Introdução ao Falco: Por que você precisa usá-lo ou conhecê-lo

Sun, Dec 3, 2023 3-minute read

Fim de 2023 e compartilhando conteúdo planejado em 2021, lol, mas aqui estamos. Voltamos em 2023 com um novo assistente. Antes, eu pedia a amigos com bom português para corrigir os textos, mas hoje já podemos contar com um bom assistente pessoal (Obrigado, ChatGPT).

Por que criar conteúdo agora, em plena era das Inteligências Artificiais? Simples. Afinal, quem as IAs vão consultar como fonte de conteúdo? Quem veio primeiro, o conteúdo ou os organizadores de conteúdo? Será que podemos fazer um paralelo com a questão da galinha e o ovo? Isso daria um bom post!

Bora!

Não é de hoje que segurança é um assunto importante. Tudo evolui, inclusive as ameaças, mas muitos dos ataques continuam os mesmos. Antigamente, muito se falava em HIDS, mas, pelo que parece, temos um novo nome para esse tipo de ferramenta: EDR ou XDR (Eita quanta siglas). É aí que a gente se pergunta: quem é o Falco mas antes oque e HIDS, EDR e XDR:

  • HIDS (Host-based Intrusion Detection System): Sistema de Detecção de Intrusão Baseado em Host. Monitora e analisa atividades em um único dispositivo para identificar possíveis ameaças de segurança.

  • EDR (Endpoint Detection and Response): Detecção e Resposta em Endpoints. É uma evolução do HIDS, focado na detecção em tempo real de ameaças nos endpoints (computadores, dispositivos móveis etc.), além de fornecer capacidades de resposta a essas ameaças.

  • XDR (Extended Detection and Response): Detecção e Resposta Estendida. Vai além do escopo do EDR ao integrar dados de múltiplas fontes de segurança, como endpoints, redes, e-mails etc., para oferecer uma visão mais ampla e resposta coordenada a ameaças em toda a infraestrutura de uma organização.

O Falco é uma ferramenta de segurança open-source cloud-native desenvolvida sob a CNCF, projetado pela SYSDIG (https://sysdig.com), empresa da área de segurança, com ferramentas consolidadas no mercado e de altissima qualidade. Em sua essência, o Falco é um HIDS que pode fortalecer ambientes EDR ou XDR, especificamente voltados para contêineres. No entanto, sua simplicidade aparente esconde uma profundidade notável, abrigando conceitos intrigantes e um vasto leque de aplicações possíveis."

“O objetivo do Falco é detectar e alertar sobre atividades suspeitas monitorando o comportamento do kernel do Linux e container runtime” Falco - https://sysdig.com/learn-cloud-native/container-security/what-is-falco/

Já considerou o maior benefício disso tudo? Percebeu que eles enfatizam o monitoramento do comportamento do kernel do Linux e dos containers? Embora existam várias técnicas de invasão, são poucas as capazes de enganar o kernel. Imagine ter a capacidade de monitorar os comportamentos indesejados. Por exemplo, o Falco pode detectar a execução de um shell reverso ou identificar um processo que está realizando modificações em arquivos sensíveis, além de uma variedade de outras ameaças. Isso demonstra a abrangência e a eficácia dessa ferramenta na detecção e prevenção de atividades suspeitas, oferecendo um alto nível de segurança para ambientes de computação em nuvem e infraestruturas modernas

O objetivo deste post é introduzir uma ferramenta que tem sido destaque no mundo da segurança e pode solucionar vários requisitos de auditoria de segurança, tais como NIS, PCI-DSS, 27001, entre outros.

Planejo fazer uma série dedicada ao Falco, explorando seu funcionamento em conjunto com o kernel do Linux. Vamos abordar os desafios e estratégias para sua implementação em ambientes serverless, bem como discutir sua integração com ferramentas de segurança SIEM. Então bora explorar o potencial do Falco e suas habilidades para reforçar a segurança nos ambientes avançados não apenas para computação em nuvem mas também on-premises.