Рантайм-безопасность на Go и eBPF: что это за класс инструментов и зачем он нужен
Антивирус и сканер проверяют систему в какой-то момент и уходят. А между двумя проверками остаётся окно, и в нём обычно и случается компрометация. Рантайм-агент закрывает другую задачу: он постоянно смотрит, что происходит на хосте прямо сейчас — какие процессы стартуют, к каким файлам лезут, какие соединения открываются. Открыли /etc/shadow — видно в момент открытия. Я перекатываюсь из бэкенда на Go в AppSec и разбираюсь с темой, про которую у нас на русском пишут мало — рантайм-безопасность через eBPF. Ниже разложил, что это за класс инструментов, как он устроен внутри, что уже есть в мире и почему именно сейчас на это смотрят в России. Читать далее