Skenujeme Docker image na zranitelnosti. Máme Network Policies. Máme RBAC. Ale co když útočník pronikne dovnitř běžícího kontejneru? Falco detekuje anomální chování na úrovni systémových volání.
Proč nestačí image scanning¶
Zero-day zranitelnosti nejsou v databázích. Misconfiguration v runtime. Supply chain attack. Insider threat. Potřebujete runtime monitoring.
Falco — behavioral monitoring¶
- rule: Terminal shell in container
desc: A shell was spawned in a container
condition: spawned_process and container and shell_procs
output: Shell spawned (user=%user.name container=%container.name)
priority: WARNING
Naše pravidla¶
- Shell spawned v kontejneru → WARNING
- Čtení /etc/shadow → WARNING
- Neočekávaný outbound connection → NOTICE
- Package manager v produkci → CRITICAL
- Binárka z /tmp → CRITICAL
False positives¶
Na začátku zavaleni falešnými alerty. Tuning pravidel trvá týdny. Doporučení: audit mód na týden, analyzovat, přidat výjimky, pak zapnout alerting.
Runtime security je poslední obranná linie¶
Prevention (scanning, RBAC, Network Policies) je základ. Detection (Falco) je pojistka. Dohromady tvoří defense-in-depth.
falcocontainer securitykubernetesruntime security