Démo de sécurité Falco Conteneur
Démo éducative : Falco CNCF - simulation d'alerte runtime sur cinq scénarios K8s. Escalade de privilèges, shell dans le conteneur, mineur cryptographique et autres modèles d'attaque avec les règles Falco, mapping MITRE ATT&CK et remédiation.
14:22:31.847192 Warning Container privilege escalation
(user=root user_uid=0 parent=sudo command=sudo /bin/sh
container_id=a1b2c3d4e5f6 container_name=webapp
image=nginx:1.25 proc.name=sudo proc.pid=3142
evt.type=setuid gparent=bash ggparent=sshd
aname[3]=systemd k8s.ns=production k8s.pod=webapp-7d9f8b-xkp2r)Explication de la règle
Falco intercepts raw Linux syscalls via eBPF (or the kernel module) using the sysdig driver. When a process inside a container calls setuid(0) — escalating to root — and that process is not in the known allow-list (known_setuid_binaries), Falco fires this rule at CRITICAL priority. This pattern is a leading indicator of container breakout attempts: an attacker with an unprivileged shell exploit first escalates privileges inside the container before attempting to escape to the host namespace via CAP_SYS_ADMIN or /proc/1/ns/mnt.
Qu’est-ce que
Falco est le projet de sécurité runtime open-source fondé par la CNCF (Cloud Native Computing Foundation), créée à l'origine en 2016 sous Sysdig, et maintenant dirigée par Loris Degioanni. Il utilise BPF ou un module traditionnel du noyau pour intercepter les appels système Linux au niveau de kernel, appliquer des règles temps réel et générer alertes structurées sur le comportement anormal dans les conteneurs et Kubernetes.
À la différence des outils de scan de vulnérabilité qui analysent les images statiques, Falco fonctionne en temps réel : il peut détecter des techniques d'attaque inconnues (zero-day) tant qu'elles manifestent des modèles syscall anormaux. Il est complémentaire à Trivy, OPA/Gatekeeper et PodSecurity admission.