こんにちは！

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

お問い合わせ

自己紹介

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

スキル

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

プロセス自動化

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

カスタムシステム

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

ミッション

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

🚀

テクノロジーの民主化

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

💡

ITとビジネスの融合

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

🎯

カスタムソリューション

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

テクノロジーでビジネスを変革

Dicembre 2024

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

💻 Linguaggi & Tecnologie

☕Java

🐍Python

📜JavaScript

🅰️Angular

⚛️React

🔷TypeScript

🗄️SQL

🐘PHP

🎨CSS/SCSS

🔧Node.js

🐳Docker

🌿Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

お問い合わせ

プロジェクトをお考えですか？お気軽にお問い合わせください。

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

ランタイムセキュリティ: リアルタイム監視

La ランタイムセキュリティ DevSecOps パラダイムにおける最後の防御線は保護です本番環境で実行中のアプリケーション。 SAST、DAST、SCA が脆弱性を発見導入前に、ランタイムセキュリティがアクティブな脅威や動作を検出して対応します異常と進行中の攻撃。

この記事では、syscall ベースの脅威検出、eBPF の Falco について説明します。低オーバーヘッドの監視、異常検出技術、SIEM システムとの統合完全な可視性を実現します。

何を学ぶか

ランタイム脅威検出の仕組み
Falco: Kubernetes でのルール、構成、デプロイメント
eBPF: 高性能カーネル監視
異常検出と動作分析
自動化されたインシデント対応
SIEM (Splunk、ELK、Datadog) との統合

Falco: ランタイム脅威検出

ファルコン およびランタイムセキュリティ用の参照 CNCF プロジェクト。監視する システムコール Linux カーネルの動作をリアルタイムで監視し、動作を検出するとアラートを生成します。定義された安全規則に違反するもの。 Falco はコンテナ内のシェルスポーンを検出できます。機密ファイルへのアクセス、不審なネットワーク接続、権限昇格など。

Helm を使用した Kubernetes へのインストール


# Aggiungere il repository Helm di Falco
helm repo add falcosecurity https://falcosecurity.github.io/charts
helm repo update

# Installare Falco con il driver eBPF
helm install falco falcosecurity/falco \
  --namespace falco --create-namespace \
  --set driver.kind=ebpf \
  --set falcosidekick.enabled=true \
  --set falcosidekick.webui.enabled=true

# Verificare l'installazione
kubectl get pods -n falco
kubectl logs -n falco -l app.kubernetes.io/name=falco

ファルコカスタムルール

Falco には何百もの事前定義されたルールが含まれていますが、それらを環境に適応させ、カスタムルールを作成することが不可欠です。


# falco-custom-rules.yaml
customRules:
  custom-rules.yaml: |-
    # Rileva shell in container di produzione
    - rule: Shell in Production Container
      desc: Detect shell execution in production namespace
      condition: >
        spawned_process and container and
        proc.name in (bash, sh, zsh, dash) and
        k8s.ns.name = "production"
      output: >
        Shell spawned in production container
        (user=%user.name command=%proc.cmdline
        container=%container.name namespace=%k8s.ns.name
        pod=%k8s.pod.name image=%container.image.repository)
      priority: CRITICAL
      tags: [container, shell, production]

    # Rileva accesso a file di credenziali
    - rule: Read Sensitive Credential Files
      desc: Detect access to credential files
      condition: >
        open_read and container and
        (fd.name startswith /etc/shadow or
         fd.name startswith /root/.ssh or
         fd.name startswith /run/secrets)
      output: >
        Sensitive file read in container
        (file=%fd.name user=%user.name
        container=%container.name command=%proc.cmdline)
      priority: WARNING
      tags: [container, filesystem, credentials]

    # Rileva connessioni di rete inattese
    - rule: Unexpected Outbound Connection
      desc: Detect outbound connections from containers that should not have network
      condition: >
        outbound and container and
        k8s.pod.label.network-restricted = "true"
      output: >
        Unexpected outbound connection from restricted pod
        (connection=%fd.name pod=%k8s.pod.name
        namespace=%k8s.ns.name image=%container.image.repository)
      priority: ERROR
      tags: [container, network]

eBPF: 高性能カーネル監視

eBPF (拡張バークレーパケットフィルター) そしてLinuxカーネルテクノロジーは、カーネルを変更せずに、カーネル内でサンドボックスプログラムを実行できます。 eBPF とテクノロジー Falco、Tetragon、その他のツールが低レベルの監視に使用する基盤となるものシステムコールのオーバーヘッド。

eBPF のオーバーヘッドは通常、1 ～ 2% CPU、作る高性能環境でも継続的な監視が可能です。

Tetragon: eBPF セキュリティオブザーバビリティ

四角形 Isovalent (現 Cisco) と、単純な機能を超えた eBPF ベースのツールによるモニタリング:できる 積極的にブロックする カーネルレベルでの不審な動作、許可されていないプロセスの実行や予期しないネットワーク接続など。


# tetragon-policy.yaml
apiVersion: cilium.io/v1alpha1
kind: TracingPolicy
metadata:
  name: block-privilege-escalation
spec:
  kprobes:
    - call: "__x64_sys_setuid"
      syscall: true
      args:
        - index: 0
          type: int
      selectors:
        - matchArgs:
            - index: 0
              operator: Equal
              values:
                - "0"  # UID 0 = root
          matchNamespaces:
            - namespace: production
              operator: In
          matchActions:
            - action: Sigkill  # Termina il processo

異常検出

L'異常検出 行動ベースラインを使用して識別します通常の行動からの逸脱。既知の攻撃パターンを探す代わりに、障害を示す可能性のある異常な行動。

ネットワークベースライン: 一般的なネットワークトラフィックを監視し、予期しない接続を検出します
プロセスベースライン: 正常なプロセスを記録し、未知のプロセスを警告します
ファイルアクセスパターン: ファイルアクセスを監視し、異常な読み取り値を検出します
リソースの使用量: CPU/メモリのスパイクはクリプトマイニングまたは DoS を示している可能性があります

一般的な侵害指標 (IoC)。


インジケータ
攻撃の可能性
楽器

コンテナ内でシェルがスポーン
RCE、バックドア
ファルコン

既知の悪意のある IP への接続
C2通信
ネットワーク監視

突然のCPUスパイク
クリプトマイニング
メトリクス/プロメテウス

/etc/shadow の読み取り
資格情報の盗難
ホーク、テトラゴン

コンテナ内でのCurl/wget処理
データの引き出し
ファルコン

自動化されたインシデント対応

セキュリティインシデントが発生した場合、対応速度は非常に重要です。インシデント対応自動化により、数時間ではなく数秒で対応できるようになります。


# Falcosidekick: risposte automatiche agli alert
# values.yaml per Helm
falcosidekick:
  config:
    # Notifica Slack per alert WARNING+
    slack:
      webhookurl: "https://hooks.slack.com/services/xxx"
      minimumpriority: "warning"

    # Esegui azione Kubernetes per alert CRITICAL
    kubernetesCR:
      enabled: true
      minimumpriority: "critical"

    # Pagerduty per on-call
    pagerduty:
      routingkey: "xxx"
      minimumpriority: "critical"

  # Azioni automatiche
  customActions:
    # Isola il pod compromesso (rimuovi label di network policy)
    - name: isolate-pod
      priority: critical
      action: kubernetes
      parameters:
        namespace: "production"
        action: "label"
        value: "quarantine=true"

SIEMとの統合

ランタイムセキュリティアラートは集中システムに流入する必要があります (シェムリアップ) 相関関係、分析、長期保存のために。エコシステム内で最も一般的な SIEM DevSecOps は次のとおりです。

SIEM統合

エルクスタック (Elasticsearch、Logstash、Kibana): オープンソース、柔軟性、ログ分析に最適
スプランク: エンタープライズ、強力なクエリ、コンプライアンスに適しています
Datadog セキュリティ監視: SaaS、クラウドおよびコンテナとのネイティブ統合
グラファナ + ロキ: 軽量で、Kubernetes 環境に最適

ランタイムセキュリティのベストプラクティス

各クラスターに Falco をデプロイする: ランタイム監視はワークロードの 100% をカバーする必要があります
コンテキストのカスタムルール: Falco ルールをアプリケーション環境に適応させます
インシデント対応の自動化: 侵害されたポッドの自動分離
行動ベースライン: 異常アラートをトリガーする前にベースラインを確立します
ログの保存: セキュリティログを少なくとも 90 日間 (できれば 1 年間) 保存します。
文書化された運用手順書: 調査手順を含む各タイプのアラートの手順

結論

ランタイムセキュリティは、DevSecOps 保護のループを閉じます。ツールをしながら導入前 (SAST、DAST、SCA、IaC スキャン) による脆弱性の防止、実行時セキュリティ本番環境でアクティブな脅威を検出し、対応します。 Falco、eBPF、インシデント対応との連携自動化されているため、組織はリアルタイムで対応できます。

次の記事では、詳しく見ていきます コンプライアンスの枠組み、どのように分析するか DevSecOps コントロールを GDPR、SOC2、ISO27001 要件にマッピングし、コードとしてのコンプライアンスの遵守。

インジケータ	攻撃の可能性	楽器
コンテナ内でシェルがスポーン	RCE、バックドア	ファルコン
既知の悪意のある IP への接続	C2通信	ネットワーク監視
突然のCPUスパイク	クリプトマイニング	メトリクス/プロメテウス
/etc/shadow の読み取り	資格情報の盗難	ホーク、テトラゴン
コンテナ内でのCurl/wget処理	データの引き出し	ファルコン