vida usługi it katowice
Kontakt
vida usługi it katowice

Moduł HIPS w ESET: Jak zabezpieczyć system przed włamaniem i debugowaniem aplikacji?

Moduł HIPS (Host-based Intrusion Prevention System) w rozwiązaniach ESET to zaawansowane narzędzie zabezpieczające, działające bezpośrednio na chronionym komputerze. Podczas webinaru z serii ESET TnT 6, prowadzonego przez inżyniera Daniela Winiarskiego, omówiono praktyczne zastosowanie HIPS, w tym zapobieganie debugowaniu aplikacji oraz blokowanie uruchamiania interpretrów skryptów, takich jak cmd i PowerShell, przez aplikacje Microsoft Office.

Artykuł przedstawia tematykę webinaru jako kompletny przewodnik po konfiguracji modułu HIPS w ESET, z uwzględnieniem kluczowych wskazówek technicznych Daniela Winiarskiego.

Przeczytaj artykuł i obejrzyj wideo, aby dowiedzieć się, jak wdrożyć dodatkowe warstwy ochrony w swoim środowisku.

Spis treści:

konfiguracja HIPS

Czym jest moduł HIPS w ESET?

Moduł HIPS to system zapobiegania włamaniom oparty na hoście, który chroni system operacyjny przed szkodliwym oprogramowaniem i działaniami zakłócającymi jego pracę. Jak podkreśla Daniel Winiarski: „HIPS czyli nic innego jak system ochrony przed włamaniami, który działa bezpośrednio na chronionym komputerze”. Monitoruje on kluczowe elementy systemu, takie jak uruchomione procesy, dostęp do plików oraz wpisy w rejestrach, wykorzystując zaawansowane techniki ochrony, w tym analizę podobną do tej stosowanej w zaporach sieciowych.

HIPS działa niezależnie od innych elementów zabezpieczeń, takich jak zapora sieciowa czy ochrona w czasie rzeczywistym. „HIPS jest niezależnym modułem, działa niezależnie od pozostałych elementów składowych naszego systemu” – wyjaśnia Winiarski. 

Przeczytaj również: Jak ESET Inspect On-Prem i moduł HIPS pomagają chronić przed ukrytymi zagrożeniami?

Zadaj pytanie Danielowi

Kluczowe funkcje modułu HIPS

Monitorowanie procesów i zasobów

HIPS analizuje uruchomione procesy, dostęp do plików oraz modyfikacje rejestrów systemowych. „HIPS monitoruje uruchomione procesy, dostępy do plików, wykonywanie wpisów w rejestrach” – mówi Winiarski. Wykorzystuje złożone techniki, które pozwalają na wykrywanie i blokowanie potencjalnie niebezpiecznych działań.

Niezależność od innych modułów

Ważną cechą HIPS jest jego autonomiczność. Nie zastępuje zapory sieciowej ani ochrony w czasie rzeczywistym, ale działa jako dodatkowa warstwa zabezpieczeń. „Pod żadnym pozorem nie zastępuje ani ochrony przez moduł zapory, ani też ochrony w czasie rzeczywistym” – podkreśla Winiarski.

Dodawanie warstw ochrony z HIPS

Aby zwiększyć bezpieczeństwo środowiska, HIPS umożliwia konfigurację reguł, które wprowadzają dodatkowe warstwy ochrony. „Co zatem można by zrobić, żeby dodać kolejne warstwy ochrony dla naszych środowisk?” – pyta Winiarski, wskazując na dwie przykładowe metody: zapobieganie debugowaniu aplikacji oraz blokowanie uruchamiania skryptów.

Zapobieganie debugowaniu aplikacji

Debugowanie aplikacji, zwłaszcza w środowiskach produkcyjnych, może być niebezpieczne, szczególnie gdy dotyczy aplikacji przetwarzających poufne dane. „Wyłączenie możliwości debugowania aplikacji to jedna z prostszych, aczkolwiek bardzo przydatnych rzeczy” – mówi Winiarski. Może ono prowadzić do ujawnienia wrażliwych danych, zdalnego wykonania kodu lub ataków typu DoS.

Aby skonfigurować blokadę debugowania, należy stworzyć nową politykę w ESET Endpoint for Windows. „Zróbmy sobie nową politykę, nazwijmy ją dowolnie, ja wpisałem HIPS, wystarczy, że wybierzemy odpowiedni produkt, w moim wypadku będzie to ESET Endpoint for Windows, i przechodzimy do konfiguracji systemu HIPS” – instruuje Winiarski. Następnie wybiera się operację „blokuj” dla debugowania aplikacji, określając, że żadna aplikacja nie może debugować innej. „Chcielibyśmy, żeby żadna aplikacja nie mogła debugować innej” – dodaje.

Winiarski zaleca ostrożność przy wprowadzaniu zmian w HIPS: „Jeżeli nie jesteście pewni co do reguł, które będziecie wprowadzali w module HIPS, nie róbcie tego sami, skonsultujcie się z nami, z tego względu, że wprowadzenie nieodpowiednich zmian może prowadzić do destabilizacji pracy systemu”.

 

Konfiguracja szczegółowości logowania

Podczas tworzenia reguły można określić stopień szczegółowości logowania. „Proponuję informacje i oczywiście nie powiadamiamy użytkownika” – radzi Winiarski, sugerując zapisywanie informacji w dziennikach bez generowania powiadomień dla użytkownika.

Blokowanie interpretrów skryptów w aplikacjach Office

Kolejnym zagrożeniem jest uruchamianie poleceń przez aplikacje, np. zaszyty kod w arkuszach Excel, który wywołuje cmd lub PowerShell. „Kod zaszyty w pliku arkusza kalkulacyjnego w Excelu będzie próbował uruchomić polecenia z cmd albo PowerShella, bo to są interpretatory do wykonywania skryptów” – wyjaśnia Winiarski.

Aby temu zapobiec, należy skonfigurować regułę blokującą uruchamianie cmd i PowerShell przez aplikacje Microsoft Office, takie jak Word, Excel i PowerPoint. „Możemy wpisać nazwę reguły “Blokowanie cmd i PowerShell”, wybieramy operację blokuj, znowu wybieramy operację dotyczącą aplikacji” – instruuje Winiarski. Następnie określa się aplikacje źródłowe: „Aplikacją źródłową będą nasze aplikacje Microsoft Office’a, ja wcześniej przygotowałem ścieżki tych aplikacji, więc po prostu je teraz dodajemy: Word, Excel, PowerPoint”.

Reguła obejmuje blokowanie uruchamiania nowych aplikacji (cmd i PowerShell) z określonych ścieżek. „Wybieramy typ operacji: uruchamianie nowej aplikacji, i teraz jakich aplikacji? Określonych: ścieżka do cmd, ścieżka do PowerShella” – mówi Winiarski.

Wdrożenie reguł i ich znaczenie

Po przypisaniu reguł do odpowiednich hostów, HIPS wprowadza kolejne warstwy zabezpieczeń. „W ten sposób możemy budować reguły modułu HIPS, które będą wprowadzały kolejne warstwy zabezpieczeń do naszego środowiska i usprawniały pracę naszego antywirusa” – podsumowuje Winiarski. Takie podejście chroni przed wyciekiem danych, zdalnym wykonaniem kodu oraz innymi zagrożeniami.

Podsumowanie i dalsze kroki

Webinar ESET TnT 6 dostarcza praktycznych wskazówek, jak wykorzystać moduł HIPS do zwiększenia bezpieczeństwa środowiska IT. Pokazano, jak skonfigurować reguły zapobiegające debugowaniu aplikacji i uruchamianiu skryptów przez aplikacje Office, co pozwala na ochronę przed zaawansowanymi zagrożeniami. Zachęcamy do konsultacji z ekspertami przy wprowadzaniu zmian w HIPS. Jeśli masz jakiekolwiek pytania, to śmiało pisz do nas!

Masz jakieś pytania?
Zapytaj naszego specjalistę!
Current Month

19lis(lis 19)09:0020(lis 20)16:00Forti Effective Day | LublinAutorskie warsztaty stacjonarne FortiGate w Twoim mieście09:00 – 16:00 (20)(GMT+01:00) Lublin ProwadzącyKonrad Klekot

27lis10:0015:00CrowdStrike Falcon LABS | Bezpłatne warsztaty stacjonarne | KatowiceJedna platforma – pełne bezpieczeństwo IT. Potrzebujesz XDR, SIEM, SOAR, EDR, DLP lub zaawansowanej ochrony tożsamości i środowisk chmurowych? Sprawdź, jak CrowdStrike Falcon integruje wszystkie te rozwiązania w spójny ekosystem cyberbezpieczeństwa.10:00 – 15:00(GMT+00:00) Katowice, Gałczyńskiego 18 ProwadzącyŁukasz Kucharski

09gru09:0016:00Szkolenie charytatywne – FortiAnalyzer | KatowiceSzkolenie FortiAnalyzer – opanuj analizę zagrożeń i raportowanie dla każdej floty FortiGate. Cały dochód wspiera „Zajawkę na IT”!09:00 – 16:00(GMT+01:00) Katowice, Gałczyńskiego 18 ProwadzącyMateusz Ślązok

17gru(gru 17)09:0018(gru 18)16:00Forti Effective Day | KatowiceAutorskie warsztaty stacjonarne FortiGate w Twoim mieście09:00 – 16:00 (18)(GMT+01:00) Katowice, Gałczyńskiego 18 ProwadzącyMateusz Ślązok

styDyrektywa NIS2Co nowa dyrektywa UE oznacza dla Twojej organizacji? Przygotuj się na zmiany!Month Long Event (Styczeń)(GMT+00:00) Webinar na żądanieWydarzenie online ProwadzącyKonrad Glejt

styForti EDR/XDRNowoczesne podejścia do detekcji i zwalczania zagrożeń z wykorzystaniem technologii EDR/XDRMonth Long Event (Styczeń)(GMT+00:00) Webinar na żądanieWydarzenie online ProwadzącyMaciej Iwanicki

styWebinary CROWDSTRIKEPoznaj prawdziwe oblicze cyberprzestępcy! Jak się przed nim chronić? Jak wygląda platforma cyberbezpieczeństwa od środka?Month Long Event (Styczeń)(GMT+00:00) Webinar na żądanieWydarzenie online ProwadzącyRobert Michalski

styWebinar o ochronie AD – Falcon Identity ProtectionJak chronić swoje AD przed współczesnymi cyberzagrożeniami dzięki CrowdStrike Falcon® Identity ProtectionMonth Long Event (Styczeń)(GMT+00:00) Webinar na żądanieWydarzenie online ProwadzącyBartosz Galoch + Karol Niemyjski

styIgrzyska Śmierci w Paryżu? O cyberbezpieczeństwie w sporcieMówią, że sport to zdrowie i z reguły jest bezpieczny. Ale czy sport jest cyberbezpieczny?Month Long Event (Styczeń)(GMT+00:00) OnlineWebinar na żądanieWydarzenie online

styPlatforma WithSecure ElementsJak za pomocą jednego narzędzia, przewidywać, zapobiegać i analizować zagrożenia na wielu płaszczyznach.Month Long Event (Styczeń)(GMT+00:00) Webinar na żądanieWydarzenie online ProwadzącyBartłomiej Stryczek

styFortiGate Tips & Tricks 3Temat 1: Debugowanie i troubleshooting FortiGate, Temat 2: Traffic ShapingMonth Long Event (Styczeń)(GMT+00:00) Webinar na żądanieWydarzenie online ProwadzącyMateusz Ślązok + Daniel Winiarski

Vida premium care
VSD VIDA usługa wdrożenia
VSD VIDA usługa wdrożenia

Zainteresowany?

Nie zostawiaj pytań bez odpowiedzi.
Zyskaj wsparcie IT, które robi różnicę!

Napisz do nas

Dane kontaktowe:

VIDA
Gałczyńskiego 18
40-587 Katowice
kontakt@vida.pl
tel.: +48 32 225 99 66

Aktualne oferty pracy

Polecane rozwiązania:

Najważniejsze strony

Wiedza:

gsc

Polityka prywatności i cookies.

|

@2025 VIDA Wszystkie prawa zastrzeżone

Zadaj pytanie naszemu specjaliście
ds. bezpieczeństwa!

Wypełnij Formularz:

CrowdStrike | Szukasz XDR, SIEM, SOAR, EDR, DLP albo ochrony tożsamości i chmury?

Bezpłatne warsztaty stacjonarne - Katowice | 27.11