Kapitel 9. Intrusion Detection

In diesem Kapitel werden wir sehen, wie die Container Intrusion Detection mit der neuen Low-Level eBPF-Schnittstelle funktioniert, wie die Forensik eines Containers aussieht und wie man Angreifer erwischt, die alle anderen Kontrollen umgangen haben.

Defense in depth bedeutet, dass du das Vertrauen in jede Sicherheitskontrolle, die du einsetzt, begrenzen musst. Keine Lösung ist unfehlbar, aber du kannst Intrusion Detection Systeme (IDS) einsetzen, um unerwartete Aktivitäten zu erkennen, so wie Bewegungssensoren Bewegungen erkennen. Da dein Gegner bereits auf dein System zugegriffen und vielleicht sogar schon vertrauliche Informationen eingesehen hat, überprüft ein IDS dein System in Echtzeit auf unerwartetes Verhalten und beobachtet oder blockiert es. Warnungen können weitere Abwehrmaßnahmen eines IDS auslösen, wie z. B. das Löschen von kompromittiertem Speicher oder die Aufzeichnung von Netzwerkaktivitäten.

Intrusion Detection kann Lese- und Schreibzugriffe auf Dateien, Netzwerke und den Kernel untersuchen, um sie mit einer Erlaubnis- oder Verweigerungsliste zu überprüfen oder zu blockieren (wie es die seccomp-bpf Konfiguration tut). Wenn das Hard Hat Hacking Collective von Captain Hashjack Fernzugriff auf deine Server hat, könnte ein IDS durch die Verwendung von Malware mit bekannten Verhaltenssignaturen, das Scannen ...