The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Первый выпуск системы выявления аномалий Sysdig Falco

20.05.2016 21:27

Представлен новый инструмент для контроля за безопасностью физических и виртуальных машин - Sysdig Falco, осуществляющий мониторинг за работой системы, контейнеров и приложений, выявляя отклонения в их типичном поведении. Реализуемые инструментом возможности можно сравнить с комбинацией из хостовой системы обнаружения вторжений OSSEC (HIDS), сетевой системы обнаружения атак Snort (NIDS) и отладочной утилиты strace. Исходные тексты Falco распространяются под лицензией GPLv2.

В отличие от систем выявления атак на основе сигнатур, охватывающих только известные виды атак и эксплоитов, применяемая в Falco модель контроля штатного поведения приложений не пытается отследить все возможные пути проникновения, а нацелена на выявление проблемы через фиксацию действия атакующего, уже после того как он получил доступ к системе. Возможная нештатная активность определяется в форме набора правил, позволяющих отфильтровывать события, которые требуют протоколирования и отправки уведомления.

Правила охватывают широкий спектр активности в системе, включая запуск процессов, доступ к файлам, логи и сетевую активность. Например, как аномалии могут восприниматься такие события, как запуск bash в контейнере, установка исходящего сетевого соединения на не связанный с сервисом номер порта, изменение в директориях с исполняемыми файлами (/usr/bin и т.п.), создание не связанных с устройствами файлов в /dev (активность руткита), доступ к устройствам и важным системным файлам (например, web-камера и /etc/shadow) из не добавленных в белый список приложений, выполнение сетевых соединений из локальных утилит (например, ls).

Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы, и процесс-демон, осуществляющий фильтрацию аномалий. Несмотря на первый выпуск кодовая база оценивается как достаточно стабильная, так как работающий на уровне ядра модуль сбора данных о системных вызовах заимствован из уже хорошо протестированного инструмента для анализа работы системы и диагностирования проблем Sysdig. В процессе отладки и написания правил поддерживается чтение дампов трассировки sysdig, позволяющих симулировать наступление определённого события.

  1. Главная ссылка к новости (https://sysdig.com/blog/sysdig...)
  2. OpenNews: Выпуск системы обнаружения атак Snort 2.9.8.0
  3. OpenNews: Компания Cisco представила Snort 3.0, систему предотвращения атак нового поколения
  4. OpenNews: Twitter открыл код библиотеки для выявления аномалий в наборах данных
  5. OpenNews: Выпуск strace 4.11
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/44470-sysdig
Ключевые слова: sysdig, falco, monitorong, strace
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 22:18, 20/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В отличие от систем выявления атак на основе сигнатур, охватывающих только известные виды атак и эксплоитов,

    А вот это очень круто. PCI DSS заставляет крутить на всех важных хостах Snort или Suricata, которые тормозят и греют воздух, проверяя, не применяется и к Linux-серверу атака на NTLM и прочие важные вещи. Эксплоиты в их правила попадают сильно позже, чем закрываются обновлениями безопасности.

     
     
  • 2.3, Кирилл (??), 00:17, 21/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем вы на хосты ставите сетевые IPS/IDS?
    Свосем наркоманы?
     
     
  • 3.4, Аноним (-), 00:24, 21/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Росанус'надзорщики
     
  • 3.8, Аноним (-), 10:25, 21/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем вы на хосты ставите сетевые IPS/IDS?

    Standalone режим у них тоже есть. В централизованном режиме нагрузка сильно не снизится, правила всё равно проверяются на хосте. Ставим, потому что требования PCI DSS.

     
     
  • 4.14, Аноним (-), 16:59, 21/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Кирюх, ты в следующий, раз если чего не знаешь - смело называй всех наркоманами. Желательно а реале. Чтобы у окружающих был удобный доступ к твоему лицу. Так победишь.
     

  • 1.2, sage (??), 23:39, 20/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давно ждал, когда они сделают оповещения о событиях на определенные фильтры. Это здорово. Большой плюс sysdig в том, что он не тормозит систему.
     
  • 1.5, cmp (ok), 07:22, 21/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Устав боросться с кривыми программами, их загнали в контейнеры, теперь к этому прикрутили систему которая мониторит - не запустился ли баш, мне одному это кажется бредом, на кой черт контролить запуск баш в контейнере, его туда засунули чтобы он ничего не порушил, или зачем тогда контейнеры, а может еще и святой водой на всякий окропить.

    Кстате зачем отслеживать аномальную активность, а не запрещать ее? почему левые порты не закрыть фаерволом, почему не выпилить баш, на кой черт к дырявому софту добавлять софт, который наверняка не менее дряв.

     
     
  • 2.6, Аноним (-), 09:53, 21/05/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы не понимаете безопасность.

    // b.

     
     
  • 3.7, Аноним (-), 10:13, 21/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И я тогда наверно тоже не понимаю "эту безопасности".

    Безопасность, в моих понятиях, это когда у каждого процесса необходимое и достаточное количество прав, а шаг в лево или в право, сразу, как минимум, расстрел процесса и сообщение в логах. В особых случаях, где работа процесса особо критична, его можно не убивать, а просто послать сообщение.

     
     
  • 4.10, angra (ok), 10:32, 21/05/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Удачи тебе в описании всех прав для процесса. У тебя явно очень много свободного времени и нет начальства.
     
     
  • 5.11, Аноним (-), 10:50, 21/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Удачи тебе в описании всех прав для процесса. У тебя явно очень
    > много свободного времени и нет начальства.

    Можно использовать общие правила работающие сразу для всех процессов. Например зачем мониторить /bin & /usr/bin если можно / & /usr монтировать ro и kernel.grsecurity.romount_protect = 1 Подобно закрываем и другие дыры, сразу для всех процессов.

    В теории идеалист, и желал бы необходимых и достаточных правил для всех процессов. RSBAC от Grsecurity с gradmin могут самообучаться. На практике, пока начальство думает что безопасность == мозготрах, более чем точное написание сетевых фильтров для процессов не делаю.

     
     
  • 6.25, Аноним (-), 23:49, 22/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно использовать общие правила работающие сразу для всех процессов. Например зачем мониторить
    > /bin & /usr/bin если можно / & /usr монтировать ro и
    > kernel.grsecurity.romount_protect = 1 Подобно закрываем и другие дыры, сразу для всех
    > процессов.

    Только работать будет криво и потребуется нестандартный подход к администрированию. Если это не проблема - тогда можно компьюткр вообще не включать.

     
  • 5.19, grsec (ok), 01:25, 22/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Удачи тебе в описании всех прав для процесса. У тебя явно очень много свободного времени и нет начальства.

    Привет начальству, которое мешает тебе погрузиться в описание всех прав для процесса. Секурити, чо.

     
     
  • 6.20, Аноним (-), 04:36, 22/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Как ты ловко макнул Билла Гейтса.
     
  • 5.22, cmp (ok), 12:23, 22/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Начальство))), начальство всегда требует много за мало времени, это не разу не повод лепить залепуху, впрочем миром правят комерсы, а им на все насрать лишь бы деньги текли.

    Но у меня уже есть жизненый опыт, когда съэкономини пару копеек, зато потом самые печальные последствия с уголовным делом, допросами и тд, хотя я предупреждал, а они не послушали, так что могу позволить себе встать в позу, хотя отвественности за халатность в области ИТ безопасности не предусмотрена, так что всем похер, мне тоже похер, но это не правильно.

     
  • 2.9, angra (ok), 10:29, 21/05/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает ли это, что ненужно и оповещать экипаж о факте заполнения отсека водой? Помедитируй над этим вопросами.
     
     
  • 3.15, Аноним (-), 22:01, 21/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Надо делать дешевые корабли и нанимать матросов, которых потом никто не будет искать. Очевидно же.
     
     
  • 4.16, Crazy Alex (ok), 22:38, 21/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Тоже вариант, в общем-то, и неплохой. Но то, что с кораблём что-то не то и его пора взорвать ко всем чертям тоже надо как-то понять.
     
  • 3.23, ано (?), 20:13, 22/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной
    > пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает
    > ли это, что ненужно и оповещать экипаж о факте заполнения отсека
    > водой? Помедитируй над этим вопросами.

    Про пробоины уже давно все описано в должностных инструкциях

    А нам предлагают дополнить эту инструкцию новыми правилами. Например, боцман после обеда должен проследить куда выливает остатки борща кок. Вдруг он в трюм выливает ? Тогда проверить трюм уже критически наполнен борщем или еще можно лить

    Вы не находите, что такие инструкции для боцмана - чушь ?

     
  • 2.24, Аноним (-), 23:46, 22/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстате зачем отслеживать аномальную активность, а не запрещать ее?

    Можно и запретить до кучи. Только вот файрвол не поможет от взлома например вебни, а атакующий потом может файрвол и протуннелить или даже заапгрейдить права и почистить правила, если надо.

     

  • 1.17, RomanCh (ok), 22:50, 21/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Офигенный у них сайт. Без жабоскрипта не то что "плохо работает" - вообще ничего кликнуть нельзя. Видимо в целях безопасности так сделано...
     
  • 1.18, grsec (ok), 01:21, 22/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы,

    ИМХО велосипед.

     
     
  • 2.21, Аноним (-), 04:37, 22/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Очень ценное мнение. Обоснования видимо не последует и сообществу придётся смириться с твоим немногословием?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру