Falco на пути к версии 1.0.0

Falco - это облачный инструмент безопасности для операционной системы Linux, предназначенный для обнаружения аномального поведения и предупреждения о потенциальных угрозах безопасности в режиме реального времени. В ближайшее время выйдет его первая стабильная версия.

Falco был создан компанией SysDig в 2016 году. В 2018 году он был передан в фонд Cloud Native Computing Foundation (CNCF) в качестве инкубаторского проекта и теперь получил статус выпускника. Это означает, что проект достаточно развит, чтобы его можно было использовать в производстве.

Будучи полноценной системой наблюдения за облачными вычислениями, Falco позволяет командам обнаруживать и реагировать на угрозы, находить и определять приоритеты уязвимостей программного обеспечения, обнаруживать и исправлять неправильную конфигурацию, а также максимизировать производительность и доступность. Для этого она использует пользовательские правила для событий ядра, чтобы в режиме реального времени выдавать предупреждения и помогать пользователям получать информацию об аномальном поведении, что способствует комплексной безопасности во время выполнения.

Ключевым моментом здесь является безопасность во время выполнения. Falco осуществляет мониторинг ядра с помощью агента, который наблюдает за системными вызовами и событиями на основе пользовательских правил. Falco не останавливается на достигнутом; она может расширить эти события, интегрировав метаданные из среды выполнения контейнеров и Kubernetes. Эти оповещения могут быть легко переданы более чем 50 сторонним организациям с использованием формата JSON, который позволяет легко хранить, анализировать или запускать реакции. Собранные данные могут быть проанализированы вне хоста в системах SIEM или озерах данных.

Прежде чем использовать его для своих нужд, необходимо учесть некоторые моменты:

• Понять зависимости: Оцените среду, в которой будет работать Falco, и учтите версии ядра и архитектуры.
• Определите цели обнаружения угроз: Четко определите угрозы, которые вы хотите обнаружить, и оцените сильные и слабые стороны Falco.
• Оцените производительность и стоимость: Оцените накладные расходы на производительность вычислений и согласуйте их с системными администраторами или SRE. Составьте соответствующий бюджет.
• Выберите подход к сборке и настройке: Выберите между сборкой Falco с открытым исходным кодом и созданием собственного конвейера сборки. При необходимости настройте процесс сборки и развертывания, включая уникальные тесты или подходы, чтобы обеспечить устойчивое развертывание с быстрым циклом развертывания.
• Интеграция с местами вывода: Интегрируйте Falco с SIEM, системами озер данных или другими предпочтительными местами вывода, чтобы создать надежную основу для всестороннего анализа данных и обеспечить эффективные рабочие процессы реагирования на инциденты.

Получив одобрение от CFNF, Falco планирует выпустить версию 1.0.0 и достичь следующих целей:

• Стандартизация принятия и исключения функций в движке Falco
• Создание более надежных ключевых функций и обновление структуры Yaml
• Добавление новых конструкций для решения наиболее часто запрашиваемых пользователями задач
• Переход на современный зонд eBPF в качестве драйвера по умолчанию
• Консолидация пакетов в соответствии с лучшими практиками дистрибутивов Linux
• Завершение работы по внедрению лучших практик в области безопасности цепочек поставок.

Для получения подробной информации ознакомьтесь с дорожной картой проекта.