| 出版日期:2005-06-06 总期号:1417 本年期号:40 |
|
 |
如何应对间谍软件
如果对潜在恶意程序的类型有所了解,并掌握可最大程度地降低其渗透性的策略、完美实践经验和系统需求,间谍软件并非是不可战胜的。间谍软件是伴随计算机互联网而生的网络威胁,它也是潜在恶意程序中增长速度最快的一类程序。身处在众多恶意程序的包围之中,了解您所面对的恶意威胁并找出防范和清除它们的方法至关重要。 目前,间谍软件已经成为一个泛指性词汇,其意义涵盖了木马程序等传统恶意软件以及通常描述为潜在恶意程序(PUP)的其它威胁。PUP是指在后台运行不为用户所知一类程序。虽然有些PUP是无害的,但是大多数PUP都隐含或非有意涉及隐私或安全问题。 如何区分哪些是有用的软件还是潜在恶意软件?McAfee公司产品营销总监John Bedrick认为,我们的客户能够进行区分。用户可能希望在即时消息中使用别致的Smiley图标,但是对膝上型电脑拥有所有权的公司有足够的权限禁止该行为。客户需要制订相应的解决方案来确定在其环境中需要哪些程序、不需要哪些程序。 PUP 基础 PUP的形式多种多样,由于它们可应用于合法用途也可应用于非法目的,因此有时会表现出两面性。下面对常见的一些PUP进行简要说明。 广告软件:以弹出式广告、隐式弹出式广告或横幅广告形式进行广告宣传的PUP。其最终目的是进行广告宣传。有时广告软件也可用于跟踪用户的上网习惯。通常,广告软件附加于其它软件中进行安装,作为交换条件,只有当用户同意接收广告后才能使用某些免费软件,如即时消息传递软件。虽然通常认为广告软件不会带来重大安全风险,但是在浏览网页时它会降低计算机的处理速度。 间谍软件:像广告软件一样,间谍软件通常随免费软件或共享软件一起安装,或通过单击色情网站进行安装。但与广告软件不同的是,间谍软件可以在用户或公司不知情的情况下,为第三方收集和传输数据。 主页劫持软件:这些软件通过修改浏览器设置将用户重定向到新的主页、搜索页和错误页,通常为色情内容。这些PUP通常还会修改用户浏览器的收藏夹列表。虽然本身并非安全威胁,但是如果在客户或同事面前显示这些主页内容,您会十分尴尬。由于已有公司因员工张贴涉嫌包含淫秽内容的日历或海报而受到起诉或处罚,因此这种劫持软件可能会带来新的法律风险,公司应当尽量避免。 Cookie:用来跟踪上网习惯和个人爱好的纯文本文件。例如,以众多网站中的Amazon.com网站为例,它投放一个cookie来记录用户信息,根据用户的搜索内容或购买信息,在用户下次访问该网站时为用户提供建议。Cookie并非一定为安全威胁。 键击记录程序:用来记录所有键击操作的软件,无论是电子邮件、即时消息、Word文档、网上银行操作还是键入的任何内容,统统进行记录。无论对于消费者还是商家,如果其计算机在不知情的情况下被安装了此类软件,那么问题就大了。虽然这些PUP的危害显而易见,但是它们也可被法律执行机关用来收集证据,有些公司还通过安装此类软件来监控员工的行为。 远程管理工具:这些工具允许某些人夺取计算机或服务器的控制权。例如,当用户碰到问题时,IT人员可以对计算机进行控制以便执行快速诊断测试,但是如果黑客取得了计算机控制权,他将可以访问个人私有数据或通过网络中的计算机来发送垃圾邮件。 预防为主 借助于定期的最终用户培训、严格的使用策略和在企业外围进行过滤等手段,可以对这些恶意程序进行防范。要采取的首要预防步骤就是不要下载这些程序,这样您就不必再担心以后需要清除它们了。 执行策略是另一项有效的预防工具。这意味着要对用户在其计算机上的权限进行限制,不允许他们随意安装软件程序或不受限制地浏览网络内容。公司可以激活操作系统对启动程序的限制,但是应考虑部署桌面机和主机入侵防护软件,如McAfee Desktop Firewall和McAfee Entercept等。此类软件可以根据您所设置的策略真正地锁定计算机。 尽管实施了这些防护措施,某些PUP可能仍然能够逃避检测。此时将需要使用防病毒软件作为间谍软件防护解决方案的后备补救措施,而病毒预防正是 McAfee的强项。McAfee在防病毒市场处于行业领先地位。“通过更新防病毒软件签名文件并使用反间谍软件程序,您将能够阻止大部分恶意程序的安装。”Bedrick说道。企业还可以采取个人或家庭用户无法实施的防护措施——安装外围防护系统。“有些威胁仍然能够突破外围防护,因此您需要采取分层防护方案。”他说道。 这正是McAfee IntruShield网络入侵防护系统的用武之地。该系统采用多层防护机制,可以防护间谍软件和其它PUP的侵袭,从而在McAfee强大的基于系统的间谍软件防护系统之上树立一道辅助防线。此外,McAfee功能全面的间谍软件防护系统由多条产品线组成,包括McAfee Anti-Spyware Enterprise、McAfee VirusScan Enterprise 8.0i、McAfee安全内容管理解决方案以及McAfee Foundstone技术。使用全面的McAfee系统和网络防护套件,客户可以部署多个关键防护层,安全地阻止和清除间谍软件、恶意代码和其它恶意程序。 面向企业构建 这是McAfee的解决方案与多数供应商的安全程序包之间的另一个不同之处。其他供应商的产品多数是面向消费者及家庭用户的。Bedrick解释说:“如果您采用消费型产品,粗制滥造一些管理软件,并宣称它是企业级反间谍软件,您就不能指望一定能实现比较好的安全性。无论企业的规模如何,在软件开发阶段就必须将其需求考虑进去,而不是等到木已成舟之时。” Bedrick建议企业利用安全管理控制台来管理反间谍软件产品及策略。如果企业安装了防病毒软件、防火墙和主机入侵防护系统,这样做就很有意义。他说:“您肯定希望对这些无缝集成的套件统一加以管理,而不希望它们只是一堆散列的图标。” 中型及大型企业还希望用安全管理控制台实现其他一些相关功能:如合理性管理、恶意计算机检测及策略实施等。若要真正实现企业级安全性,McAfee认为,所有安全代理(包括反间谍软件在内)都应实现自动升级。“真正的企业级安全产品应能使IT人员将升级从管理控制台推向最终用户”,Bedrick补充道。如此一来,公司就能实现代理驱动的更新,更新首先从管理控制台启动,然后覆盖包括客户端和系统基础在内的整个系统。这样的升级和更新不需要用户重新引导系统或进行任何其他操作。 McAfee真正实现了对潜在恶意程序(PUP)的访问扫描、警报和拦截功能。公司还提供全年不间断的24小时技术支持,设有专门的病毒防护紧急响应小组(AVERT),这是全球顶级研究机构之一,研究人员遍布五大洲的13个国家或地区。随着软件市场各部分的不断合并,企业必须考虑与它们开展业务的供应商能否在安全市场做得长久。 |
||||||||||||||||||||
