ITPE * JackerLab

개요Falco는 CNCF(Cloud Native Computing Foundation)가 주관하는 클라우드 네이티브 런타임 보안 오픈소스 프로젝트로, 컨테이너와 쿠버네티스 환경에서 시스템 호출(Syscall)을 실시간으로 감시하고 이상 행위를 탐지하는 보안 엔진이다. 원래 Sysdig에서 개발되었으며, 현재는 CNCF의 정식 Graduated 프로젝트로 성장하였다.1. 개념 및 정의Falco는 리눅스 커널의 Syscall 스트림을 실시간으로 분석하여, 비정상적인 프로세스 동작, 권한 상승, 파일 조작, 네트워크 접근 등의 이상 행위를 탐지한다. 규칙(Rule) 기반 정책 엔진을 통해, DevSecOps 환경에서 **“실행 중인 애플리케이션의 행동 가시성(Visibility)”**을 확보할 수 있다.즉, ..

개요eBPF(extended Berkeley Packet Filter)는 리눅스 커널 공간에서 유저 공간의 개입 없이 다양한 커널 이벤트를 관찰하고 조작할 수 있는 고성능 확장 기술입니다. 이 특성을 활용하여 시스템 콜 후킹, 커널 오브젝트 은폐 등으로 동작하는 Rootkit을 탐지하는 전략이 eBPF Rootkit Detection입니다.1. 개념 및 정의eBPF Rootkit Detection은 커널의 syscall, tracepoint, kprobe, LSM hook 등 다양한 관측 지점을 활용하여 악성 행위를 실시간으로 탐지하는 방식입니다.eBPF 프로그램: 커널 내 이벤트에 반응하여 실행되는 작은 코드 조각Rootkit: 탐지 회피 및 권한 탈취를 목적으로 커널 내부 조작을 수행하는 악성 코드D..

개요현대 IT 인프라는 컨테이너, 클라우드, 마이크로서비스 아키텍처 등으로 복잡성이 증가하면서 기존 보안 솔루션의 한계를 드러내고 있습니다. 이러한 환경에서 실시간 동작 관찰 및 고성능 위협 탐지가 가능한 기술로 eBPF(extended Berkeley Packet Filter) 기반 위협 탐지가 주목받고 있습니다. eBPF는 리눅스 커널에 커널 모듈 없이 사용자 정의 코드를 삽입할 수 있는 강력한 기술로, 보안, 네트워크, 관측 분야에서 활용되고 있으며, 그중에서도 **위협 탐지(threat detection)**는 핵심 응용 사례 중 하나입니다.1. 개념 및 정의eBPF Threat Detection은 리눅스 커널의 이벤트 발생 지점을 후킹(Hook)하여, 시스템 콜, 네트워크 요청, 파일 접근, 프..