Sysdig beveiligt containeromgevingen via Falco

Het jonge in San Francisco gevestigde bedrijf Sysdig heeft veel succes met Falco, een open source project voor het beveiligen van containeromgevingen in de breedste zin van het woord. Op dit moment zijn er al 700 klanten, waarvan 150 uit de top 1000 ondernemingen. Het succes laat zich vertalen in de financiële cijfers, met een perfecte jaarlijkse groei van meer dan 120%.

In de markt wordt de Falco container en run-time monitor gebruikt om een centraal threat detection systeem te voorzien van alarmeringen. Hiermee controleert men systeemgebeurtenissen die uit de kernel komen en ondersteunt dat voor hosts, containers en AWS Fargate. Sysdig CEO Suresh Vasudevan: “Deze aanpak, om zowel gebeurtenissen als patronen in het containersysteem te monitoren, kan ook worden gebruikt om netwerk- en storageomgevingen te bewaken en daarin activiteiten en ongewenste reacties op te sporen.”

De veranderende bedrijfsprocessen, waarin open source steeds meer standaard wordt, vereisen een nieuwe frisse kijk op security. Daarom is de Falcon open-source aanpak een sterke troef voor de detectie van, response op en het prioteriseren van risico’s.

Het open source Falcon-concept maakt gebruik van softwaresensoren die systeemactiviteiten op Linux-kernelniveau detecteren. Hiervoor is het niet noodzakelijke elke container te voorzien van een eigen agent die gedragingen op lokaal niveau verzamelt en deelt met een centrale kern. Alles gaat op basis van globale gedragspatronen die in het cluster of netwerk te zien zijn. Door deze aanpak is er ook geen behoefte aan vingerafdrukken en signatures om schadelijke code te identificeren. Met de snelheid waarmee nieuwe virusvarianten opduiken is dit ook geen haalbare optie meer.

CEO Suresh Vasudevan is zeer tevreden en claimt: "We hebben de technologie ontwikkeld en verder uitgebreid om de levenscyclus van gecontaineriseerde apps van build tot run-time in de cloud te beheren en managen. Daarmee leggen we altijd de vinger op de zere plek. Het is onderdeel van onze missie om het gebruik van de cloud te beveiligen en versnellen.” We zijn de defacto runtime seciruty tool voor cloud native en inmiddels ook feitelijk een standaard component van de Kubernetes stack.”

De reikwijdte van Falco gaat verder, de software heeft ook goede ondersteuning voor netwerkdetectie, waardoor de activiteiten rond verbindingen, IP-adressen, poorten, clients en servers in de gaten gehouden kunnen worden en afwijkend gedrag gerapporteerd wordt. Hiermee is elk patroon in een netwerkomgeving dat strijdig lijkt te zijn met normaal gedrag te lokaliseren. Het open-source concept is de enabler voor het succes, zelfs bij een securityproduct.

Een interessant gratis te downloaden naslagwerk over de ontwikkelingen rond cloud security is het Sysdig 2023 Cloud-NativeSecurity and Usage Report van Pawan Shankar. Het is gebaseerd op gegevens van Sysdig-klanten over miljarden containers, duizenden cloud-accounts en duizenden applicaties waargenomen in de loop van het afgelopen jaar. Voor iedereen in de branche een naslagwerk om niet te missen.

Hans Steeman