Network World, США

Шпионские программы могут погубить ваш бизнес гораздо быстрее, чем спам или компьютерные вирусы. Спам занимает часть сетевой полосы пропускания и снижает продуктивность работы сотрудников, которым приходится тратить время на просмотр и удаление ненужных сообщений. Вирусы уничтожают файлы, выводят незапрошенную информацию на экран и используют вашу адресную книгу как плацдарм для своего распространения по сети. Шпионские программы втайне от вас регистрируют последовательность нажатия клавиш, просматривают файлы в поисках паролей и данных кредитных карт, «засоряют» экран рекламными окнами и существенно замедляют работу ПК.

С намерением определить лучший продукт для противостояния шпионскому ПО в корпоративной сети мы предложили 30 компаниям прислать их разработки для тестирования. На призыв откликнулись 16 производителей, предоставивших нам 18 продуктов. Кроме того, мы протестировали бета-версию приложения Windows AntiSpyware корпорации Microsoft.

Основным критерием оценки стала способность обнаруживать и удалять шпионские программы на ПК или на уровне сетевого шлюза. Еще нас интересовали генерация информативных легко читаемых отчетов, своевременное информирование сетевого администратора об обнаруженном зловредном коде, простота инсталляции и удобство в работе. Не последнюю роль играло наличие средств защиты сети от тех пользователей, которые слишком вольготно относятся к просмотру развлекательных Internet-ресурсов либо устанавливают неразрешенные программные продукты.

Победители выявлялись в двух категориях. Среди сетевых шлюзов первое место занял Secure Web Gateway компании McAfee, надежно заслонивший нашу тестовую сеть от шпионского ПО. В процессе тестирования он заблокировал 90% шпионских программ, причем его отличают интуитивный пользовательский интерфейс и простота установки. В категории продуктов класса «клиент-сервер» победителем вышло ПО Omniquad AntiSpy Enterprise фирмы Omniquad. Оно характеризуется высокой эффективностью обнаружения шпионских программ, простыми в обращении интерфейсами и удобными отчетами.

Шлюзовая защита

Организация преграды шпионскому ПО на уровне шлюзов в каждой точке выхода в Internet — куда более эффективный вариант защиты, чем удаление шпионских программ на индивидуальных серверах и настольных компьютерах. Шлюзом проще управлять, пользователи не имеют к нему доступа, а ПК и серверы освобождаются от дополнительной нагрузки. Если пользователям запрещено устанавливать бесплатное или условно бесплатное ПО, то защита на базе сетевого шлюза идеальна для борьбы со шпионскими программами.

Протестированные нами сетевые шлюзы Spyware Interceptor компании Blue Coat и Secure Web Gateway от McAfee фильтруют входящий и исходящий Internet-трафик. При их установке между маршрутизатором Internet и подключенным к нему коммутатором либо концентратором локальной сети они отфильтровывают шпионское ПО прежде, чем оно достигнет ПК. Продукты eSafe производства Aladdin и InterScan AntiSpyware Suite фирмы Trend Micro превращают в сетевой шлюз обычный компьютер, оснащенный двумя сетевыми адаптерами (для подключения к Internet и к локальной сети). Эти продукты фильтруют «на лету» весь трафик, проходящий между двумя адаптерами.

Устройство корпорации McAfee входит в семейство Secure Content Management Appliance 4.0. Этот продукт, который в стандартной 19-дюймовой стойке занимает один вертикальный слот, является ни чем иным, как компьютером Dell PowerEdge 1850 с предустановленными ОС Windows, антишпионским программным фильтром и средствами администрирования с интерфейсом на основе браузера. Он обеспечивает функцию фильтрации URL-адресов, поддержку протокола Internet Content Adaptation Protocol и имеет простой в навигации пользовательский интерфейс. Secure Web Gateway способен отправлять уведомления по протоколу SNMP на различные платформы системного администрирования, например в систему HP OpenView. Инсталляция шлюза свелась к его подключению к маршрутизатору и коммутатору, включению питания и присвоению IP-адреса.

Spyware Interceptor производства Blue Coat отфильтровал 82% входящих шпионских программ. Он также представляет собой устройство высотой 1U, монтируемое в 19-дюймовую стойку, но средства блокировки шпионского ПО здесь реализованы на уровне микропрограммного кода. Blue Coat адресует свою разработку организациям, в которых работают до 1 тыс. пользователей. Для распознавания, анализа и задержки вредоносных программ, которые поступают по сети, используется функционирующий на шлюзе механизм Spyware Catching Object Protection Engine. Он блокирует доступ к заранее определенным известным сайтам, исходящие от зараженных узлов соединения, незапрошенную загрузку исполняемых файлов и известные шпионские приложения. Доступ к тем частям «шпионских» сайтов, которые не содержат исполняемого кода, не блокируется, т.е. эти сайты остаются доступными для просмотра без угрозы заражения. Разработка Blue Coat не поддерживает уведомления по протоколу SNMP. Производитель предоставил нам копию шлюзового ПО WinProxy Secure Site 6.0, которое блокирует шпионские программы посредством функций антивирусной защиты и фильтрации URL-адресов. Приложение WinProxy рассчитано на применение в небольших сетях.

Программа eSafe компании Aladdin предотвратила проникновение 88% шпионского кода. В нее заложена пятиступенчатая система защиты. При анализе входящего трафика используются цифровые сигнатуры ActiveX, поставляемые самой компанией. Кроме того, выявляются попытки использования брешей в установленном ПО, сигнатуры исполняемых программ сравниваются с известными шпионскими программами, регистрируются обращения к известным «шпионским» Web-сайтам (по URL- или IP-адресам) и попытки клиентских программ установить связь со «шпионскими» Internet-ресурсами.

Приложение eSafe не только предотвращает инсталляцию незапрошенного ПО на компьютере пользователя, но и указывает администратору на уже зараженные машины, которые пытаются переслать конфиденциальную информацию разработчикам шпионских программ. Его всеобъемлющие и довольно детальные регистрационные файлы содержат сведения о заблокированных шпионских программах, адреса Web-сайтов, с которых они были загружены, а также информацию о применявшихся методах проникновения на компьютеры пользователей. Стоит отметить удачно спроектированный интерфейс продукта и его интеграцию с системами сетевого управления на уровне записей системного регистрационного файла либо сообщений протокола SNMP.

Два приложения компании Trend Micro (OfficeScan Anti-Spyware Suite и InterScan Anti-Spyware Suite) работают в тандеме. InterScan играет роль первой линии обороны и представляет собой программу, которая превращает в сетевой шлюз обычный ПК с двумя адаптерами, расположенный в точке выхода локальной сети в Internet. OfficeScan является антишпионским приложением в архитектуре «клиент-сервер», которое инсталлируется на настольных компьютерах или на ПК-сервере и имеет центральную управляющую консоль с интерфейсом браузера. В процессе тестирования эти два приложения отфильтровали в общей сложности 86% шпионских программ. Для их идентификации в продуктах Trend Micro используется метод сигнатур.

В состав приложения InterScan входят два компонента: InterScan Web Security Suite и Trend Micro Damage Cleanup Services. При совместной работе они блокируют вредоносные программы, поступающие с известных «шпионских» сайтов, а также просмотр таких сайтов и генерируемый шпионским ПО исходящий трафик. Наконец, они выявляют серверы и клиентские станции, зараженные шпионскими программами. Не требуя установки постоянно функционирующей программы-агента, InterScan автоматически загружает ПО Damage Cleanup Services на зараженный компьютер для оперативного удаления вредоносного кода. Это ПО стирает большую часть шпионского кода, обнаруженного на клиентских машинах, либо переводит его в неактивное состояние. InterScan генерирует SNMP-уведомления об активизации или отключении сервиса, об обновлении файла сигнатур и блокировании шпионских программ. OfficeScan посылает SNMP-сообщения всякий раз, когда обнаруживается попытка установить шпионское ПО на сервере или ПК. Оба продукта легко интегрируются с маршрутизаторами Cisco, на которых включена функция контроля над сетевым доступом.

Приложение OfficeScan содержит исполняемый программный модуль под Windows, который обнаруживает и блокирует шпионские программы на Windows-серверах и клиентах. Для выполнения аналогичных действий на компьютерах, работающих под управлением иных операционных систем, Trend Micro предлагает ПО ServerProtect for Novell NetWare и ServerProtect for Linux. Центральная консоль приложения OfficeScan, доступная из окна браузера, отличается простотой использования. Компоненты InterScan и OfficeScan регистрируют массу подробностей о каждом инциденте, связанном со шпионским ПО, и способны представлять эти данные в виде разнообразных отчетов.

Системы «клиент-сервер»

Блокирование вредоносного кода на уровне шлюза может оказаться недостаточным, если пользователи самостоятельно инсталлируют на своих компьютерах бесплатное или условно-бесплатное ПО. В этом случае антишпионские программы имеет смысл установить непосредственно на серверах и клиентских ПК. Разумеется, одновременное использование двух подходов повысит эффективность блокировки шпионского ПО.

Web Security Suite-Lockdown Edition компании WebSence заблокировала 88% шпионских программ, передававшихся по сети в процессе испытаний. Продукт различает шпионское ПО при помощи сигнатур на основе алгоритма SHA (Secure Hash Algorithm), по названиям программ, URL- и IP-адресам. Идентификация зараженных ПК основана на выявлении и блокировке попыток шпионского ПО отослать данные на URL- или IP-адрес, включенный в подозрительный список. Продукт предотвращает совместный доступ к файлам с равноправных сетевых узлов, который используется при загрузке музыкальных клипов. Клиентская часть, занимающая в ОЗУ около 12 Мбайт, не оставляет и следов удаленного шпионского кода. Администратор может настроить Web Security Suite-Lockdown на предотвращение инсталляции на ПК любых исполняемых файлов. Разработка фирмы WebSence пока не допускает интеграции с системами сетевого администрирования с помощью протокола SNMP.

Используя для диагностики шпионского ПО файл сигнатур, приложение Omniquad AntiSpy Enterprise компании Omniquad устранило 86% тестового шпионского кода. Центральная консоль продукта предлагает два сценария: быстрое и полное сканирование. При первом варианте, который охватывает активные процессы и другие легко доступные системные данные, выявление шпионских программ занимает считанные секунды. При полном сканировании дополнительно осуществляются поиск вредоносных файлов и проверка системного реестра ОС Windows; эта процедура потребует нескольких минут.

Клиентские агенты могут функционировать в качестве резидентных программ, постоянно находящихся в оперативной памяти, и тогда шпионский код будет перехватываться в режиме реального времени. В среде Omniquad AntiSpy Enterprise установка клиентских агентов не вызывает затруднений и выполняется автоматически с центральной консоли. Консольный компонент отвечает также за сохранение данных конфигурации и правил безопасности в специальном активном каталоге (Active Directory). Он способен генерировать SNMP-уведомления для каждого события, связанного со шпионским ПО. В ходе тестирования приложение Omniquad AntiSpy Enterprise сумело ликвидировать все следы шпионского ПО, включая отдельные файлы и записи в системном реестре.

Эффективность фильтрации тестового шпионского кода на уровне 86% показал и продукт CounterSpy Enterprise компании Sunbelt Software. Он распознает шпионские программы на основе файла hash-сигнатур, соответствующего стандарту MD5, а также патентованной технологии Active Protection. Последняя предполагает выявление всех случаев изменения системного реестра, системных файлов и списка программ, запускаемых при старте ОС. Каждый агент CounterSpy Enterprise занимает в памяти около 15 Мбайт.

Поскольку партнером Sunbelt была компания Giant Company Software, в прошлом году приобретенная Microsoft, продукт Sunbelt использует те же описания шпионского кода, что и инструментарий Windows AntiSpyware корпорации Microsoft. Благодаря наличию исполняемого модуля Crystal Reports приложение CounterSpy Enterprise генерирует подробные и весьма полезные отчеты, отсортированные по клиентам, событиям, либо по датам. В ходе испытаний разработка Sunbelt продемонстрировала способность удалять шпионский код целиком, не пропуская вспомогательных файлов. Центральная консоль продукта характеризуется простым в обращении интерфейсом. Однако данный продукт не генерирует SNMP-уведомлений.

Результативность ПО Spy Sweeter Enterprise производства Webroot Software оказалась ненамного хуже — 85%. Для распознавания шпионских программ здесь также используется файл сигнатур плюс выявление всех случаев изменения файлов, содержимого оперативной памяти и системного реестра. Особо удачны дизайн пользовательского интерфейса центральной консоли и простота навигации по функциям продукта. Клиентская часть занимает в ОЗУ около 12 Мбайт. Каждый агент регистрирует все события, связанные с обнаружением вредоносного кода на станции-клиенте, и отсылает соответствующие уведомления на сервер. Приложение не удалило некоторые вспомогательные файлы данных шпионского ПО, которые, впрочем, не представляли опасности. Серверная часть Spy Sweeter Enterprise включает в себя административную консоль, базу данных, программу обновления описаний шпионского кода и модуль управления клиентскими агентами. Для обеспечения большей масштабируемости каждый из этих компонентов может выполняться на отдельной машине. Приложение Spy Sweeter Enterprise также не отправляет уведомлений по протоколу SNMP.

ПО Enterprise Threat Shield фирмы SurfControl заблокировало 82% тестовых шпионских программ. Центральная консоль продукта автоматически инициирует развертывание клиентских агентов на ПК. При проверке входящих исполняемых программ каждый агент обращается к базе данных центральной консоли, содержащей описания шпионского ПО (сигнатуры известного вредоносного кода). Центральная консоль формирует визуальную среду с интерфейсом экранной буксировки, в которой администратор может задать политику защиты от шпионского ПО для отдельных ПК или их групп. В качестве ее компонентов могут выступать сигнатуры исполняемых файлов либо общие элементы имен системных файлов. Характер действий при обнаружении вредоносного кода также определяется администратором: от уничтожения опасной программы до простой отсылки уведомления.

Отчеты, генерируемые приложением Enterprise Threat Shield, отличаются легкостью настройки. Они содержат данные о трендах, о нарушениях системы защиты и агрегированные сведения об активности шпионских программ. Данные отчетов можно экспортировать в файлы PDF, Microsoft Word или Excel. Заслуживает упоминания бережное отношение разработчиков к оперативной памяти: в зависимости от выбранных политик и файлов с описаниями шпионского кода агент занимает в ОЗУ 220-750 Кбайт. После удаления шпионского ПО продукт фирмы SurfControl оставил пару порожденных им файлов данных, не представлявших опасности. Threat Shield не генерирует SNMP-сообщений.

Система eTrust PestPatrol корпорации Computer Associates защитила наши компьютеры от 82% вредоносного кода. Реализованная в ней функция автоматической инсталляции агентов на настольных компьютерах выполняется быстро и безошибочно. Удачно спроектированная центральная консоль позволяет оперативно запустить процедуру сканирования по требованию, в заранее установленное время или при регистрации пользователей в сети. При обнаружении шпионского ПО программа-агент посылает уведомление на центральную консоль, регистрирует событие и позволяет удалить вредоносное ПО одним щелчком мыши. Шпионские программы распознаются при помощи файла сигнатур и по адресам URL/IP, а их удаление выполняется на редкость педантично — вплоть до записей в системном реестре. Генерируемые отчеты могут быть сгруппированы по пользователям, дате и времени суток либо по названию шпионского кода. При включенной функции активной защиты ПО eTrust PestPatrol требует около 20 Мбайт оперативной памяти на каждом защищаемом компьютере. SNMP-уведомления не поддерживаются.

Продукт Packet Hawk фирмы Tangent представляет собой сетевое устройство, которое, впрочем, не может быть отнесено к сетевым шлюзам. В стандартной 19-дюймовой стойке оно занимает один вертикальный слот и поставляется с предустановленной ОС Windows и антишпионским ПО. В состав Packet Hawk входят управляющая консоль и программные агенты, выполненные в архитектуре «клиент-сервер» и автоматически распространяющиеся по сетевым компьютерам с ОС Windows. Разработка Tangent успешно распознала и удалила 81% тестового шпионского кода. Инсталляция сводится к подключению устройства к коммутатору или концентратору, включению питания, присвоению IP-адреса и настройке доменной учетной записи, которая используется устройством для входа в сеть. Последняя операция выполняется в среде Active Directory. Процесс установки полностью документирован, но производитель предлагает и бесплатную услугу удаленной настройки.

Встроенные в состав ПО Packet Hawk средства сканирования автоматически обнаруживают, удаляют или блокируют шпионские программы, рекламное ПО и другие разновидности вредоносного кода. Те же действия осуществляются по отношению к всплывающим окнам, играм, клиентам служб мгновенного обмена сообщениями и их аналогам на настольных ПК или серверах. Пользовательский интерфейс центральной консоли прост в работе и содержит многочисленных «помощников», которые упрощают выполнение конфигурационных задач, например обновление продукта по расписанию. SNMP-сообщения не генерируются. Производитель адресует продукт организациям, в сетях которых насчитывается от 1 до 5 тыс. пользователей.

Приложение Anti-Virus Client Security фирмы F-Secure базируется на продукте Ad-Aware производства Lavasoft. Он удалил 78% тестового шпионского кода и прекрасно проявил себя при ликвидации любых следов шпионских программ, в том числе файлов, записей в системном реестре и списке программ, запускаемых при старте ОС. Инсталляция и использование продукта не вызывают затруднений. Он регистрирует полезные детали попыток проникновения шпионских программ, включая список соответствующих файлов, имена и типы вредоносных приложений, предпринятые контрмеры, дату и время создания, а также путь к шпионским файлам. Распознавание последних осуществляется по сигнатурам, ключам реестра Windows, записям в списке изначально запускаемых программ, изменениям в связях одних файлов с другими. Кроме того, выявляются попытки кражи данных, генерируемые отдельными приложениями. Anti-Virus Client Security занимает в оперативной памяти 74 Мбайт и способен отправлять SNMP-уведомления системам сетевого администрирования.

Приложение Ad-Aware SE Enterprise 2005 Edition производства Lavasoft также успешно выявило и удалило 78% тестового шпионского ПО. Оно анализирует сигнатуры, попытки изменения содержимого системного реестра и ссылки на известные URL- и IP-адреса «шпионских» сайтов. Разработчики предусмотрели возможность добавления записей в «черный список» URL- и IP-адресов, которым мы не преминули воспользоваться для отбора обнаруженных сайтов с вредоносным ПО. Центральная консоль позволяет автоматически распространять клиентов Ad-Aware по корпоративной сети. Удобный пользовательский интерфейс дает возможность оперативно настроить выполнение проверок по расписанию. Компонент Process-Watch, подобно утилите Windows Task Manager, обеспечивает просмотр текущих активных процессов и остановку любого из них. Но функции просмотра и сохранения образов памяти в шестнадцатеричном формате излишне технологичны для среднестатистического бизнес-пользователя. ПО Ad-Aware не генерирует SNMP-уведомления.

ПО EnterpriSecure компании Panda Software, основанное на технологии TruPrevent, дало отпор 78% шпионских программ. Это средство встроено в антивирусный продукт и поставляется вместе с антивирусными пакетами Panda Software, предназначенными для различных сред, таких как Samba, Exchange, Domino, Sendmail, Qmail и файл-серверы. Технология TruPrevent идентифицирует шпионский код при помощи сигнатур, эвристических методов сканирования и анализа поведения. Исполняемые файлы проверяются на предмет встроенных URL- и IP-адресов известных «шпионских» сайтов. Кроме того, отслеживаются попытки изменения системных файлов и реестра.

Центральная консоль EnterpriSecure предоставляет администратору полный контроль над процессом сканирования памяти и файлов для обнаружения вирусов и шпионского ПО, а также над процедурами инсталляции программных агентов. Генерируемые отчеты содержат полезную информацию, но не помешали бы и более детальные сведения об удалении шпионского кода. В зависимости от числа активированных функций приложение EnterpriSecure требует 30-40 Мбайт оперативной памяти. Оно не оставляет следов удаленного вредоносного кода и, несмотря на отсутствие поддержки SNMP-уведомлений, способно обрабатывать SQL-запросы, которые относятся к удалению шпионского ПО. Правда, чтобы воспользоваться этой возможностью, придется прибегнуть к программированию, например на Visual Basic.

Продукт FortiClient Host Security фирмы Fortinet представляет собой персональный брандмауэр со средствами антивирусной и антишпионской защиты. Он может функционировать в качестве клиента сети VPN на базе протокола IPSec и поддерживает преобразование сетевых адресов по протоколу NAT. В ходе тестирования эффективность данного ПО оказалась на уровне 78%. Для выявления вредоносного кода осуществляются мониторинг системного реестра на предмет изменений, регистрация нежелательных добавлений в список программ, запускаемых при старте ОС Windows, и сопоставление поступающих по сети выполняемых файлов с сигнатурами шпионского ПО. В FortiClient Host Security поддерживается централизованное управление политиками, а центральная консоль позволяет автоматически развернуть агенты FortiClient на подключенных к сети компьютерах с ОС Windows. Предварительное конфигурирование и рассылка агентов выполняются за считанные секунды. Приложение занимает в ОЗУ 20-35 Мбайт, причем наибольшее значение соответствует активизации всех доступных функций (антивирусная защита, брандмауэр, распознавание сигнатур, мониторинг реестра и списка изначально запускаемых программ). FortiClient не оставляет следов удаленных шпионских программ, но и не поддерживает отправку сообщений по SNMP.

Пакет Anti-Spyware Enterprise компании McAfee, который образует единое решение с ПО VirusScan Enterprise, справился с 76% шпионских программ. К возможностям антивирусных агентов VirusScan Enterprise компонент Anti-Spyware Enterprise добавляет функции сканирования системного реестра, файлов, загруженных в оперативную память процессов и средства удаления шпионского кода. Комбинированный агент занимает в памяти всего 10 Мбайт. Два указанных приложения имеют общую центральную консоль — ePolicy Orchestrator. Anti-Spyware распознает шпионское ПО (McAfee именует его «потенциально нежелательными программами») на основании сигнатур и подозрительных изменений в реестре, файлах и оперативной памяти. Anti-Spyware Enterprise успешно удалил тестовые шпионские программы, но оставил файлы данных и записи в системном реестре, сгенерированные ими на клиентских машинах. Установка агентов на сетевых ПК под Windows осуществляется автоматически и довольно оперативно, а центральная консоль генерирует множество подробных графических отчетов. Модуль ePolicy Orchestrator способен отправлять сообщения по протоколу SNMP.

Наихудшие результаты в ходе тестирования показало приложение Spyware Defence производства Ashanti, распознав лишь 72% шпионских программ. Более того, нам пришлось подойти к каждой клиентской станции, чтобы вручную установить программные агенты. Вручную осуществляется и обновление описаний шпионского кода. Для идентификации последнего в Spyware Defence используются имена файлов, путь и маски общих имен файлов. Клиентская часть требует около 22 Мбайт ОЗУ. Приложение не способно генерировать сообщения SNMP, не имеет центральной консоли для инициации процедур сканирования на клиентских станциях и запроса на обновление описаний шпионских программ. К достоинствам продукта можно отнести отсутствие файлов данных и других следов удаленного шпионского ПО.

Резюме

Мы рекомендуем пользователям присмотреться к шлюзу Secure Web Gateway фирмы McAfee, который организует надежный заслон шпионскому ПО на входе в сеть. Если же вы испытываете потребность в дополнительных средствах защиты непосредственно на клиентских станциях или на сервере, отличными решениями могут стать приложения Omniquad AntiSpy Enterprise производства Omniquad и Web Security Suite-Lockdown Edition компании WebSence.


Нужна упреждающая тактика

Продукты, нацеленные на борьбу со шпионскими программами, распознают их путем анализа исполняемых файлов, регистрации попыток какого-либо ПК установить связь с известным «шпионским» Internet-сайтом или выявления фактов, свидетельствующих о внесении какой-либо программой недозволенных изменений в системный реестр Windows. К сожалению, пока поставщики таких продуктов просто догоняют разработчиков вредоносного кода, реагируя на новые инциденты либо на ранее неизвестные варианты поведения шпионских программ. Нам хотелось бы, чтобы производители средств защиты взяли на вооружение упреждающую тактику и достигли более чем 90-процентной эффективности при обнаружении и ликвидации шпионских программ.


Фактор Microsoft

Благодаря приобретению фирмы Giant Company Software корпорация Microsoft получила в свое распоряжение продукт Windows AntiSpyware, который пока находится на стадии бета-тестирования (продлится до конца года). Она смог выявить лишь 80% тестового шпионского кода. При его обнаружении продукт выдает администратору список угроз, подробную информацию о каждой из них, а также рекомендации по борьбе с ними. По указанию администратора Windows AntiSpyware удаляет любые следы вредоносного кода; он может осуществлять быстрое либо полное сканирование. В будущем Microsoft обещает снабдить данную разработку центральной консолью.


Процедура тестирования

Мы собрали в Internet примеры шпионских программ и исходные коды Web-страниц сайтов, распространяющих такое ПО. Каждый производитель по желанию мог предоставить нам аналогичные данные для использования в испытаниях. Собранные образцы шпионского кода были помещены в изолированную сеть, не имеющую выхода в Internet. Она использовалась в качестве модели Internet, что позволило нам сымитировать URL- и IP-адреса, с которых распространяется вредоносный код. В ходе тестирования мы задействовали 68 образцов шпионского кода. Какие-то из них представляли собой хорошо известные шпионские программы, другие были новыми или редко встречающимися вариантами. Эффективность выявления и уничтожения шпионского ПО на уровне 90% мы расценили как выдающуюся.

Перед началом каждого теста клиентские машины возвращались в исходное, незараженное состояние. Тестируя приложения класса «клиент-сервер», мы пытались заразить клиентские ПК шпионским кодом, а затем использовали антишпионское ПО для его выявления, удаления или блокировки. Нас интересовали доля удаленных шпионских программ, наличие следов этих программ после их удаления, а также методы автоматического обновления антишпионского ПО для противостояния новым образцам вредоносного кода. Испытывая антишпионский инструментарий для сетевых шлюзов, мы по очереди размещали каждый из продуктов непосредственно между клиентскими станциями и Internet, после чего определяли способность шлюзов блокировать проникновение шпионского ПО на серверы и клиентские ПК.

Тестовая сеть состояла из десяти клиентов, работавших под управлением разных операционных систем, в том числе Windows NT, 98, 2000, ME, XP, Red Hat Linux и Macintosh OS X. В ее состав входили также три Web-сервера (Microsoft Internet Information Server, Netscape Enterprise Server и Apache), два почтовых сервера (Exchange и Sendmail), два файл-сервера (Windows 2000 Advanced Server и NetWare) и три сервера баз данных (Oracle 8i, Sybase Adaptive Server и Microsoft SQL Server). Для анализа сетевого трафика, оценки сетевой загрузки и подробного изучения содержимого передаваемых сообщений использовался анализатор протоколов Agilent Advisor.

Поделитесь материалом с коллегами и друзьями