2014년 12월 10일 수요일

COMODO Internet Security (CIS)의 Sandbox와 시스템 보호 (HIPS / Protected Obejcts)

Wikipedia 에서는 Sandbox를 "샌드박스(sandbox)란, 외부로부터 들어온 프로그램이 보호된 영역에서 동작해 시스템이 부정하게 조작되는 것을 막는 보안 형태이다." 라고 정의하고 있습니다.


CIS에 Autosandbox는 파일을 어떤 환경(Real,Block,Restricted,Virtually) 에서 실행할지 여부를 미리 설정하는 곳입니다.

* Autosandbox 이전의 기능이었던 Behavior Blocker는 Unknown Files에 대해서만 일괄적으로 한가지 실행 환경을 설정할수 있었으나, Autosandbox는 모든 파일(Trusted Files 포함)에 대해서 제각각 실행(여부) 환경을 미리 설정할수 있습니다.

Sandbox = Restriced (Partially Limited ~ Untrusted) + VIrtually (Full Virtuallized)

Restriced는 프로세스의 시스템 자원 사용 범위를 제한하며, HIPS 감시 기능에 의해 시스템 접근 및 Protected Object 에 존재하는 대상들을 보호합니다.


Protected Objects 보호라는 의미는 File,Registry,COM은 읽기는 허락 하지만 쓰기는 사용자에게 경고창을 보여줍니다. Blocked FIles는 모든 프로세스로 부터 접근을 차단, Protected Data Folders는 Sandboxed 프로세스로부터 모든 접근을 차단합니다.

* Protected Data Folders는 HIPS 기능의 활성화에 상관없이 보호됩니다.

VIrtually (Full Virtuallized)는 Restricted와 다르게 완전히 가상 환경을 구성하여 Sandboxed Process가 실제 환경에 접근하여 변경(쓰기)하려는 행위를 전부 차단합니다.

현재 Autosandbox 기본 설정 룰에 의해 실행되는 Sandboxed 프로세스는 VIrtually (Full Virtuallized) 환경에서 실행이 되기에 HIPS 경고창이 기본적으로 보이지 않습니다.


Sandboxed (Full Virtuallized) 프로세스가 Sandbox 밖으로 실행하여 제한없는 접근을 시도할시 다음과 같은 경고창을 Sandbox는 보여줍니다.

댓글 없음:

댓글 쓰기