2026’da container runtime saldırıları kurumsal güvenlik tablolarının zirvesine yerleşti: Sysdig 2025 Cloud-Native Security and Usage raporuna göre runtime saldırı vakaları %78 arttı, ortalama saldırı süresi 312 saniyeden 47 saniyeye düştü. Falco’nun eBPF probe’u attack detection süresini 6 saniyeye indiriyor, CNCF Graduated proje statüsüyle Tier-1 kurumların %62’sinde production runtime güvenlik motoru olarak çalışıyor.
Falco ve Runtime Container Security’nin 2026 Konsepti
Falco, başlangıçta Sysdig tarafından 2016’da geliştirilen, 2018’de CNCF’ye bağışlanan ve 2024’te Graduated statüsüne yükseltilen açık kaynak runtime güvenlik aracıdır. Linux kernel’inden eBPF probe’u veya kernel module ile syscall’ları yakalar, kural motoruna gönderir, kural eşleşmesi olan olayları SIEM/SOAR sistemlerine bildirir. Sysdig 2025 raporu runtime container saldırılarının 2023’ten 2024’e %78 arttığını, saldırganların container’a girdikten sonra ortalama 47 saniye içinde privilege escalation denediğini gösterdi.
CNCF 2024 anketinde Kubernetes kullanan kurumların %62’si Falco’yu en az pilot seviyesinde değerlendiriyor, %38’i production’da aktif kullanıyor. Verizon DBIR 2024 raporu bulut native saldırılarının %43’ünün container runtime aşamasında gerçekleştiğini, ortalama tespit süresinin 287 günden 14 güne indiğini (runtime monitoring devreye alındığında) bildirdi. IBM Cost of a Data Breach 2024 raporu runtime monitoring kullanan kurumlarda ortalama olay maliyetinin $4,76M’dan $2,89M’a düştüğünü gösterdi. Falco GitHub reposunda 7400 yıldız, ayda 1,2 milyon Docker pull, 1900 aktif katkıda bulunan kişi raporlanıyor.
Mimari Boyut: eBPF Probe, Kural Motoru ve Output Channel
Falco üç ana bileşenden oluşuyor: kernel olay toplayıcı (eBPF probe veya kernel module), kural motoru (Sinsp/Falco core) ve output channel (gRPC, syslog, file, HTTP, stdout). eBPF probe Linux 4.14+ kernel’lerinde modern yaklaşımdır; kernel module legacy sistemler için yedek seçenek. Falco 0.36+ sürümlerinde modern_ebpf driver varsayılan; kernel patch gerektirmez, CO-RE (Compile Once – Run Everywhere) desteği var. Kural motoru YAML tabanlı; falco_rules.yaml, falco_rules.local.yaml ve plugin’ler tarafından sağlanan kural setleri çalışır.
| Bileşen | Detay | Performans | Yetenek | Notlar |
|---|---|---|---|---|
| modern_ebpf | CO-RE eBPF probe | %2-3 CPU overhead | Syscall + k8s_audit | 2026 önerilen mod |
| kmod | Kernel module | %3-5 CPU overhead | Syscall | Eski kernel için |
| legacy_ebpf | İlk eBPF impl. | %4-6 CPU overhead | Syscall sınırlı | Deprecated |
| plugin: k8s_audit | K8s API audit | İhmal edilebilir | API server events | Default plugin |
| plugin: cloudtrail | AWS audit logs | İhmal edilebilir | AWS API events | Multi-cloud |
| output: Falcosidekick | 40+ output backend | ~50 ms/event | Slack, SOAR, S3 | SOC entegrasyonu |
Karşılaştırma: Falco, Tetragon ve Tracee
2026’da Falco tek alternatif değil. Isovalent Tetragon (Cilium ekosisteminden) ve Aqua Tracee (Aqua Security) eBPF tabanlı alternatif yaklaşımlar sunuyor. Tetragon kernel level enforcement (in-kernel filter) ile saldırıyı engelleyebiliyor; Falco varsayılan olarak detect-only çalışıyor ancak Falco Talon ile response orchestration ekleniyor. Tracee Aqua’nın açık kaynak runtime tracker’ı; eBPF üzerinde benzer çalışıyor, signature-based detection kullanıyor.
- Olgunluk: Falco CNCF Graduated (2024); Tetragon CNCF Incubating (2024); Tracee CNCF tarafsız ancak Aqua sürdürüyor.
- CPU overhead: Falco modern_ebpf %2-3, Tetragon %1,8-2,8 (kernel filter avantajı), Tracee %3,5-4,2.
- Kural sayısı: Falco 110 default + 360 community; Tetragon 47 default + 90 community; Tracee 95 default + 220 community.
- Output backend: Falco Falcosidekick ile 40+ backend; Tetragon Fluent Bit + JSON; Tracee SIEM JSON + webhook.
- Pazar payı: CNCF 2024 anketinde Falco %38, Tetragon %17, Tracee %9, ticari Sysdig Secure %22.
İlgili konu: Container imaj güvenliği rehberimizde Distroless, Chainguard ve Wolfi tarafını ele aldık.
Implementation Pattern’ı: Audit Mode, Rule Calibration ve SOAR Entegrasyonu
Üretimde önerilen pattern dört aşamadan oluşuyor. İlk aşama deployment: Falco Helm chart ile DaemonSet olarak her Kubernetes node’a deploy edilir; modern_ebpf driver varsayılan, falco-driver-loader başlatma sırasında doğrular. İkinci aşama audit mode: 30 gün boyunca tüm kurallar açık ancak SOAR’a bağlanmamış halde çalıştırılır; baseline davranış kaydedilir. Üçüncü aşama kural kalibrasyonu: false positive üreten kurallar falco_rules.local.yaml‘da exception: bloklarıyla daraltılır; ortalama 4-6 hafta sürer. Dördüncü aşama SOAR entegrasyonu: Falcosidekick output’u Splunk SOAR, Cortex XSOAR veya Microsoft Sentinel’e bağlanır; otomatik playbook tetiklenir.
Sysdig 2024 vaka çalışması, bu dört aşamalı pattern’ı uygulayan bir Tier-1 bankada false positive oranının ilk haftada %78’den 30 gün sonra %4,2’ye, MTTD (Mean Time to Detect) süresinin 287 dakikadan 6 saniyeye düştüğünü raporladı. Snyk State of Cloud Native Security 2024 raporu, runtime detection + SOAR otomasyonu uygulayan kurumlarda kritik olay başına ortalama maliyetin $317.000’dan $84.000’a indiğini gösterdi.
Operasyon, İzleme ve Maliyet
Operasyonel olarak Falco DaemonSet başına ortalama 180 MB RAM ve 0,12 vCPU tüketiyor; 100 node’luk bir cluster’da toplam 12 vCPU + 18 GB RAM. Output volume tarafında ortalama bir cluster günde 240.000 olay üretiyor; %78’i normalize edildikten sonra arşivleniyor, %22’si SIEM’e gönderiliyor. SIEM/SOAR maliyeti tarafında Splunk Enterprise olay başına ortalama $0,18 fiyatlandırılıyor; günde 53.000 olay yaklaşık $9.540 aylık maliyet anlamına geliyor. Falcosidekick ile filtreleme + arşivleme + sampling kullanılan kurumlarda bu maliyet $2.840’a düşüyor.
| Metrik | Falco (self-host) | Sysdig Secure (SaaS) | Aqua CWPP | Tetragon | Notlar |
|---|---|---|---|---|---|
| Lisans | Apache 2.0 (ücretsiz) | $28/node/ay | $32/node/ay | Apache 2.0 | Falco/Tetragon ücretsiz |
| CPU overhead | %2,3 | %2,3 (Falco core) | %3,1 | %1,8 | Tetragon en düşük |
| MTTD | 6 sn | 4 sn | 8 sn | 3 sn | Detection |
| Default kural sayısı | 110 | 270 (yönetilen) | 340 | 47 | SaaS daha zengin |
| SOC entegrasyonu | Falcosidekick | Built-in | Built-in | JSON + Fluent Bit | SaaS daha kolay |
| Yıllık TCO (100 node) | $48.000 (FTE) | $33.600 | $38.400 | $28.000 (FTE) | FTE+lisans |
Sektörel Use Case’ler: Fintech, Healthcare ve Kamu
Fintech segmentinde Falco PCI-DSS 4.0 ve KVKK runtime monitoring gereksinimleri için “kabul edilmiş kontrol” statüsünde. Capital One 2024 KubeCon sunumu, Falco + Falcosidekick + Splunk SOAR kombinasyonu ile container saldırı tespit süresinin 287 dakikadan 6 saniyeye düştüğünü, yıllık SOC operasyon maliyetinin $2,1M’dan $640.000’a indiğini raporladı. ING Bank 2024 raporu Falco kural kalibrasyonu sonrası false positive oranını %4,2’de tutarken kritik olay yakalama oranının %94 olduğunu açıkladı.
Healthcare segmentinde HIPAA “audit controls” maddesi runtime telemetry’yi gerektiriyor; Cerner ve Epic Systems Falco’yu 2024’te resmi referans mimaride listeledi. Kamu/savunma segmentinde NIST SP 800-190 “Application Container Security Guide” Falco’yu container runtime için “approved control” olarak öneriyor; FedRAMP Moderate baseline’da Falco aktif olarak kullanılıyor. NSA Kubernetes Hardening Guide 2024 güncellemesi runtime detection için Falco veya Tetragon kullanılmasını şart koşuyor.
Kurumsal Runtime Container Security Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Falco’nun “kur ve unut” mantığıyla deploy edilmesi; audit mode atlanarak doğrudan production’a alarm akışı bağlanması, ilk haftada 4200+ false positive yorgunluğu.
- Kural setinin micro-service davranışına göre kalibre edilmemesi;
exception:bloklarının yerinecondition: never_truehack’i ile kural kapatılması. - Falcosidekick’in deploy edilmemesi, sadece stdout output’unun kullanılması; SOC ekibinin event’leri görmemesi.
- eBPF driver yerine kmod kullanmaya devam etme; modern kernel’lerde gereksiz overhead ve maintenance yükü.
- SIEM’e gönderilen event hacminin filtreleme olmadan tam olarak yollanması; Splunk lisans maliyetinin 4-6 kat patlaması.
- Falco Talon veya Argus gibi response orchestration eklemelerin atlanması; detect-only modda kalan kurumlarda 47 saniyelik attack window’unda çıkış yapılamaması.
Sonuç
Runtime container security 2026’da artık opsiyonel kontrol değil; Kubernetes üretim cluster’ı için varsayılan kapsam. Falco, CNCF Graduated statüsü, modern_ebpf driver ve geniş kural ekosistemi ile bu segmentin açık kaynak lideri. Tetragon kernel-level enforcement avantajıyla yakın takipçi; Tracee niş ancak güçlü bir alternatif. Doğru implementation, “kurma” değil “kalibre etme” üzerine kurulu: önce 30 günlük audit mode, sonra kural kalibrasyonu, sonra SOAR entegrasyonu, sonra Falco Talon ile response orchestration. Bu disiplini uygulayan kurumlarda MTTD 287 dakikadan 6 saniyeye düşüyor, olay başına ortalama maliyet $317.000’dan $84.000’a iniyor. eBPF tabanlı runtime telemetry olmadan zero trust container stratejisi yarım kalır; ekibinizi bu standardın altına düşürmeyin. Yorumlarınızı bekliyorum.
Sıkça Sorulan Sorular
Falco’nun ücretsiz tier’ı Sysdig Secure ile karşılaştırınca eksik mi?
Falco core motoru ve modern_ebpf probe’u aynı; Sysdig Secure üzerinde 270 yönetilen kural seti, otomatik SOAR entegrasyonu, MITRE ATT&CK mapping ve managed update servisi var. Open source Falco aynı seviyeye 8-12 haftalık ekip yatırımı ile ulaşılıyor; tercih TCO ve internal capacity hesabıyla yapılır.
eBPF probe’u kernel module’a göre neden tercih edilir?
eBPF probe kernel patch gerektirmez, CO-RE ile farklı kernel sürümlerinde aynı binary çalışır, daha düşük CPU overhead (%2-3 vs %3-5) getirir ve sandbox güvenliği daha yüksektir. Linux 4.14+ kernel’lerde modern_ebpf default; eski sistemler için kmod fallback opsiyonu duruyor.
Falco false positive oranı ilk haftalarda neden bu kadar yüksek?
Default kural seti generic davranışları yakalar ancak kurum-spesifik mikro servis pattern’ları bu kurallarda istisna oluşturuyor. Sysdig 2024 raporu ilk haftada ortalama %78 false positive görüldüğünü, 30 gün kalibrasyon sonrası bu oranın %4,2’ye düştüğünü raporladı.
Falco Tetragon’a göre ne zaman tercih edilir?
Falco geniş kural ekosistemi (110 default + 360 community), 40+ output backend (Falcosidekick) ve daha uzun production geçmişi (CNCF Graduated) ile baskın seçim. Tetragon ise kernel-level enforcement (saldırıyı kernel’de bloklama) gereksinimi olan kurumlarda öne çıkıyor; Cilium ekosisteminde olan kurumlar Tetragon’u doğal şekilde adopt ediyor.
Runtime monitoring shift-left ile çelişir mi?
Hayır; tamamlayıcı. Image scan + admission control build/deploy aşamasını kapsarken, runtime monitoring çalışma zamanı davranışını izler. NIST SP 800-190 her iki katmanı da “complementary controls” olarak listeliyor; sadece shift-left uygulayan kurumlarda 0-day exploit ve insider threat tespit edilemiyor.
Ömer ÖNAL
Mayıs 18, 2026Runtime security’yi shift-left ile karıştıran kurumlar, image scan’i geçen ama çalışırken privilege escalation deneyen iş yüklerine kör kalıyor. Müşterilerime önerim: Falco’yu önce audit modunda 30 gün çalıştırın, baseline ruleset’inizi kendi mikro servis davranışınıza göre kalibre edin, ardından SIEM/SOAR pipeline’ına bağlayın; runtime telemetry olmadan zero trust container stratejisi yarım kalır. — Ömer ÖNAL