OpenForum RSS: Первый выпуск системы выявления аномалий Sysdig Falco https://opennet.me/openforum/vsluhforumID3/107998.html Представлен (https://sysdig.com/blog/sysdig-falco/) новый инструмент для контроля за безопасностью физических и виртуальных машин - Sysdig Falco (http://www.sysdig.org/falco/), осуществляющий мониторинг за работой системы, контейнеров и приложений, выявляя отклонения в их типичном поведении. Реализуемые инструментом возможности можно сравнить с комбинацией из хостовой системы обнаружения вторжений OSSEC (http://ossec.github.io/) (HIDS (https://ru.wikipedia.org/wiki/%D0%A5%D0%BE%D1%81%D1%82%D0%BE%D0%B2%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9)), сетевой системы обнаружения атак Snort (https://www.snort.org/) (NIDS (https://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9)) и отладочной утилиты s Первый выпуск системы выявления аномалий Sysdig Falco (Аноним) https://opennet.me/openforum/vsluhforumID3/107998.html#25 Sun, 22 May 2016 20:49:59 GMT &gt; Можно использовать общие правила работающие сразу для всех процессов. Например зачем мониторить <br>&gt; /bin & /usr/bin если можно / & /usr монтировать ro и <br>&gt; kernel.grsecurity.romount_protect = 1 Подобно закрываем и другие дыры, сразу для всех <br>&gt; процессов.<br><br>Только работать будет криво и потребуется нестандартный подход к администрированию. Если это не проблема - тогда можно компьюткр вообще не включать.<br> Первый выпуск системы выявления аномалий Sysdig Falco (Аноним) https://opennet.me/openforum/vsluhforumID3/107998.html#24 Sun, 22 May 2016 20:46:37 GMT &gt; Кстате зачем отслеживать аномальную активность, а не запрещать ее? <br><br>Можно и запретить до кучи. Только вот файрвол не поможет от взлома например вебни, а атакующий потом может файрвол и протуннелить или даже заапгрейдить права и почистить правила, если надо.<br> Первый выпуск системы выявления аномалий Sysdig Falco (ано) https://opennet.me/openforum/vsluhforumID3/107998.html#23 Sun, 22 May 2016 17:13:52 GMT &gt; Разбиение корабля на отсеки и их герметизация позволяет не утонуть от одной <br>&gt; пробоины. Означает ли это, что пробоины латать вообще не нужно? Означает <br>&gt; ли это, что ненужно и оповещать экипаж о факте заполнения отсека <br>&gt; водой? Помедитируй над этим вопросами.<br><br>Про пробоины уже давно все описано в должностных инструкциях<br><br>А нам предлагают дополнить эту инструкцию новыми правилами. Например, боцман после обеда должен проследить куда выливает остатки борща кок. Вдруг он в трюм выливает ? Тогда проверить трюм уже критически наполнен борщем или еще можно лить<br><br>Вы не находите, что такие инструкции для боцмана - чушь ?<br> Первый выпуск системы выявления аномалий Sysdig Falco (cmp) https://opennet.me/openforum/vsluhforumID3/107998.html#22 Sun, 22 May 2016 09:23:17 GMT Начальство))), начальство всегда требует много за мало времени, это не разу не повод лепить залепуху, впрочем миром правят комерсы, а им на все насрать лишь бы деньги текли.<br><br>Но у меня уже есть жизненый опыт, когда съэкономини пару копеек, зато потом самые печальные последствия с уголовным делом, допросами и тд, хотя я предупреждал, а они не послушали, так что могу позволить себе встать в позу, хотя отвественности за халатность в области ИТ безопасности не предусмотрена, так что всем похер, мне тоже похер, но это не правильно.<br> Первый выпуск системы выявления аномалий Sysdig Falco (Аноним) https://opennet.me/openforum/vsluhforumID3/107998.html#21 Sun, 22 May 2016 01:37:45 GMT Очень ценное мнение. Обоснования видимо не последует и сообществу придётся смириться с твоим немногословием?<br><br> Первый выпуск системы выявления аномалий Sysdig Falco (Аноним) https://opennet.me/openforum/vsluhforumID3/107998.html#20 Sun, 22 May 2016 01:36:05 GMT Как ты ловко макнул Билла Гейтса.<br> Первый выпуск системы выявления аномалий Sysdig Falco (grsec) https://opennet.me/openforum/vsluhforumID3/107998.html#19 Sat, 21 May 2016 22:25:59 GMT &gt; Удачи тебе в описании всех прав для процесса. У тебя явно очень много свободного времени и нет начальства. <br><br>Привет начальству, которое мешает тебе погрузиться в описание всех прав для процесса. Секурити, чо. <br> Первый выпуск системы выявления аномалий Sysdig Falco (grsec) https://opennet.me/openforum/vsluhforumID3/107998.html#18 Sat, 21 May 2016 22:21:18 GMT &gt; Основу Falco составляет модуль ядра Linux, отслеживающий системные вызовы и другие события уровня операционной системы, <br><br>ИМХО велосипед. <br> Первый выпуск системы выявления аномалий Sysdig Falco (RomanCh) https://opennet.me/openforum/vsluhforumID3/107998.html#17 Sat, 21 May 2016 19:50:41 GMT Офигенный у них сайт. Без жабоскрипта не то что "плохо работает" - вообще ничего кликнуть нельзя. Видимо в целях безопасности так сделано...<br>