Falco: Open source behaviorální řešení bezpečnosti



Sledování aktivit zahrnujících mimo jiné práci se soubory, spouštění procesů nebo síťové operace realizuje Falco, open source agent pro Linux, kterého před několika dny představil tým Sysdig. K jeho výhodám podle autorů patří flexibilita nastavení pravidel, při jejichž porušení agent informuje správce.


Sami autoři popisují produkt Falco (nebo též malými písmeny, falco) jako mix nástrojů snort, ossec a strace. Důvodem jeho vzniku je pak trvalý posun od bezpečnostního monitoringu založeného na signaturách k behaviorálnímu bezpečnostnímu monitoringu. Ty narozdíl od svých předchůdců nepotřebují stále aktualizovaný a pokud možno co nejkompletnější seznam všech možných slabin nebo typů útoků, ale zaměřují se na detekci chování útočníka, jakmile získá přístup k systému. A Falco se narozdíl od alternativních řešení soustředí na systémová volání, kde autoři spatřují nejzásadnější hrozby.

Jak Falco funguje

Podívejme se na příklady, jak Falco funguje. Vezměme si třeba monitoring souborů. Jednou ze standardních možností monitoringu je periodické skenování všech souborů, počítání jejich kontrolních součtů a jejich kontrola proti součtům uloženým v databázi. Jde o časově náročné, poměrně velmi neefektivní řešení. Falco volí jiný postup - sleduje jen aktivitu operačního systému směřující k zápisu do hlídaných souborů.

V případě monitoringu sítě, kde je mnohdy stále obtížnější přiřadit spolehlivě určitý provoz určitým aplikacím a vypořádat se se stále virtualizovanějším prostředím, Falco sleduje provoz takříkajíc zevnitř. Tedy opět ve formě volání systémových operací. Má tak okamžitý přehled o vztahu daného provozu k aplikacím.

Falco běží jako agent na serveru, v kontejnerizovaných prostředích ho pak lze instalovat jako kontejner monitorující hostitelský systém a další kontejnery, které na něm běží. Jakmile je nasazen, začne sledovat systémová volání a kontroluje je proti pravidlům nastaveným ve svém konfiguračním souboru.

Ke své funkci používá Falco open source funkce systému Sysdig. Ten podle autorů v současnosti spolehlivě běží na stovkách tisíc strojů po celém světě. Nastavená pravidla pak opět vycházejí z filtrů nástroje Sysdig. Každé pravidlo přitom obsahuje hlášku, která má být odeslána v případě, že je toto pravidlo porušeno.

Autoři upozorňují, že Falco skutečně pouze monitoruje dění a nesnaží se nastalou situaci řešit. K tomu je třeba využít další systémy, které lze na zprávy agenta Falco napojit.

Nová úroveň bezpečnosti

Vezměme si na závěr ještě příklad napadení SQL serveru nebo webového serveru a představme si klasické způsoby monitoringu. A pak si vezměme systém Falco, který by při správném nastavení měl být schopen rychle detekovat vznikající následky takových napadení - typicky vytváření neobvyklých souborů nebo spouštění neobvyklých procesů - i v případě, že pro samotný útok ještě neexistuje pro klasické systémy detekce průniku odpovídající signatura. Rizikovým chováním nepochybně bude třeba i to, pokud systémový proces najednou navazuje neobvyklé spojení ven ze systému.

Bezpečnost IT systémů lze pochopitelně zajistit řadou různých způsobů, nicméně Falco určitě stojí za pozornost. Právě proto se mu zde v rámci našeho speciálu zaměřeného na správu IT věnujeme. Dodejme, že Falco je k dispozici se základní sadou pravidel, která usnadní jeho nasazení v praxi.


(6. 6. 2016 | redakce2)


Předcházející článek: <<< DCIM: Efektivní správa datových center <<<
Následující článek: >>> Rittal: Tipy pro monitorování serverových skříní >>>

Tento článek je součástí speciálu:

Správa IT: Bezpečná a efektivní


Pojem Správa IT zahrnuje širokou škálu činností, jež lze zajistit - nebo podpořit - řadou různých nástrojů. Rozhodně však nejde o činnosti, jejichž obsah by byl konstantní. S tím, jak se mění informační technologie, mění se i způsob jejich správy. A také ony nástroje, samozřejmě.



Partneři speciálu:






Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

Tip - Konference: Datová centra pro byznys - 23.11.2017!


Pozoruhodné IT produkty pro rok 2017 - Nové
Věříme, že v tomto přehledu pozoruhodných produktů najdete ty, které vám pomohou ve vaší práci v IT.

Pozoruhodné IT produkty pro rok 2017
Věříme, že v tomto přehledu pozoruhodných produktů najdete ty, které vám pomohou ve vaší práci v IT.




Anketa


©2011-2017 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
Používáme účetní program Money S3
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(4149)