Здравый смысл и решения антишпионажа — лучшая защита

Проблема шпионского программного обеспечения становится все более острой. Чтобы решить ее, необходимо определить способы защиты и выбрать из разнообразных типов продуктов наиболее подходящие для конкретных условий. Полезно также собрать информацию о поставщиках современных централизованно управляемых решений антишпионажа. Тем, кто мало знаком с программами антишпионажа, рекомендую прочитать врезку «Что такое шпионская программа?».

Защитные меры, продиктованные здравым смыслом

Защититься от проникновения шпионских программ можно, если выделить достаточно средств на обучение пользователей и взять на вооружение решения антишпионажа. Шпионские программы похожи на вирусы, «троянских коней» и «червей», поэтому защищаться от них можно методами, которые подсказывает здравый смысл. Пользователям следует остерегаться неизвестных программ, какими бы привлекательными они ни казались. Нужно также проявлять известную осторожность по отношению к незнакомым Web-узлам, особенно с JavaScript, ActiveX и другими элементами управления на базе Web, с помощью которых легко установить шпионские программы. Многие почтовые клиенты располагают встроенными функциями обработки и вывода на экран HTML-контента, и пользователям следует остерегаться любых непрошеных сообщений электронной почты.

Иногда зараженную шпионскими программами систему можно узнать по характерным особенностям поведения: замедленная реакция при вводе данных с клавиатуры; брандмауэры время от времени выдают всплывающие предупреждения; в журналах появляются записи о запросах доступа к незнакомым сайтам Internet со стороны неизвестных прикладных программ; записи журналов свидетельствуют о попытках установить соединение с данным компьютером из узла с неизвестным IP-адресом; снижение системной и сетевой производительности; появление в системе подозрительных файлов.

Пользователи должны сообщать об этих аномалиях администраторам для более подробного изучения.

Основные различия между решениями антишпионажа

Существует три основных способа поиска и удаления шпионских программ. Решения антишпионажа выполняют активное сканирование в реальном времени, пассивное сканирование или комбинируют эти методы. Сканирование в реальном времени предотвращает заражение путем проверки входящего контента на сетевом шлюзе или внутреннем сетевом компьютере. Активное сканирование обеспечивает превентивную защиту. Пассивное сканирование — процесс проверки объектов, уже имеющихся в системе. Сканирование выполняется по расписанию или запускается вручную. Продукты с пассивным сканированием реагируют на возникшую опасность. И в активных, и в пассивных сканерах используются базы данных сигнатур; этот метод похож на используемый в антивирусных программах. В таких решениях также могут применяться специальные методы обнаружения, в частности поиск имен файлов или разделов реестра, обычно используемых шпионскими программами.

В некоторых решениях для борьбы со шпионажем анализируется потенциальное поведение различных типов контента. Анализ поведения — превентивный метод, обычно применяемый в реальном времени при фильтрации контента. Например, анализируя сценарии, можно определить их способность проникать в известные уязвимые места или выполнять подозрительные операции, в частности обращаться к реестру, системным файлам или копировать файлы. Программа может проверять контент на предмет наличия подозрительных файлов, например вредных DLL или исполняемых файлов.

Большинство поставщиков программ антишпионажа используют метод сравнения последовательностей (на основе сигнатур, имен файлов и разделов реестра); столь же эффективными могут быть и системы анализа поведения.

Шлюз или хост-машина?

Решения антишпионажа размещаются аналогично антивирусным программам. Их можно установить на шлюзах или хост-компьютерах, таких как серверы или настольные системы.

Решения на периметре сети защищают корпоративную сеть, фильтруя шпионские программы, прежде чем они достигнут серверов или настольных компьютеров. Как правило, управлять шлюзовыми решениями гораздо проще, так как шлюзов на предприятии наверняка меньше, чем серверов и настольных систем. Другое преимущество шлюзовых решений — активное сканирование, благодаря которому шпионские программы удается уничтожить, прежде чем они достигнут систем во внутренней сети. Шлюзовые решения могут быть только программные. Потребитель покупает аппаратные средства или сетевое устройство отдельно.

Многие поставщики решений по безопасности встраивают функции борьбы со шпионажем в существующие продукты. Например, поставщики программ для борьбы с вирусами, фильтрации контента, обнаружения несанкционированного доступа и брандмауэров предлагают функции антишпионажа в качестве дополнительных служб или автономных продуктов. Всегда, когда возникает проблема безопасности, универсальное решение представляет собой потенциальную единую точку отказа, а неполадки могут сильно повлиять на общую безопасность.

Если бюджет предприятия достаточно велик, то следует построить эшелонированную оборону с шлюзовым, серверным и настольным уровнями. Использование решений от одного или нескольких поставщиков — эффективный подход, в результате которого значительно повышается процент обнаруженных «шпионов». Одно решение антишпионажа может выявлять вредителей, неуловимых для другого.

Даже при развертывании централизованно управляемых инструментов борьбы со шпионажем на шлюзовом, серверном и настольном уровнях полезно держать в запасе популярные бесплатные автономные программы на случай, если централизованно управляемые решения не смогут обнаружить и удалить шпионское программное обеспечение определенного типа. Такая ситуация может возникнуть, если новая разновидность вредителя проникнет сквозь оборонительные редуты, прежде чем поставщик подготовит способ для борьбы с ним. Два распространенных автономных инструмента — Spybot Search & Destroy (http://www.safernetworking.org/en/download) и Ad-Aware SE Personal Edition (http://www.lavasoftusa.com/software/adaware) компании Lavasoft. Оба они весьма эффективны и предоставляются бесплатно.

Мне никогда не приходилось встречаться со шпионскими программами, которые никак нельзя удалить, однако такая ситуация, несомненно, возможна. В этом случае придется отстроить всю пораженную систему заново. Свежая резервная копия или стандартизированный образ системы помогут сократить до минимума время и усилия по восстановлению, так что этими надежными мерами не следует пренебрегать.

Выбираем решение

Сделать выбор бывает нелегко, в первую очередь из-за большого количества вариантов. Простой способ сузить круг поиска — определить заранее, будет ли на предприятии применяться решение от одного поставщика или допустимо использовать решения нескольких производителей, а также выбрать тип продукта — программный либо специализированное устройство. Еще один фактор — нельзя ли приобрести решение у одного из существующих поставщиков? Например, если на предприятии есть программы для борьбы с вирусами, обнаружения несанкционированного доступа и брандмауэр, то полезно связаться с поставщиками и выяснить, есть ли среди их продуктов средства защиты от шпионажа. Весьма вероятно, что такие решения есть и развернуть их будет гораздо проще.

Если планируется использовать специализированное решение, предназначенное исключительно для борьбы со шпионажем, то девять возможных решений приведены в табл. 1. Два из перечисленных продуктов располагают дополнительными функциями обнаружения «троянских коней» и программ регистрации нажатий на клавиши. Подходящий вариант для пользователей Microsoft Internet Security and Acceleration (ISA) Server — продукт WebMonitor for ISA Server компании GFI Software, интегрируемый с решениями BitDefender, которые упрощают карантин шпионских программ.

Более гибкие решения, которые фильтруют множество различных типов контента и обеспечивают другие функции безопасности (например, блокируют URL, управляют пропускной способностью канала связи, фильтруют сценарии и элементы управления ActiveX), — продукты серии ProxySG компании Blue Coat Systems, Hercules Enterprise Vulnerability Management Suite фирмы Citadel Security Software, Webwasher CSM Suite компании CyberGuard, Internet 1Box компании Finjan Software, LANDesk Security Suite фирмы LANDesk Software, eScan Enterprise Edition компании MicroWorld Technologies, Prevx Enterprise фирмы Prevx, NetChk Spyware компании Shavlik Technologies, семейство PRO компании SonicWALL и Websense Enterprise.

Единственные известные мне поставщики, которые на сегодня предлагают специализированные устройства, — Blue Coat Systems, Finjan Software, Fortinet, SonicWALL, Symantec. Каждое их этих решений защищает не только от шпионажа.

По данным компании Blue Coat Systems, продукты семейства ProxySG защищают от шпионских программ, обнаруживают вирусы в Web-трафике и контролируют IM-клиентов и одноранговые (P2P) сети. Устройства ProxySG обеспечивают управление пропускной способностью канала связи, фильтрацию URL и управление безопасностью контента, удаляя или заменяя контент определенных видов. Устройства ProxySG блокируют доступ к URL известных сайтов распространения шпионского программного обеспечения; даже если шпионская программа каким-то образом проникнет в сеть, ей не удастся «позвонить домой», и она будет бесполезна для своих хозяев.

Компания Finjan Software описывает Internet 1Box как устройство блокировки на базе поведенческих характеристик, независимое от баз данных сигнатур. Поэтому оно может защитить сеть от известных и неизвестных типов вторжения без постоянной модернизации. Internet 1Box обеспечивает брандмауэр, защиту от вирусов, фильтрацию URL, защиту от спама и шпионских программ. Кроме того, данное устройство защищает удаленных клиентов.

FortiGate Antivirus Firewall компании Fortinet обеспечивает сетевую защиту от шпионажа и вирусов, обнаруживает и предотвращает несанкционированный доступ, помогает организовать VPN и управлять трафиком малых/домашних офисов, малых и средних предприятий и крупных учреждений. FortiClient компании Fortinet обеспечивает аналогичную защиту на настольном уровне.

В зависимости от структуры и нужд конкретной сети, компания SonicWALL предлагает несколько различных устройств серии PRO. Устройства располагают брандмауэром, функциями предотвращения несанкционированного доступа, защиты от вирусов и шпионажа.

Устройства Symantec Network Security 7100 Series защищают от шпионских программ, вирусов, «червей» и «троянских коней». Хорошее вспомогательное средство — система Symantec DeepInsight Early Warning System, которая предупреждает о потенциальных угрозах, прежде чем они достигнут конкретной сети. Система предупреждения идентифицирует новые потенциальные угрозы с помощью сети датчиков в режиме, близком к реальному времени.

Независимо от предпочтительного типа решения, необходимо приобрести пробные экземпляры наиболее подходящих продуктов и провести тщательное тестирование, чтобы убедиться в их пригодности для конкретной сетевой среды. При оценке программных решений следует обратить внимание на системную производительность, так как одни решения могут быть более требовательными к системным ресурсам, чем другие. А выбирая решение на основе шлюза или специализированного устройства, нужно обязательно проверить сетевую производительность.

Другой фактор — возможность администратора управлять и настраивать определения шпионских программ. Из-за особенностей компонентов или функциональности некоторые полезные программы могут быть ошибочно отнесены к разряду шпионских. Поэтому следует подумать о решении, которое позволяет настроить или отменить определенные признаки «шпионов», если эти признаки мешают работе полезных программ.

При знакомстве с решениями (см. таблицу) следует помнить, что Microsoft недавно приобрела фирму GIANT Company Software, которая выпускает одно из лучших решений для борьбы со шпионскими программами. После покупки продукт был переименован в Microsoft Windows AntiSpyware и в настоящее время проходит бета-тестирование. Во время подготовки данной статьи в продаже не было версии данного продукта, пригодной для использования на предприятии, поэтому в таблице он отсутствует.

Однако Microsoft планирует в итоге выпустить корпоративную версию продукта и предоставить автономную настольную версию бесплатно. Было бы интересно протестировать корпоративную версию в сети предприятия. Для решения Microsoft необходима Windows 2000 или более поздняя версия.

Любопытно, что в основе CounterSpy компании Sunbelt лежит технология GIANT. Компания Microsoft приобрела GIANT после того, как Sunbelt заключила соглашение с GIANT, поэтому Microsoft обязана предоставлять сигнатуры шпионских программ для CounterSpy до июня 2007 г. После этой даты Sunbelt будет самостоятельно заниматься подготовкой и распространением сигнатур.

Быстро растущий рынок

Рынок программ антишпионажа быстро растет. Зная принципы работы шпионских программ и методы обнаружения «шпионов» с помощью различных инструментов, администратор сможет выбрать наиболее эффективный тип продукта для своих нужд. После этого с помощью таблицы можно найти поставщиков решений данного типа.


Марк Джозеф Эдвардс - Старший редактор Windows IT Pro. Автор еженедельного бюллетеня Security UPDATE (http://www.windowsitpro.com/email), рассылаемого подписчикам по электронной почте. Сетевой инженер и автор книги Internet Security with Windows NT (издательство 29th Street Press). mark@ntsecurity.net


Что такое шпионская программа?

Шпионским программным обеспечением называются любые программы, которые следят за использованием компьютера, собирают информацию или извлекают конфиденциальные данные без явного согласия пользователя. Например, шпионская программа может запоминать посещаемые пользователем Web-узлы и время посещений, регистрировать все нажатия на клавиши или выполнять несанкционированную инвентаризацию установленного программного обеспечения.

Некоторые виды шпионских программ затем передают собранную информацию в централизованное хранилище. Например, шпионские программы одного типа могут предупредить своего владельца, что пользователь компьютера запустил конкретную программу. «Шпионы» других видов могут готовить лазейки для проникновения в систему или настраивать модем на передачу платных звонков, оплачивать которые придется обладателю пораженного компьютера. Другие программы, в частности некоторые одноранговые приложения обмена файлами, можно отнести к числу шпионских (в зависимости от политики конкретной компании), так как с их помощью по сети можно извлекать с компьютера файлы без согласия владельца.

Шпионские программы проникают в компьютеры различными способами. Несомненно, самый распространенный — через сценарии, выполняемые в Web-браузерах или клиентах электронной почты. Еще один путь проникновения шпионских программ в компьютер — при установке программных пакетов. Например, некоторые программисты преднамеренно распространяют шпионское программное обеспечение, проектируя для этого «полезные» приложения с единственной целью заставить пользователя установить скрытых в них «шпионов». Аналогично, полезная программа, такая как видеопроигрыватель DivX, может быть преднамеренно изменена для показа фильмов в формате DivX и одновременно — для распространения шпионской программы.