オープンソースのFalcoがKubeCon EU 2024の期間中にCloud Native Computing Foundation®(CNCF)を卒業してから、1年余りが経ちましたが、その勢いは衰えていません。リアルタイムの脅威対応の進化や、クラウドネイティブ環境全体での監査イベント収集の拡大、1億5,000万ダウンロードの達成、さらにはStratosharkのようにFalcoのライブラリ上に構築される新たなオープンソース技術まで、プロジェクトは急速に進化し続けています。
CNCF卒業以降のFalcoの主要な進展と、今後の展望を見ていきましょう――その前に、まずは主なハイライトを簡単に振り返ります。
- Falco Talonの作成と、falcosecurity Githubへの寄贈。
- (Falcoベースの)Windows向けSysdig Agent:いいですね!
- Falco Pluginsの領域全体での広範な進展と40%の成長。
- Falco Feeds…そしてそれがあなたにとって何を意味するのか。
- Stratosharkの登場による、Wiresharkの進化とFalcoのレガシー!
Falco Talon
FalcoメンテナーのThomas Labarussiasによって開発されたFalco Talonは、Falcoイベント専用に設計された専用レスポンスエンジンです。2024年9月6日、この新規開発エンジンを公式のfalcosecurity GitHubリポジトリへ寄贈するためのプルリクエストが提出されました。
Talonはノーコードのソリューションで、Falcoルールに似た使いやすい体験を提供し、追記(append)と上書き(override)の仕組みを備えた馴染みのある.yamlファイルを使用します。これにより、セキュリティチームは関連するTrace ID付きの構造化ログ出力を受け取りながら、順次実行されるレスポンスアクションを定義できます。
Falco Talonのインストールは、Kubernetesデプロイ向けの公式falcosecurity Helmチャートを通じてシームレスに行えます。レスポンスアクションは、ルール名、優先度、タグ、あるいは特定の出力フィールドに基づいてFalcoの検知ルールへマッピングできます。これにより、リアルタイムでインラインのレスポンスアクションを確実にしつつ、DevOpsチームがイベントマッチングを微調整し、必要に応じてデフォルトルールを上書きできる柔軟性を得られるため、検知と対応のワークフローが大幅に強化されます。
Falco技術に基づくWindows向けSysdig Agent
オープンソースのFalcoコミュニティに愛される同じYAMLベースの検知ルールロジックを土台に、SysdigチームはFalcoをベースとしたWindows向けエージェントを開発しました。これはSysdigプラットフォームの中核コンポーネントであり、Windowsカーネルから直接リアルタイムの脅威を検知します。FalcoがLinux上で動作するのと同様に――カーネルモジュールまたはeBPFプローブによるシステムコール収集を用いて――このWindows実装でもマクロやリストといった馴染みのある抽象化を維持し、シームレスなユーザー体験を実現しています。
主な違いはイベント収集のアプローチにあります。カーネルプローブの代わりに、WindowsエージェントはEvent Tracing for Windows(ETW)ドライバーを活用し、Kubernetes内のWindowsワークロードのアクティビティを監視するための効率的で信頼性の高い方法を提供します。
以下は、Windows向けSysdig Agentを使用したSysdigプラットフォームにおける検知ルールの例です。
- rule: Suspicious Binary added via WinLogon Helper
description: >
Winlogon is a Windows component which handles various activities such as the
Logon, Logoff, or loading user profile during authentication. This behavior is
managed by the registry, and an adversary may be able to execute an arbitrary
payload for persistence.
condition: >
registry_set_create and
(fd.name icontains "CurrentVersion\\Winlogon" and
(fd.name endswith Shell or fd.name endswith Userinit or fd.name endswith Notify) and
evt.arg[value] endswith ".dll")
output: >
New DLL added to WinLogon registry key (evt.type=%evt.type evt.args=%evt.args
proc.name=%proc.name proc.pname=%proc.pname gparent=%proc.aname[2]
ggparent=%proc.aname[3] ggparent=%proc.aname[4] container.name=%container.name
image=%container.image.repository proc.cmdline=%proc.cmdline proc.cwd=%proc.cwd
proc.pcmdline=%proc.pcmdline user.name=%user.name user.loginuid=%user.loginuid
user.uid=%user.uid user.loginname=%user.loginname)
source: windowsFalcoプラグイン
Falcoプラグインは、FalcoおよびSysdigをサードパーティのイベントソースと統合するために、長年にわたり不可欠な存在でした。活発で創造的なクラウドネイティブ開発者コミュニティのおかげで、プラグインエコシステムはFalcoのCNCF卒業以降40%成長し、誰にとってもクラウドセキュリティの改善を後押ししています。登録済みプラグインの全リストは、GitHubのこちらで確認・探索できます。
拡大を続けるFalcoプラグインの一覧は、Microsoft Entra ID(旧Microsoft Azure Active Directory)のような追加サービスを監視するための可視性拡張など、さらなる機能を提供します。クラウド環境が成長し、より多くのSaaSサービスがクラウドネイティブシステムと統合されるにつれて、これらのプラグインの影響力はますます大きくなります。
以下は、SysdigプラットフォームにおけるAzure Entraプラグインに基づくFalco検知ルールの例です。
- rule: Entra Remove App Role Assignment from User
description: Detects the removal of an app role assignment from a user in Microsoft Entra ID.
condition: >
entra.operation="Remove app role assignment from user" and
entra.result="success"
output: >
An app %json.value[/properties/targetResources/0/displayName] has been unassigned
from a user %json.value[/properties/targetResources/0/userPrincipalName] by user
%entra.user / app %entra.app in Microsoft Entra ID
(user=%entra.user, app=%entra.app, IpAddress=%entra.srcip, tenantId=%entra.tenantId,
operation=%entra.operation, category=%entra.eventCategory, resourceId=%entra.resourceId,
target app=%json.value[/properties/targetResources/0/displayName])
source: azure_entraこのクラウドベースのIDおよびアクセス管理(IAM)サービスは、Microsoft 365、MS Azure、そしてマネージドKubernetesサービス(AKS)を含むMicrosoftサービスの認証と認可を可能にします。組織によっては、Falcoの広範なプラグインエコシステムの価値をすぐには認識しないかもしれません。しかし、2023年後半にMGMとCaesarsを襲ったOktaのクロステナントなりすまし攻撃のようなインシデントは、その重要性を浮き彫りにしています。FalcoチームはすでにOkta Identity Services内でこの挙動を監視するプラグインを開発しており、エコシステムがもたらすプロアクティブなセキュリティ上の利点を示しています。
Falco Feeds
Falcoのプラグインアーキテクチャと検知ルールは高度にカスタマイズ可能で、強力な柔軟性を提供します。しかし、システムがスケールすると――Kubernetesと同様に――この柔軟性が複雑さを招くことがあります。Falcoは有用なルール成熟度マトリクスを提供していますが、すぐに使える(out-of-the-box)ルールであっても、Kubernetesクラスター固有の制約の中でセキュリティ脅威を正確に検知するには、調整と検証が依然として必要です。
多くのマネージド検知・対応ソリューションは、利便性のために柔軟性を犠牲にし、Falcoのようなオープンソースプロジェクトに期待されるコントロールを制限します。SysdigはFalco Feedsで異なるアプローチを取っています。これはSysdig Threat Research Team(TRT) に支えられたソリューションで、falcoctl CLIツールを通じて、エンタープライズグレードの専門家が執筆したFalcoルールを提供します。これにより、チームは継続的なメンテナンス負担や本番停止なしに、新しいルールをシームレスに採用できます。
Falco Feedsを使えば、両方の長所を得られます。falcosidekickやFalco Talonのようなツールが持つオープンソースの力と、既存インフラを全面的に刷新することなくマネージド検知ルールの手軽さを組み合わせられます。
Falcoライブラリ
sysdig CLIとFalcoが持つ深いシステム内省と、Wiresharkの直感的なユーザー体験を組み合わせることを想像してみてください――それをまさに実現するのがStratosharkです。
公式Wiresharkドキュメントによると、falcodumpは、任意のFalcoソースプラグインを使ってログデータをキャプチャできるようにします。Stratosharkはこれを土台に、Falcoを支えるのと同じコアライブラリ――libsinsp(System Inspection Library)とlibscap(System Capture Library)――を活用します。
これらのライブラリにより、Falcoや他のツールはシステムコールイベントを抽出・拡充・分析できます。Stratosharkはそれらを利用して、WiresharkユーザーがPacket Capture(PCAP)ファイルを扱うのと同じように、Syscall Capture(SCAP)ファイルを読み取れるようにします。2025年1月にローンチされたStratosharkは、強力なシステムコール分析を、馴染みのあるWireshark風のワークフローにもたらします。[詳しくはこちら。]
Falcoの次は?
Falcoの歩みはまだ終わりではありません。クラウドネイティブのセキュリティ脅威が複雑化する中、Falcoはそれに真正面から対応するため進化しています。来年に向けた焦点は明確です。Kubernetesとのより深い統合、より洗練されたプラグインシステム、そしてランタイムセキュリティにおける自動化へのシフトです。とはいえ、最もエキサイティングな進展は、FalcoとStratosharkの相乗効果が高まっていることかもしれません。両者は、検知・調査・対応がシームレスに統合される新たなセキュリティパラダイムの基盤を築きつつあります。
ランタイムセキュリティは常に可視性が重要でしたが、Kubernetes環境がスケールするにつれ、可視性だけでは不十分になります。Falcoはスタックを近代化することでこれに取り組み、セキュリティをより自動化し、デプロイしやすくしています。将来的にFalcoは、フリート全体へのデプロイを簡素化し、プラグインシステムの強化によってサードパーティのセキュリティツールとのより深い統合を可能にします。データキャプチャと分析の改善により、セキュリティチームはより実行可能な洞察を得られ、アラート疲れを軽減し、対応時間を大幅に短縮できるようになります。
Falcoは長らくランタイム検知の定番でしたが、次のステップは検知・調査・対応のギャップを埋めることです。そこで登場するのがStratosharkです。FalcoとStratosharkは、Kubernetes Detection and Response(KDR)アプローチを切り拓くでしょう。ツール間のより緊密な統合、自動化されたフォレンジックワークフロー、そしてFalcoコミュニティとWiresharkコミュニティの協力により、オープンソースのランタイムセキュリティは再定義されます。
今後、Kubernetes環境のセキュリティは、孤立した検知ツールから、完全に統合されたセキュリティライフサイクルへと移行していきます。今後数年でKDRが標準となるでしょう。FalcoとStratosharkの協業は、脅威緩和を簡素化するオープンソースのセキュリティフレームワークを生み出します。近い将来、セキュリティチームは、脅威をリアルタイムで検知・分析・対応できる完全自動化システムに依存するようになり、今日の断片的で手作業の多いアプローチは解消されていきます。
結論
Falcoの歩みはまだ始まったばかりです。クラウドネイティブのセキュリティ脅威がより高度化する中、Falcoは進化を続け、常に一歩先を行きます。今後を見据えると、プラグインを通じてFalcoのエコシステムは来年少なくとも50%拡大し、サードパーティサービスとのより深い統合を実現し、ユーザーにより高い拡張性を提供すると予想しています。
また、WiresharkとFalcoのコミュニティは、より相互に結びついていくとも予測しています。Stratosharkはシステム内省にまったく新しい次元をもたらし、馴染みのあるWireshark風の体験でシステムコールキャプチャデータをこれまで以上に簡単に分析できるようにします。オープンソースがしばしば道を切り拓くように、Stratoshark、Wireshark、そしてFalcoを通じて、コミュニティは、深く統合された脅威検知と高度な内省機能を持つことのセキュリティ上の利点を実感するでしょう。そしてよくあるように、ベンダーは同様の機能を追加する方向へ動くはずです。
オープンソースのセキュリティツールに依存する企業が急速に成長し、クラウド攻撃が進化し続ける中、より多くのチームが追加の支援を求めるようになると予測します。その支援は、Sysdig Secureのようなエンタープライズ対応ソリューションや、Falco Feedsのようなハイブリッドアプローチなど、いくつかの形で現れ得ます。たとえば Syfeがそうです。Syfeは2年以上前、カスタマイズ性と可視性を求めてFalcoで歩みを始めましたが、クラウドセキュリティのニーズが進化するにつれ、Falcoを中核に据えたエンタープライズ向けマネージドソリューションであるSydig Secureの方がビジネス要件により合致すると結論づけました。別の組織は、SysdigのFalco Feedsを通じてFalco環境をスケールさせるハイブリッドアプローチを選ぶでしょう。Falco Feedsを実装すると、精鋭のSysdig Threat Research Teamがキュレーションした、完全にマネージドな高度検知ルールセットをセキュリティチームに提供できます。このルールセットは、複雑な規制要件への対応、コンプライアンス監査の効率化、そしてMITRE ATT&CK、NIST、NIS2、DORA、SOC2、HIPAA、FedRAMPなどの特定フレームワークに対する効果的な分類とタグ付けを通じて、強固なセキュリティ態勢の維持にも役立ちます。
活発なコミュニティ、エンタープライズ対応の新たな強化、そしてオープンソース革新への継続的な投資により、Falcoはクラウドネイティブの脅威検知と対応(TDR)の最前線にあり続けるでしょう。オープンソース版のFalcoを活用している場合でも、Sysdigのエンタープライズ製品を採用している場合でも、明らかなことが1つあります。Falcoの勢いは、当面衰えることはありません。
翻訳元: https://www.sysdig.com/blog/the-state-of-falco
