Host Intrusion Prevention System

Program antywirusowy Comodo Client – Security wyposażony jest w autorski zestaw technologii do ochrony systemu o nazwie Defense+. W skład jego wchodzi między innymi HIPS – Host Intrusion Prevention System. HIPS służy do stałego monitorowania aktywności systemu i pozwala na wykonywania plików i procesów, jeżeli są one zgodne z obowiązującymi regułami bezpieczeństwa, które zostały wymuszone przez profil w konsoli lub domyślnie przez producenta. Dla przeciętnego użytkownika końcowego, Comodo Client – Security z domyślnymi regułami HIPS zapewnia bardzo wysoki poziom ochrony bez jakiejkolwiek interwencji. HIPS automatycznie chroni pliki systemowe, krytyczne foldery i klucze rejestru – zapobiega ich nieautoryzowanym modyfikacjom przez złośliwe programy. Administratorzy którzy chcą jeszcze dokładniej chronić swoje stacje mogą szybko tworzyć niestandardowe zasady i zestawy reguł za pomocą konsoli ITSM i profili dla systemu Windows.

HIPS może działać w trzech trybach:

1. Tryb Paranoid – jest to najwyższy poziom bezpieczeństwa. Monitoruje i kontroluje wszystkie pliki wykonywalne z wyjątkiem tych, które zostały uznane za bezpieczne.
2. Tryb Safe – jest zalecany dla większości użytkowników. Monitoruje aktywność systemu, krytycznych plików, kluczy rejestru, autostartu, itp. Automatycznie uczy się aktywności wykonywalnych aplikacji zakwalifikowanych jako bezpieczne przez Comodo. Powoduje to, że automatycznie dla plików bezpiecznych tworzone są reguły zezwalające na działanie – jeśli opcja „Create rules for safe applications” jest zaznaczona (zalecamy włączenie jej). Aplikacje, które nie są podpisane cyfrowo będą inicjowały wyświetlanie ostrzeżeń podczas próby uruchomienia.
3. Tryb training – monitoruje aktywność wszystkich wykonywanych plików i automatycznie tworzy reguły zezwalające na ich działanie (po skończeniu nauki i po zmianie trybu na bezpieczny lub paranoiczny ograniczy to liczbę alertów). Tryb ten należy wybrać po instalacji Comodo, i jeśli niedawno instalowaliśmy system, oraz gdy mamy pewność, że wszystkie zainstalowane aplikacje na komputerze nie są wirusami, adware, PUP. Żadne alerty do czasu zmiany trybu nie będą wyświetlane. W przypadku pobierania i instalowania kolejnych programów zalecamy zmianę trybu na „Safe”.

Comodo Client – Security (CCS) zainstalowany na naszym komputerze działa z ocenami plików. Istnieje lista dostawców ratingu/ocen z priorytetem jak poniżej.

1. Podpisany przez Comodo

2. Podpisany przez Microsoft

3. Polityka (admin)

4. Użytkownik

5. CavseWhite (twarda biała lista dla znanych aplikacji)

6. Zainstalowane przez zaufanego instalatora

7. FLS (w tym lokalna lista zaufanych dostawców)

8. CavseScan (silnik skanujący Comodo Anti-Virus)

9. Valkyrie

10. SmartScreen (windows verdict)

11. Suspicious (podstawowa analiza heurystyczna)

Comodo Client – Security próbuje uzyskać ocenę Trusted lub Malicious zaczynając od 1 do 11. Jeśli ocena zostanie otrzymana, Comodo Client – Security zatrzymuje obliczanie oceny i stosuje ją. Warstwy ochrony podejmują działania zgodnie z oceną pliku i regułami określonymi w profilu. Jeśli ocena nie zostanie otrzymana od dostawcy, Comodo Client – Security sprawdzi kolejnego dostawcę. Jeśli żaden z 11 dostawców nie zwróci oceny Trusted lub Malicious, Comodo Client – Security zastosuje ocenę Unrecognized.

Na podstawie oceny Nierozpoznany (Unrecognized), pliki są uruchamiane w Containment zgodnie z predefiniowaną regułą dla Nierozpoznanych plików. Takie pliki są automatycznie przesyłane do Valkyrie w celu dalszej analizy i ustawienia ostatecznej oceny dla tych plików.

Połączenie między naszymi komputerami, a serwerami Comodo jest szyfrowane za pomocą protokołów TLS, kluczy RSA 2048 bitów i algorytmu SHA 256. Komunikacja będzie odbywać się tylko z komputera i do naszego serwera.

Jeśli mamy włączone automatyczne przesyłanie plików do laboratorium chmurowego o nazwie Valkyrie od Comodo to sprawdzane są w niej pliki Portable Executable (PE).

Lista rozszerzeń Portable Executable (PE):

.acm, .ax, .cpl, .dll, .drv, .efi, .exe, .mui, .ocx, .scr, .sys, .tsp

Comodo Client Security jest w stanie wykryć wbudowany kod i zablokować go przez HIPS lub zwirtualizować przez Containment, jeśli makro wywołuje dobrze znanego tłumacza/interpretera.
CCS jest również w stanie zablokować lub zwirtualizować kod pobrany przez makro, jeśli zostanie on wykonany po pobraniu.
Jeśli ładunek jest znanym złośliwym oprogramowaniem – zostanie on poddany kwarantannie przez skaner czasu rzeczywistego Anti Virus poprzez sygnaturę.

Wystarczy wykonać raz pełne skanowanie po zakończonej instalacji Comodo. Można według własnego uznania włączyć przykładowo szybkie skanowania co tydzień automatycznie. Należy pamiętać że każdy pobrany nowy plik zapisywany na komputerze będzie automatycznie przez Comodo sprawdzany za pomocą skanera w czasie rzeczywistym.

Tak, Comodo posiada swój silnik skanujący pliki pod kątem danych wrażliwych (DLP) z możliwością wygenerowania logów, a także blokadę wysyłania jakichkolwiek danych np. dokumentów z PESEL na urządzenia przenośne USB typu pendrive lub inne zasoby, a także jest możliwość monitorowania i blokowania zrzutów ekranu wrażliwych treści lub zasobów o wskazanej lokalizacji.

Można to zrobić za pomocą laboratorium Valkyrie od Comodo na stronie https://valkyrie.comodo.com lub za pomocą przesyłu pliku do Valkyrie przez agenta ochrony (CZYNNOŚCI >> ZAAWANSOWANE >> Prześlij pliki). Dobrym pomysłem jest też sprawdzenie na stronie https://www.virustotal.com

VirusScope to moduł który umożliwia cofnięcia szkodliwych zmian i monitoruje aktywność procesów działających na komputerze użytkownika i ostrzega go, jeśli podejmują one działania, które mogą potencjalnie zagrażać jego prywatności i/lub bezpieczeństwu.

Tak, po wykryciu zagrożenia Comodo blokuje je przez dodanie do kwarantanny lub usunięcie ich – zależnie od polityki ustawionej w konsoli. Jeśli plik będzie nieznany to antywirus go uruchomi automatycznie w piaskownicy (autosandbox).

Tak, domyślnie są uruchamiane w zielonej ramce, która oznacza, że plik jest dla Comodo nieznany i został zwirtualizowany (uruchomiony w piaskownicy – sandbox’ie).

Sandbox czyli piaskownica działa na naszym komputerze lokalnie, co sprawia, że dany program nie jest wizualizowany w innym środowisku niż to w którym działamy. To skutkuje jeszcze lepszą ochroną, a co najważniejsze, widzisz uruchomiony program, plik.

Nie, sandbox czyli piaskownica jest zawarta w programie antywirusowym o nazwie Comodo Client-Security jako jeden z wielu modułów ochrony.

Tak, dzięki skutecznej (automatycznej i co ważne lokalnej) piaskownicy (autosandbox), który jest na start dostępny wraz z innymi modułami ochrony.