Wir scannen Docker Images auf Schwachstellen. Wir haben Network Policies. Wir haben RBAC. Aber was, wenn ein Angreifer in einen laufenden Container eindringt? Falco erkennt anomales Verhalten auf der Ebene der Systemaufrufe.
Warum Image Scanning nicht ausreicht¶
Zero-Day-Schwachstellen befinden sich nicht in Datenbanken. Runtime-Fehlkonfiguration. Supply-Chain-Angriff. Insider-Bedrohung. Sie brauchen Runtime-Monitoring.
Falco — Behavioral Monitoring¶
- rule: Terminal shell in container
desc: A shell was spawned in a container
condition: spawned_process and container and shell_procs
output: Shell spawned (user=%user.name container=%container.name)
priority: WARNING
Unsere Regeln¶
- Shell im Container gestartet → WARNING
- Lesen von /etc/shadow → WARNING
- Unerwartete ausgehende Verbindung → NOTICE
- Package Manager in der Produktion → CRITICAL
- Binary aus /tmp → CRITICAL
False Positives¶
Anfangs von falschen Alarmen überflutet. Das Tuning der Regeln dauert Wochen. Empfehlung: eine Woche im Audit-Modus, analysieren, Ausnahmen hinzufügen, dann Alerting aktivieren.
Runtime Security ist die letzte Verteidigungslinie¶
Prävention (Scanning, RBAC, Network Policies) ist die Grundlage. Detection (Falco) ist die Absicherung. Zusammen bilden sie Defense-in-Depth.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns