HIPS (The Host Intrusion Protection System)
HIPS를 사용하면 시스템 및 프로그램 활동을 모니터하고, 사용자가 설정한 규칙 이외의 모든 활동에 대해 경고창을 띄워 컴퓨터를 보호해 줍니다. 백신의 실시간 감시에서도 프로세스 모니터 기능이 있지만 HIPS를 사용하면 그것과는 별도로 모든 상황을 사용자가 직접 통제하고 확인할 수 있는 장점이 있습니다. 허용 규칙에 포함되지 않은 모든 프로그램 활동이 생길 때마다 윈도우의 UAC 같은 팝업창이 생성되어 사용자의 확인을 거치게 됩니다.
Containment
프로그램 가상화를 사용하여 알려지지 않은 위협으로부터 사용자를 보호합니다. 가상 컨테이너 안에서 실행된 프로그램은 사용자의 디스크에 직접 파일을 쓰거나 저장할 수 없습니다. C:\VTRoot 폴더에 격리된 공간을 만들어 그곳에만 쓰기 작업을 실행할 수 있습니다. 파일 및 레지스트리 등 모든 변화는 격리된 공간에 저장되며, 시스템에 영향을 미치지 않습니다. 컨테이너를 초기화하면 격리된 공간에 있던 파일들은 깨끗이 사라지게 됩니다.
VirusScope
Container와 병행해서 사용할 수 있는 행동 탐지 시스템입니다. 현재 실행되는 프로세스를 모니터하는 기능인데, 기본적으로 컨테이너 안에 있는 프로그램만 감시하도록 설정되어 있습니다. Auto-Containment를 사용하여 확인되지 않은 파일들을 가상 실행할 때, 클라우드를 통해 파일의 정보를 분석하는 동시에 VirusScope를 사용하여 프로세스의 행동을 감시할 수 있습니다.
타사 백신도 대부분 프로세스 검사를 제공하기 때문에 Monitor only the applications in the container 옵션을 켜서 컨테이너 안에 있는 프로그램만 검사하는 것이 좋습니다.
Website Filtering
특정 웹사이트를 허용하거나 차단할 수 있습니다. 기본적인 규칙 두 가지가 생성되어 있으며 차단 룰에는 Malware 사이트, 피싱 사이트 등 코모도에서 정의한 악성 사이트가 포함되어 있습니다. 카테고리를 만들어 사이트를 등록하면 새로운 규칙에 적용할 수 있습니다.
관련 글:
코모도 방화벽 (Comodo Firewall) 설치
코모도 방화벽 (Comodo Firewall) 설정
참고:
https://help.comodo.com/topic-72-1-766-9029-CIS-Settings.html
HIPS를 사용하면 시스템 및 프로그램 활동을 모니터하고, 사용자가 설정한 규칙 이외의 모든 활동에 대해 경고창을 띄워 컴퓨터를 보호해 줍니다. 백신의 실시간 감시에서도 프로세스 모니터 기능이 있지만 HIPS를 사용하면 그것과는 별도로 모든 상황을 사용자가 직접 통제하고 확인할 수 있는 장점이 있습니다. 허용 규칙에 포함되지 않은 모든 프로그램 활동이 생길 때마다 윈도우의 UAC 같은 팝업창이 생성되어 사용자의 확인을 거치게 됩니다.
HIPS Settings
Training Mode: 감지된 모든 실행파일과 프로세스의 행동을 허용 룰로 만들어 줍니다. 이 모드를 실행할 때에는 100% 안전하다고 확신하는 프로그램만 설치하고 사용해야 합니다. 자주 사용하는 안전한 프로그램들을 한 번씩 실행시켜 자동으로 룰을 만든 후에는 Safe 모드나 Paranoid Mode로 변경하는 것이 좋습니다.
Safe Mode: 사용자가 설정한 규칙을 따릅니다. 또한 "안전한" 실행파일들의 활동을 허용합니다. 이 외의 모든 활동에 대해서 경고창을 보여줍니다. HIPS는 다음 파일들을 안전하다고 판단합니다.
1) File list에서 Trusted 등급으로 설정된 실행 파일
2) Trusted Vendors에 포함된 제작사에서 만든 프로그램
3) Comodo safe list (자체 데이터베이스)에 등록된 파일
Paranoid Mode: 이름에 걸맞게 가장 엄격한 규칙입니다. 사용자가 설정한 규칙만을 따르며 그 외에 모든 활동에 대해 경고창을 띄웁니다.
Monitoring Settings: HIPS가 감시할 활동을 이곳에서 선택할 수 있습니다. 가장 우선순위가 높은 전역 설정으로서, 이곳에서 선택하지 않은 항목은 허용 / 차단 규칙을 만들어도 적용되지 않습니다. 예를 들어 Protected Registry key를 선택 해제하면 모든 레지스트리 변경 활동을 감시하지 않고 "허용" 하게 됩니다. 프로세스의 활동, 레지스트리 및 COM 인터페이스 변조, 메모리 접근 등의 다양한 항목을 on / off 할 수 있습니다. HIPS를 사용한다면 기본값 그대로 두고 사용하는 것을 추천합니다.
Set popup alerts to verbose mode: HIPS 경고를 상세 알림 모드로 설정합니다. 더 자세한 정보가 나타납니다.
Create rules for safe applications: Safe 모드에서 자동으로 "안전한" 파일들을 허용하는 규칙을 생성합니다.
Enable adaptive mode...: 메모리가 아주 부족한 상황에서 작업이 실패하지 않도록 메모리 조정 기술을 사용합니다. 평상시에 사용한다면 성능이 저하될 수 있습니다.
Block All unknown requests...: 코모도 프로그램이 정상적으로 작동할 수 없는 상황에서 사용하는 옵션입니다. 알려지지 않은 모든 실행을 차단합니다.
Training Mode: 감지된 모든 실행파일과 프로세스의 행동을 허용 룰로 만들어 줍니다. 이 모드를 실행할 때에는 100% 안전하다고 확신하는 프로그램만 설치하고 사용해야 합니다. 자주 사용하는 안전한 프로그램들을 한 번씩 실행시켜 자동으로 룰을 만든 후에는 Safe 모드나 Paranoid Mode로 변경하는 것이 좋습니다.
Safe Mode: 사용자가 설정한 규칙을 따릅니다. 또한 "안전한" 실행파일들의 활동을 허용합니다. 이 외의 모든 활동에 대해서 경고창을 보여줍니다. HIPS는 다음 파일들을 안전하다고 판단합니다.
1) File list에서 Trusted 등급으로 설정된 실행 파일
2) Trusted Vendors에 포함된 제작사에서 만든 프로그램
3) Comodo safe list (자체 데이터베이스)에 등록된 파일
Paranoid Mode: 이름에 걸맞게 가장 엄격한 규칙입니다. 사용자가 설정한 규칙만을 따르며 그 외에 모든 활동에 대해 경고창을 띄웁니다.
Monitoring Settings: HIPS가 감시할 활동을 이곳에서 선택할 수 있습니다. 가장 우선순위가 높은 전역 설정으로서, 이곳에서 선택하지 않은 항목은 허용 / 차단 규칙을 만들어도 적용되지 않습니다. 예를 들어 Protected Registry key를 선택 해제하면 모든 레지스트리 변경 활동을 감시하지 않고 "허용" 하게 됩니다. 프로세스의 활동, 레지스트리 및 COM 인터페이스 변조, 메모리 접근 등의 다양한 항목을 on / off 할 수 있습니다. HIPS를 사용한다면 기본값 그대로 두고 사용하는 것을 추천합니다.
Set popup alerts to verbose mode: HIPS 경고를 상세 알림 모드로 설정합니다. 더 자세한 정보가 나타납니다.
Create rules for safe applications: Safe 모드에서 자동으로 "안전한" 파일들을 허용하는 규칙을 생성합니다.
Enable adaptive mode...: 메모리가 아주 부족한 상황에서 작업이 실패하지 않도록 메모리 조정 기술을 사용합니다. 평상시에 사용한다면 성능이 저하될 수 있습니다.
Block All unknown requests...: 코모도 프로그램이 정상적으로 작동할 수 없는 상황에서 사용하는 옵션입니다. 알려지지 않은 모든 실행을 차단합니다.
HIPS Rules
HIPS가 실행될 때 경고창을 띄우지 않고 바로 허용 / 차단할 규칙을 설정할 수 있습니다. 윈도우 업데이트, 코모도 실행파일 등 시스템에 필요한 규칙이 기본으로 설정되어 있으며, Add 버튼을 클릭하여 직접 규칙을 만들 수 있습니다.
규칙을 만드는 것이 어렵다면 프로그램 실행 후 나타나는 경고창에서 "Remember my answer"를 선택하여 내 대답을 기억시키면 자동으로 규칙이 추가됩니다. 방화벽과 마찬가지로 위에 있는 규칙이 우선순위가 높으며 아래 있는 규칙을 덮어쓰게 됩니다.
HIPS가 실행될 때 경고창을 띄우지 않고 바로 허용 / 차단할 규칙을 설정할 수 있습니다. 윈도우 업데이트, 코모도 실행파일 등 시스템에 필요한 규칙이 기본으로 설정되어 있으며, Add 버튼을 클릭하여 직접 규칙을 만들 수 있습니다.
규칙을 만드는 것이 어렵다면 프로그램 실행 후 나타나는 경고창에서 "Remember my answer"를 선택하여 내 대답을 기억시키면 자동으로 규칙이 추가됩니다. 방화벽과 마찬가지로 위에 있는 규칙이 우선순위가 높으며 아래 있는 규칙을 덮어쓰게 됩니다.
Rulesets
Allowed App / Contained App / System App 등의 룰셋이 미리 만들어져 있는 것을 볼 수 있습니다. HIPS Rules에서 새로운 규칙을 만들 때 이곳에 미리 정의된 룰셋을 사용하면 편리하게 규칙을 만들 수 있습니다.
abc.exe 라는 프로그램을 HIPS에서 허용하고 싶다면 abc.exe에 "Allowed Application" 룰셋을 적용시켜 간단하게 허용 룰을 만들 수 있습니다.
기본적으로 4가지 룰셋이 설정되어 있으며 숨겨진 룰셋이 하나 존재합니다. Installer or Updater 라는 룰셋은 이곳에는 나타나지 않지만 규칙을 만들 때 선택할 수 있습니다. HIPS에서 Installer or Updater로 설정된 앱들은 대부분의 활동이 허용되며, 이 앱들이 만든 다른 파일들까지 같은 취급을 받기 때문에 주의해서 사용해야 합니다.
Allowed App / Contained App / System App 등의 룰셋이 미리 만들어져 있는 것을 볼 수 있습니다. HIPS Rules에서 새로운 규칙을 만들 때 이곳에 미리 정의된 룰셋을 사용하면 편리하게 규칙을 만들 수 있습니다.
abc.exe 라는 프로그램을 HIPS에서 허용하고 싶다면 abc.exe에 "Allowed Application" 룰셋을 적용시켜 간단하게 허용 룰을 만들 수 있습니다.
기본적으로 4가지 룰셋이 설정되어 있으며 숨겨진 룰셋이 하나 존재합니다. Installer or Updater 라는 룰셋은 이곳에는 나타나지 않지만 규칙을 만들 때 선택할 수 있습니다. HIPS에서 Installer or Updater로 설정된 앱들은 대부분의 활동이 허용되며, 이 앱들이 만든 다른 파일들까지 같은 취급을 받기 때문에 주의해서 사용해야 합니다.
Protected Objects
HIPS에 의해 보호받는 폴더, 파일, 레지스트리, COM 인터페이스 등을 설정할 수 있습니다. HIPS Groups 에서 미리 정의된 그룹을 사용할 수 있습니다.
Protected files - 파일의 변경 시도가 있을 때 경고합니다. File Rating > File Groups에서 미리 정의된 파일 묶음을 등록할 수 있습니다.
Blocked files - 등록된 앱은 실행 불가능합니다.
Registry keys / COM Interfaces - HIPS Groups에 미리 등록한 레지스트리 그룹, COM 그룹을 등록할 수 있습니다.
Protected data folders - 안전한 앱의 접근만 허용하며 알려지지 않은 프로그램이 데이터에 접근하는 것을 차단합니다.
HIPS에 의해 보호받는 폴더, 파일, 레지스트리, COM 인터페이스 등을 설정할 수 있습니다. HIPS Groups 에서 미리 정의된 그룹을 사용할 수 있습니다.
Protected files - 파일의 변경 시도가 있을 때 경고합니다. File Rating > File Groups에서 미리 정의된 파일 묶음을 등록할 수 있습니다.
Blocked files - 등록된 앱은 실행 불가능합니다.
Registry keys / COM Interfaces - HIPS Groups에 미리 등록한 레지스트리 그룹, COM 그룹을 등록할 수 있습니다.
Protected data folders - 안전한 앱의 접근만 허용하며 알려지지 않은 프로그램이 데이터에 접근하는 것을 차단합니다.
Containment
프로그램 가상화를 사용하여 알려지지 않은 위협으로부터 사용자를 보호합니다. 가상 컨테이너 안에서 실행된 프로그램은 사용자의 디스크에 직접 파일을 쓰거나 저장할 수 없습니다. C:\VTRoot 폴더에 격리된 공간을 만들어 그곳에만 쓰기 작업을 실행할 수 있습니다. 파일 및 레지스트리 등 모든 변화는 격리된 공간에 저장되며, 시스템에 영향을 미치지 않습니다. 컨테이너를 초기화하면 격리된 공간에 있던 파일들은 깨끗이 사라지게 됩니다.
Containment Settings
Shared Space를 설정할 수 있습니다. 컨테이너에서 가상 실행된 프로그램은 격리된 공간 (C:\VTRoot)에만 쓰기 작업을 할 수 있지만, 예외를 설정하면 컨테이너 밖 Shared Space에 쓰기 및 저장이 허락됩니다. 컨테이너를 초기화해도 사라지지 않기 때문에 편리하게 사용할 수 있는 반면 보안상 위험할 수도 있으므로 적절한 설정이 필요합니다.
Do not virtualize access to the specified files / folders
Do not virtualize access to the specified registry keys/values
두 가지 설정을 통하여 가상화되지 않는 예외 공간 (Shared Space)과 레지스트리를 추가할 수 있습니다. 기본적으로 C:\ProgramData\Shared Space 의 경로가 지정되어 있으며 메인화면 > TASKS > Containment Tasks > Open Shared Space를 클릭하여 확인할 수 있습니다.
Enable automatic startup for services installed in the container: 이 옵션이 켜져 있으면 윈도우 시작 시 컨테이너에 가상 설치된 서비스를 자동 시작할 수 있습니다.
Show highlight frame...: 가상실행된 프로그램의 테두리에 녹색의 하이라이트 표시를 보여줍니다.
Detect programs which require elevated privileges: 관리자 권한이 필요한 설치 프로그램이 실행될 때 경고창을 보여줍니다.
Shared Space를 설정할 수 있습니다. 컨테이너에서 가상 실행된 프로그램은 격리된 공간 (C:\VTRoot)에만 쓰기 작업을 할 수 있지만, 예외를 설정하면 컨테이너 밖 Shared Space에 쓰기 및 저장이 허락됩니다. 컨테이너를 초기화해도 사라지지 않기 때문에 편리하게 사용할 수 있는 반면 보안상 위험할 수도 있으므로 적절한 설정이 필요합니다.
Do not virtualize access to the specified files / folders
Do not virtualize access to the specified registry keys/values
두 가지 설정을 통하여 가상화되지 않는 예외 공간 (Shared Space)과 레지스트리를 추가할 수 있습니다. 기본적으로 C:\ProgramData\Shared Space 의 경로가 지정되어 있으며 메인화면 > TASKS > Containment Tasks > Open Shared Space를 클릭하여 확인할 수 있습니다.
Enable automatic startup for services installed in the container: 이 옵션이 켜져 있으면 윈도우 시작 시 컨테이너에 가상 설치된 서비스를 자동 시작할 수 있습니다.
Show highlight frame...: 가상실행된 프로그램의 테두리에 녹색의 하이라이트 표시를 보여줍니다.
Detect programs which require elevated privileges: 관리자 권한이 필요한 설치 프로그램이 실행될 때 경고창을 보여줍니다.
Auto-Containment
자동 프로그램 가상화를 켜거나 끌 수 있으며 룰을 추가할 수 있습니다. 기본적인 규칙이 내장되어 있어, 위험한 파일은 차단하고 확인되지 않은 파일은 가상실행하게 됩니다.
Trusted 파일 (or Vendor) / 코모도 데이터베이스 / HIPS에서 Installer or Updater로 설정된 파일 / 알림창에서 사용자가 승인한 파일은 안전한 프로그램으로 분류되어 정상적으로 실행됩니다.
위험한 파일은 룰에 의해 차단됩니다.
위험한 파일은 아니지만 "안전한" 프로그램으로 분류되지 않은 파일은 Unrecognized 파일로 설정되며, 컨테이너에서 가상 실행됩니다. 동시에 클라우드로 해당 파일의 정보를 보내 분석을 시작합니다. 파일의 해시값 또는 파일 자체를 코모도 서버로 전송하여 분석합니다.
자동 프로그램 가상화를 켜거나 끌 수 있으며 룰을 추가할 수 있습니다. 기본적인 규칙이 내장되어 있어, 위험한 파일은 차단하고 확인되지 않은 파일은 가상실행하게 됩니다.
Trusted 파일 (or Vendor) / 코모도 데이터베이스 / HIPS에서 Installer or Updater로 설정된 파일 / 알림창에서 사용자가 승인한 파일은 안전한 프로그램으로 분류되어 정상적으로 실행됩니다.
위험한 파일은 룰에 의해 차단됩니다.
위험한 파일은 아니지만 "안전한" 프로그램으로 분류되지 않은 파일은 Unrecognized 파일로 설정되며, 컨테이너에서 가상 실행됩니다. 동시에 클라우드로 해당 파일의 정보를 보내 분석을 시작합니다. 파일의 해시값 또는 파일 자체를 코모도 서버로 전송하여 분석합니다.
VirusScope
Container와 병행해서 사용할 수 있는 행동 탐지 시스템입니다. 현재 실행되는 프로세스를 모니터하는 기능인데, 기본적으로 컨테이너 안에 있는 프로그램만 감시하도록 설정되어 있습니다. Auto-Containment를 사용하여 확인되지 않은 파일들을 가상 실행할 때, 클라우드를 통해 파일의 정보를 분석하는 동시에 VirusScope를 사용하여 프로세스의 행동을 감시할 수 있습니다.
타사 백신도 대부분 프로세스 검사를 제공하기 때문에 Monitor only the applications in the container 옵션을 켜서 컨테이너 안에 있는 프로그램만 검사하는 것이 좋습니다.
Website Filtering
특정 웹사이트를 허용하거나 차단할 수 있습니다. 기본적인 규칙 두 가지가 생성되어 있으며 차단 룰에는 Malware 사이트, 피싱 사이트 등 코모도에서 정의한 악성 사이트가 포함되어 있습니다. 카테고리를 만들어 사이트를 등록하면 새로운 규칙에 적용할 수 있습니다.
관련 글:
코모도 방화벽 (Comodo Firewall) 설치
코모도 방화벽 (Comodo Firewall) 설정
참고:
https://help.comodo.com/topic-72-1-766-9029-CIS-Settings.html
댓글
댓글 쓰기