Как Runtime Radar помогает обнаруживать атаки на цепочку поставок: кейс LiteLLM

Всем привет! Это Сергей Зюкин, разработчик экспертизы runtime-radar — опенсорсного продукта, обеспечивающего безопасность контейнерной среды выполнения. Я подготовил для вас статью, в которой расскажу, как можно обнаружить инфостилер, встроенный в библиотеку LiteLLM в результате ее недавней компрометации . Помимо этого, мы, конечно же, рассмотрим и боковое перемещение внутри Kubernetes-инфрастуктуры, которое происходит, если скрипт инфостилера запускается в поде с достаточными привилегиями. Мы не смогли удержаться и проверили, что Runtime Radar может обнаружить при реализации подобной атаки. Но обо всем по порядку.

https://habr.com/ru/companies/pt/articles/1025316/

#kubernetes #runtime_security #containers #supply_chain_attack #ebpf #tetragon #runtimeradar #open_source #security

Attending the #kunai workshop at @BSidesLuxembourg held by @qjerome from circle.lu.
kunai is a #Linux security monitoring tool, that very finely grained logs events from the kernel using #eBPF.
Interesting alternative to #auditd, #falco, #tetragon, #tracee, #auditbeats, or #SysmonForLinux.
I'd love to see a write-up with a compairson of all them.

https://kunai.rocks/

Разработка под Kubernetes: локально всё работает, в проде — нет. Кейс с Tetragon и eBPF

Локально всё работает идеально: политики ловят нарушения, логи пишутся, система стабильна. В проде Kubernetes-кластера — теряются события, появляются дубли, а дедупликация ломается от одного скрипта. Разбираю реальные проблемы, с которыми мы столкнулись при интеграции Tetragon и eBPF в реальный ИБ продукт, и почему Kubernetes ломает наивные предположения.

https://habr.com/ru/companies/ctsg/articles/1016326/

#tetragon #k8s #kubernetes #eBPF #дедупликация #безопасность_контейнеров

Защита контейнеров изнутри: как работает первый российский open-source-инструмент для мониторинга рантайма

Представьте, что вы наконец-то выстроили надежный периметр вокруг своих контейнеров, сканируете образы и настраиваете политики в соответствии с общепринятыми стандартами безопасности. И кажется, всё под контролем. Но что, если атака началась в уже запущенном контейнере? Как обнаружить, что прямо сейчас легитимный микросервис крадет ваши данные или майнит криптовалюту? В данном случае на классические средства защиты рассчитывать не приходится: они охраняют контейнеры снаружи и не видят, что происходит внутри. А большинство инструментов для выявления угроз в среде выполнения — сложные и дорогие. Тем не менее выход есть: недавно специалисты из команды PT Container Security представили рынку первое в России открытое решение для защиты рантайма контейнерных сред — Runtime Radar . Подробнее о нем в нашей статье рассказывают руководитель разработки Никита Ладошкин и эксперт Виталий Шишкин ( @JCD3nt0n ).

https://habr.com/ru/companies/pt/articles/977882/

#контейнеризация #защита_контейнеров #cybersecurity #рантайм #runtime_radar #container_security #kprobe #tetragon #детектирование #ebpf

Kprobes и где они обитают

Про eBPF уже сказано и написано достаточно много, поэтому я хочу сделать следующий шаг и чуть глубже рассмотреть практические аспекты работы c таким механизмом, как kprobe , который позволяет использовать функции ядра Linux для динамического запуска пользовательского кода. Статья поможет ответить на вопросы: - Как понять, какую функцию ядра выбрать для использования с механизмом kprobe? - С чего начать ее поиск? - Какими инструментами пользоваться? kprobe — это, по сути, ловушка, или брейкпоинт, который можно установить почти в любом месте кода ядра Linux.

https://habr.com/ru/companies/pt/articles/972442/

#ebpf #kprobes #linux #linux_kernel #container_security #контейнеризация #tetragon #ftrace #bpftrace #open_source

Tetragon: лучшие практики и нюансы разработки Tracing Policy

Привет! Меня зовут Виталий Шишкин, я эксперт продукта Container Security в Positive Technologies. За годы работы над продуктом MaxPatrol 10 мы строили аудит Linux на базе подсистемы Auditd, которая решала свою задачу и достаточно просто настраивалась, но ситуация поменялась с появлением контейнеров, которые Auditd корректно поддерживать не умеет. Поэтому эта задача потребовала не просто смену решения для аудита системы, но и создание целого продукта, который сможет учитывать особенности Kubernetes и используемые им технологии ядра Linux.

https://habr.com/ru/companies/pt/articles/970318/

#tetragon #linux #cloud_native #информационная_безопасность #аудит_безопасности #kubernetes #auditd #kprobes #ebpf

[SP] Tetragon (2021) (Puzzle) (Nintendo Switch) [GAMEPLAY] [HD] [FR]

#Switch #Tetragon #NintendoSwitch #2021 #jgo #johnnygameover #videogame #gameplay #games #gaming #short #shorts #play #shortplay #sp

https://www.youtube.com/shorts/0C_iNIRAu7w