Sledování aktivit zahrnujících mimo jiné práci se soubory, spouštění procesů nebo síťové operace realizuje Falco, open source agent pro Linux, kterého před několika dny představil tým Sysdig. K jeho výhodám podle autorů patří flexibilita nastavení pravidel, při jejichž porušení agent informuje správce.
Sami autoři popisují produkt Falco (nebo též malými písmeny, falco) jako mix nástrojů snort, ossec a strace. Důvodem jeho vzniku je pak trvalý posun od bezpečnostního monitoringu založeného na signaturách k behaviorálnímu bezpečnostnímu monitoringu. Ty narozdíl od svých předchůdců nepotřebují stále aktualizovaný a pokud možno co nejkompletnější seznam všech možných slabin nebo typů útoků, ale zaměřují se na detekci chování útočníka, jakmile získá přístup k systému. A Falco se narozdíl od alternativních řešení soustředí na systémová volání, kde autoři spatřují nejzásadnější hrozby.
Podívejme se na příklady, jak Falco funguje. Vezměme si třeba monitoring souborů. Jednou ze standardních možností monitoringu je periodické skenování všech souborů, počítání jejich kontrolních součtů a jejich kontrola proti součtům uloženým v databázi. Jde o časově náročné, poměrně velmi neefektivní řešení. Falco volí jiný postup - sleduje jen aktivitu operačního systému směřující k zápisu do hlídaných souborů.
V případě monitoringu sítě, kde je mnohdy stále obtížnější přiřadit spolehlivě určitý provoz určitým aplikacím a vypořádat se se stále virtualizovanějším prostředím, Falco sleduje provoz takříkajíc zevnitř. Tedy opět ve formě volání systémových operací. Má tak okamžitý přehled o vztahu daného provozu k aplikacím.
Falco běží jako agent na serveru, v kontejnerizovaných prostředích ho pak lze instalovat jako kontejner monitorující hostitelský systém a další kontejnery, které na něm běží. Jakmile je nasazen, začne sledovat systémová volání a kontroluje je proti pravidlům nastaveným ve svém konfiguračním souboru.
Ke své funkci používá Falco open source funkce systému Sysdig. Ten podle autorů v současnosti spolehlivě běží na stovkách tisíc strojů po celém světě. Nastavená pravidla pak opět vycházejí z filtrů nástroje Sysdig. Každé pravidlo přitom obsahuje hlášku, která má být odeslána v případě, že je toto pravidlo porušeno.
Autoři upozorňují, že Falco skutečně pouze monitoruje dění a nesnaží se nastalou situaci řešit. K tomu je třeba využít další systémy, které lze na zprávy agenta Falco napojit.
Vezměme si na závěr ještě příklad napadení SQL serveru nebo webového serveru a představme si klasické způsoby monitoringu. A pak si vezměme systém Falco, který by při správném nastavení měl být schopen rychle detekovat vznikající následky takových napadení - typicky vytváření neobvyklých souborů nebo spouštění neobvyklých procesů - i v případě, že pro samotný útok ještě neexistuje pro klasické systémy detekce průniku odpovídající signatura. Rizikovým chováním nepochybně bude třeba i to, pokud systémový proces najednou navazuje neobvyklé spojení ven ze systému.
Bezpečnost IT systémů lze pochopitelně zajistit řadou různých způsobů, nicméně Falco určitě stojí za pozornost. Právě proto se mu zde v rámci našeho speciálu zaměřeného na správu IT věnujeme. Dodejme, že Falco je k dispozici se základní sadou pravidel, která usnadní jeho nasazení v praxi.
Pojem Správa IT zahrnuje širokou škálu činností, jež lze zajistit - nebo podpořit - řadou různých nástrojů. Rozhodně však nejde...