Taller: detectando amenzas de seguridad con Falco

Detalles

Empezamos el año con un taller de un gran nivel y 100% gratuito. Un evento que tendrá el placer de contar como ponente a Vicente Herrera, Cloud Native Security Advocate, en Sysdig.

Falco es una herramienta open source de auditoría y monitorización de seguridad en sistemas Linux (www.falco.org).

A diferencia de Seccomp o AppArmor no trata de restringir acciones. Falco se ejecuta en el espacio de usuario, utilizando un módulo de kernel para interceptar llamadas al sistema, lo que le permite integrarse con sistemas de orquestación externos como Docker y Kubernetes.

En este taller aprenderemos empezando con base del uso de Falco junto a Docker para detectar anomalías en el comportamiento de un container. No es preciso conocimiento pervio avanzado de Docker, pero facilitará la comprensión.

Cubriremos los siguientes escenarios de amenaza de seguridad:

Un container ejecuta un shell interactivo
Proceso en ejecución no autorizado
Escritura en un directorio fuera del directorio de datos del usuario.

En los escenarios representaremos los roles tanto del atacanto como del defensor, verificando en cada caso que los intentos de intrusión han sido detectados por Falco.

También comentaremos las reglas disponibles en el catálogo open source de reglas de seguridad de la web Cloud Native Security Hub, así como proponer entre el público cómo se escribirían reglas nuevas relacionadas con las sugerencias que se nos ocurran. Se darán nociones de funcionamiento a nivel Kubernetes, así como enlazar con acciones de respuesta a las detecciones con Kubernetes Response Engine.