 [ответить] [смотреть все]
  • +/
    А вот это очень круто PCI DSS заставляет крутить на всех важных хостах Snort ил... весь текст скрыт [показать]
     
     
  • 2.3, Кирилл, 00:17, 21/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Зачем вы на хосты ставите сетевые IPS/IDS?
    Свосем наркоманы?
     
     
  • 3.4, Аноним, 00:24, 21/05/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Росанус'надзорщики
     
  • 3.8, Аноним, 10:25, 21/05/2016 [^] [ответить] [смотреть все]  
  • +/
    Standalone режим у них тоже есть В централизованном режиме нагрузка сильно не с... весь текст скрыт [показать]
     
     
  • 4.14, Аноним, 16:59, 21/05/2016 [^] [ответить] [смотреть все]  
  • +/
    Кирюх, ты в следующий, раз если чего не знаешь - смело называй всех наркоманами ... весь текст скрыт [показать]
     
  • 1.2, sage, 23:39, 20/05/2016 [ответить] [смотреть все]  
  • +/
    Давно ждал, когда они сделают оповещения о событиях на определенные фильтры. Это здорово. Большой плюс sysdig в том, что он не тормозит систему.
     
  • 1.5, cmp, 07:22, 21/05/2016 [ответить] [смотреть все]  
  • +/
    Устав боросться с кривыми программами, их загнали в контейнеры, теперь к этому прикрутили систему которая мониторит - не запустился ли баш, мне одному это кажется бредом, на кой черт контролить запуск баш в контейнере, его туда засунули чтобы он ничего не порушил, или зачем тогда контейнеры, а может еще и святой водой на всякий окропить.

    Кстате зачем отслеживать аномальную активность, а не запрещать ее? почему левые порты не закрыть фаерволом, почему не выпилить баш, на кой черт к дырявому софту добавлять софт, который наверняка не менее дряв.

     
     
  • 2.6, Аноним, 09:53, 21/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Вы не понимаете безопасность.

    // b.

     
     
  • 3.7, Аноним, 10:13, 21/05/2016 [^] [ответить] [смотреть все]  
  • +/
    И я тогда наверно тоже не понимаю эту безопасности Безопасность, в моих понят... весь текст скрыт [показать]
     
     
  • 4.10, angra, 10:32, 21/05/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Удачи тебе в описании всех прав для процесса У тебя явно очень много свободного... весь текст скрыт [показать]
     
     
  • 5.11, Аноним, 10:50, 21/05/2016 [^] [ответить] [смотреть все]  
  • +/
    Можно использовать общие правила работающие сразу для всех процессов Например з... весь текст скрыт [показать]
     
     
  • 6.25, Аноним, 23:49, 22/05/2016 [^] [ответить] [смотреть все]  
  • +/
    Только работать будет криво и потребуется нестандартный подход к администрирован... весь текст скрыт [показать]
     
  • 5.19, grsec, 01:25, 22/05/2016 [^] [ответить] [смотреть все]  
  • +/
    Привет начальству, которое мешает тебе погрузиться в описание всех прав для проц... весь текст скрыт [показать]
     
     
  • 6.20, Аноним, 04:36, 22/05/2016 [^] [ответить] [смотреть все]  
  • +/
    Как ты ловко макнул Билла Гейтса.
     
  • 5.22, cmp, 12:23, 22/05/2016 [^] [ответить] [смотреть все]  
  • +/
    Начальство))), начальство всегда требует много за мало времени, это не разу не повод лепить залепуху, впрочем миром правят комерсы, а им на все насрать лишь бы деньги текли.

    Но у меня уже есть жизненый опыт, когда съэкономини пару копеек, зато потом самые печальные последствия с уголовным делом, допросами и тд, хотя я предупреждал, а они не послушали, так что могу позволить себе встать в позу, хотя отвественности за халатность в области ИТ безопасности не предусмотрена, так что всем похер, мне тоже похер, но это не правильно.

     
  • 2.9, angra, 10:29, 21/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает ли это, что ненужно и оповещать экипаж о факте заполнения отсека водой? Помедитируй над этим вопросами.
     
     
  • 3.15, Аноним, 22:01, 21/05/2016 [^] [ответить] [смотреть все]  
  • +/
    Надо делать дешевые корабли и нанимать матросов, которых потом никто не будет ис... весь текст скрыт [показать]
     
     
  • 4.16, Crazy Alex, 22:38, 21/05/2016 [^] [ответить] [смотреть все]  
  • +/
    Тоже вариант, в общем-то, и неплохой. Но то, что с кораблём что-то не то и его пора взорвать ко всем чертям тоже надо как-то понять.
     
  • 3.23, ано, 20:13, 22/05/2016 [^] [ответить] [смотреть все]  
  • +/
    > Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной
    > пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает
    > ли это, что ненужно и оповещать экипаж о факте заполнения отсека
    > водой? Помедитируй над этим вопросами.

    Про пробоины уже давно все описано в должностных инструкциях

    А нам предлагают дополнить эту инструкцию новыми правилами. Например, боцман после обеда должен проследить куда выливает остатки борща кок. Вдруг он в трюм выливает ? Тогда проверить трюм уже критически наполнен борщем или еще можно лить

    Вы не находите, что такие инструкции для боцмана - чушь ?

     
  • 2.24, Аноним, 23:46, 22/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Можно и запретить до кучи Только вот файрвол не поможет от взлома например вебн... весь текст скрыт [показать] [показать ветку]
     
  • 1.17, RomanCh, 22:50, 21/05/2016 [ответить] [смотреть все]  
  • +/
    Офигенный у них сайт. Без жабоскрипта не то что "плохо работает" - вообще ничего кликнуть нельзя. Видимо в целях безопасности так сделано...
     
  • 1.18, grsec, 01:21, 22/05/2016 [ответить] [смотреть все]  
  • +/
    > Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы,

    ИМХО велосипед.

     
     
  • 2.21, Аноним, 04:37, 22/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Очень ценное мнение Обоснования видимо не последует и сообществу придётся смири... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor