Capítulo 9. eBPF para a segurança
Este trabalho foi traduzido com recurso a IA. Agradecemos o teu feedback e comentários: translation-feedback@oreilly.com
Viste como o eBPF pode ser usado para observar eventos num sistema e reportar informação sobre esses eventos a ferramentas do espaço do utilizador. Neste capítulo, vais considerar como construir sobre o conceito de deteção de eventos para criar ferramentas de segurança baseadas no eBPF que podem detetar, ou mesmo prevenir, atividades maliciosas. Vou começar por te ajudar a compreender o que torna a segurança diferente de outros tipos de observabilidade.
Nota
O código de exemplo para este capítulo está no repositório do GitHub no diretório chapter9.
A observabilidade da segurança requer uma política e um contexto
A diferença entre uma ferramenta de segurança e uma ferramenta de observabilidade que relata eventos é que uma ferramenta de segurança precisa de ser capaz de distinguir entre eventos que são esperados em circunstâncias normais e eventos que sugerem que pode estar a ocorrer uma atividade maliciosa. Por exemplo, supõe que tens uma aplicação que escreve dados num ficheiro local como parte do seu processamento normal. Digamos que se espera que a aplicação escreva em /home/<username>/<filename>, pelo que esta atividade não é algo que te interesse do ponto de vista da segurança. No entanto, gostarias de ser notificado se a aplicação escrever para uma das muitas localizações de ficheiros sensíveis no Linux. Por exemplo, é ...