Falco - Linux tietoturvavalvonta
Kemppainen, Otto (2021)
2021
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021120523815
https://urn.fi/URN:NBN:fi:amk-2021120523815
Tiivistelmä
Opinnäytetyön tavoitteena oli tutkia Sysdig-yrityksen kehittämän Falco-tietoturvatyökalun soveltuvuutta ulkoistetulle CSOC:lle. Opinnäytetyön toimeksiantajana toimi Loihde Trust Oy, joka tarjoaa kyberturva- ja yritysverkkopalveluita sekä fyysiseen turvallisuuteen kuuluvia valvontakamera- ja lukitusratkaisuja. Loihde Trust Oy on osa Loihde-konsernia. CSOC on organisaation tietoturvatiimi, joka valvoo ja tutkii tietoturvapoikkeamia. Falco on tietoturvatyökalu, jolla voidaan havaita uhkia Linux-palvelimilla. Falco on kehitetty pääasiassa konttiteknologialla rakennettujen ympäristöjen valvontaan. Uhkien havainnointi tapahtuu seuraamalla Linuxin järjestelmäkutsuja, joiden perusteella Falcoon voidaan rakentaa erilaisia sääntöjä.
Falco asennettiin Loihde Trustin testiympäristöön. Testiympäristö koostui Falcosta, Logstashista ja SIEM-järjestelmästä. Logstash toimii keskitettynä keräimenä Falcon hälytyksille ja välittää hälytykset eteenpäin SIEM-järjestelmään, jonka kautta Loihde Trustin SOC-analyytikot näkisivät hälytykset tuotantoympäristössä. Falcon säännöstöä testattiin tekemällä omia sääntöjä tunnettujen haavoittuvuuksien hyväksikäyttöyritysten havainnointiin sekä yleisesti epäilyttävän toiminnan huomaamiseen. Testisäännöt havaitsivat Redis-tietosäilön ja sudon tunnetut haavoittuvuudet. Epäilyttävää toimintaa havainnoitiin tekemällä sääntö, joka havaitsee listattuihin osoitteisiin liikennöinnin. Samalla testattiin oletussäännöstön toimintaa ja mahdollisten väärien hälytysten määrää.
Testauksen perusteella Falcon havaittiin tuovan lisäarvoa tietoturvavalvontaan. Järjestelmäkutsuihin perustuva säännöstö sallii todella tarkkojen sääntöjen luonnin verrattuna CSOC:n muihin työkaluihin. Falcoa ei voida siltikään käyttää ainoana tietoturvatyökaluna, koska Falco lähettää vain hälytyksen aiheuttaneen prosessin tiedot CSOC:lle. Tarkempaa tutkintaa varten tarvitaan lisätietoja, joita voidaan saada muiden CSOC:n muiden työkalujen avulla. Falcon laajemmalle käyttöönotolle havaittiin myös haasteita. Falcon säännöstön päivitystä ei voida tehdä etänä pelkästään Falcon avulla, vaan sitä varten tarvitaan erillinen työkalu automatisointia varten. Toinen haaste on Falcon yleinen ylläpito ja vianselvitys, koska CSOC:lla ei yleensä ole pääsyä asiakkaiden tuotantopalvelimille. Haasteista huolimatta, Falcoa voidaan harkita käytettäväksi erikoistapauksissa, varsinkin konttiteknologialla rakennetuissa ympäristöissä, joihin tarvitaan lisävalvontaa järjestelmäkutsuihin perustuvalla säännöstöllä.
Falco asennettiin Loihde Trustin testiympäristöön. Testiympäristö koostui Falcosta, Logstashista ja SIEM-järjestelmästä. Logstash toimii keskitettynä keräimenä Falcon hälytyksille ja välittää hälytykset eteenpäin SIEM-järjestelmään, jonka kautta Loihde Trustin SOC-analyytikot näkisivät hälytykset tuotantoympäristössä. Falcon säännöstöä testattiin tekemällä omia sääntöjä tunnettujen haavoittuvuuksien hyväksikäyttöyritysten havainnointiin sekä yleisesti epäilyttävän toiminnan huomaamiseen. Testisäännöt havaitsivat Redis-tietosäilön ja sudon tunnetut haavoittuvuudet. Epäilyttävää toimintaa havainnoitiin tekemällä sääntö, joka havaitsee listattuihin osoitteisiin liikennöinnin. Samalla testattiin oletussäännöstön toimintaa ja mahdollisten väärien hälytysten määrää.
Testauksen perusteella Falcon havaittiin tuovan lisäarvoa tietoturvavalvontaan. Järjestelmäkutsuihin perustuva säännöstö sallii todella tarkkojen sääntöjen luonnin verrattuna CSOC:n muihin työkaluihin. Falcoa ei voida siltikään käyttää ainoana tietoturvatyökaluna, koska Falco lähettää vain hälytyksen aiheuttaneen prosessin tiedot CSOC:lle. Tarkempaa tutkintaa varten tarvitaan lisätietoja, joita voidaan saada muiden CSOC:n muiden työkalujen avulla. Falcon laajemmalle käyttöönotolle havaittiin myös haasteita. Falcon säännöstön päivitystä ei voida tehdä etänä pelkästään Falcon avulla, vaan sitä varten tarvitaan erillinen työkalu automatisointia varten. Toinen haaste on Falcon yleinen ylläpito ja vianselvitys, koska CSOC:lla ei yleensä ole pääsyä asiakkaiden tuotantopalvelimille. Haasteista huolimatta, Falcoa voidaan harkita käytettäväksi erikoistapauksissa, varsinkin konttiteknologialla rakennetuissa ympäristöissä, joihin tarvitaan lisävalvontaa järjestelmäkutsuihin perustuvalla säännöstöllä.