思科安全代理 -- 用于防范間諜軟件和廣告軟件的企業解決方案
簡介
日益增多的間諜軟件 -- 一種在用戶不知情的情況下安裝到他們的計算機中的程序 -- 正在引起越來越廣泛的關注。根據2004年度的一項哈里斯調查,92%的IT經理承認間諜軟件曾經感染過他們的機構,平均29%的工作站曾經遭受感染;40%的IT經理表示這種感染正在不斷增多。
間諜軟件可以被黑客和身份竊賊用于記錄敏感信息,例如用戶名、密碼和信用卡帳號,或者竊取敏感的公司信息。信息失竊是企業面臨的最主要的安全挑戰之一,可能會造成嚴重的財務損失。但是,大部分間諜軟件僅僅是廣告軟件 -- 一種與免費軟件或者共享軟件捆綁的程序,其中的“間諜”可以從cookie和URL歷史中搜集關于購物和瀏覽習慣的信息。
間諜和廣告軟件都能夠記錄按鍵信息,并可以將數據發送到Web服務器,從而對網絡的安全和隱私構成了嚴重的威脅。市場上現有的防間諜軟件解決方案主要基于被動的、應對式的檢測,不能解決層出不窮的新問題。思科安全代理提供了一種主動的防護模式,幫助防范間諜軟件和廣告軟件的感染,保持系統的完整性,為終端提供深入防御。思科安全代理可以通過兩種方式防止感染:首先,在起始階段就防止間諜軟件被安裝;假如已經被安裝,防止間諜軟件執行和實施惡意行為,例如讀取和發送敏感信息。
是間諜軟件還是廣告軟件?
了解間諜軟件和廣告軟件之間的區別非常重要。間諜軟件的目標是在用戶不知情的情況下竊取他們的信息或者金錢;廣告軟件的目標則是讓用戶愿意花錢。廣告軟件的行為通常更加明顯 -- 您的計算機會忽然開始出現彈出廣告,或者更改您的搜索引擎,而間諜軟件的設計目的就是在幕后秘密行動。間諜軟件和廣告軟件都采取類似的策略安裝和控制您的計算機。
間諜軟件
間諜軟件源自于20世紀90年代出現的一種旨在幫助家長監控孩子網上行為和幫助雇主監視員工計算機使用情況的合法程序。很多這樣的程序都將“遠程安裝”作為一個重要的特色 -- 能夠在不實際操作被監控計算機的情況下安裝程序。但是今天,黑客和身份竊賊正在開發和使用越來越多的間諜軟件,以記錄敏感信息,例如:
間諜軟件采用了非凡的設計,可以在用戶不知情的情況下秘密安裝。當真正的間諜軟件被安裝于一臺計算機上時,“間諜”可以看到用戶的所有操作 -- 用戶瀏覽的網站,輸入的信息,以及屏幕上顯示的文檔內容。某些間諜軟件還帶有一個特洛伊木馬程序,讓“間諜”可以完全控制用戶的計算機。
廣告軟件
比間諜軟件更為常見的廣告軟件包含了與免費軟件捆綁的營銷程序,旨在為用戶的計算機提供彈出廣告,將用戶轉移到某個向廣告軟件開發商提供許可的搜索引擎。用戶可能愿意或者有意地在他們的計算機上接受廣告軟件,以換取某個特定軟件所帶來的好處,例如接收免費的股票行情、天氣預告或者交通信息。
有些廣告軟件的設計目的是跟蹤用戶的瀏覽習慣,以進行市場調查;但是,今天的大部分合法廣告軟件開發商都自稱他們不會再監控和記錄用戶的活動,因而不會對安全或者隱私構成威脅。
某些廣告軟件被稱為垃圾軟件,因為它會執行一些惡意行為,例如安裝一個能夠通過用戶的計算機撥打昂貴的國際和長途電話的撥號程序,或者逼迫用戶為卸載破壞性程序而付費。
盡管從總體而言并不具有很大的破壞性,但是廣告軟件對于機構的潛在影響仍然不可低估。戴爾公司最近指出,它所接到的技術支持電話中有12%都與間諜軟件/廣告軟件問題有關。反復出現的彈出窗口、被控制的瀏覽器和重定向到廣告軟件搜索引擎等行為都會激怒商業用戶。設計低劣的廣告軟件可能會耗盡CPU資源,產生安全漏洞,影響系統性能,導致錯誤信息、系統死機甚至崩潰。一旦安裝,廣告軟件就很難卸載。有時甚至不可能卸載,因為它們往往會進一步安裝更多的廣告軟件。
思科所提供的理想解決方案讓治理員可以防范間諜軟件的安裝,或者讓員工可以繼續安全地使用免費軟件和共享軟件,同時防止它們捆綁的廣告軟件對系統的穩定性和完整性造成嚴重的破壞。
間諜軟件/廣告軟件的潛在行為
間諜軟件/廣告軟件的其他潛在行為包括:
間諜軟件和廣告軟件如何安裝
大部分廣告軟件都是在有意或者無意的情況下隨免費軟件 -- 例如屏幕保護、游戲、天氣預告和股票行情顯示條,或者文件共享軟件 -- 一同下載的。盡管用戶可以通過在答應下載某個程序之前仔細閱讀任何法律許可協議的條款,避免安裝廣告軟件,但是很多程序會依靠“社會工程”用反復出現的下載界面糾纏用戶,直到用戶點擊“Yes”(同意)接受該軟件的安裝。
間諜軟件有時會采取作弊的方法 -- 即使用戶點擊“No”(拒絕),它也會自動安裝。廣告軟件廠商和黑客會借助主動執行的內容代碼,在用戶查看網頁或者電子郵件時通過“幕后下載”秘密安裝破壞性的程序。僅僅攔截可疑站點并不能避免這種情況 -- Web的自由度、匿名性和不斷發展導致了數百個新的間諜軟件站點的出現。
在哈里斯調查中,只有6%的用戶表示曾經瀏覽過可能存在間諜軟件的站點,但是有92%的IT經理承認他們的公司曾被感染。間諜軟件采用了獨特的設計,可以在用戶不知情或者未經用戶許可的情況下秘密安裝,而間諜軟件的開發人員在設計他們的間諜軟件發送系統時也變得越來越聰明。指導用戶把握安全瀏覽實踐和仔細閱讀許可協議非常重要,但是僅靠這些做法并不足以解決這個問題。
現有的間諜軟件檢測和移除工具的限制
因為大部分間諜軟件不是通過電子郵件發送的,所以防病毒產品不能有效地加以檢測。間諜軟件檢測工具的工作原理實際上與防病毒技術類似 -- 它們利用特征、模式匹配和已知文件名來判定在一臺計算機上是否存在間諜軟件。與其他傳統的信息安全技術一樣,間諜軟件檢測技術存在著一個致命的缺陷 -- 它們是被動的、反應式的。因為這些解決方案主要是基于特征檢測的,所以即使當它們得到了有效的安裝和治理,新的和變異的間諜軟件攻擊仍然會對各個主機上的網絡資源和文件造成嚴重的破壞。
沒有任何一種檢測工具能夠發現所有的間諜軟件。產品評估人員往往會建議采用多種檢測工具,以確保在一個產品漏過了某種間諜軟件程序的情況下,另外一個會及時發現。
與防病毒領域一樣,防間諜軟件的開發人員發現他們面臨著持續的支持問題:
間諜軟件和廣告軟件卸載工具有助于確定哪些主機感染了這些程序,但是無法及時防止感染。但是,預防具有重要的意義 -- 清除可能會是一個漫長而又復雜的過程。很多間諜軟件程序都很頑強,可以在卸載后重新安裝,同時運行多個間諜軟件程序,甚至躲避防病毒產品的檢測。因此,間諜軟件幾乎無法根除。例如,有些程序會在Windows注冊表中添加數千個條目,因此只有用大量的、經驗豐富的IT支持人員(很難實現)才能檢查和糾正這些注冊表信息。
思科安全代理 -- 一種截然不同的解決方案
思科安全代理采取了一種預防性的方法,利用基于行為的安全機制防范針對主機的惡意活動。破壞性活動會被檢測和攔截,不管存在什么類型的間諜軟件或廣告軟件思科安全代理是思科預防信息失竊解決方案的重要組成部分。
與只能提供單點防護(而且只有在特征已知時)的其他技術相比,思科安全代理可以在入侵的所有階段主動防范對主機的破壞,從而提供多層防御。思科安全代理采用了獨特的設計,可以在特征未知的情況下防范新型攻擊。
當某個應用試圖執行某個操作時,該代理會按照應用的安全策略檢查該操作,就是否答應操作繼續執行實時制定一個“答應”或者“拒絕”決策,判定是否應當記錄該操作請求。安全策略是一組由IT或安全治理員分配的、用于單獨或者在整個企業的范圍內保護服務器和臺式機的規則。這些規則為用戶提供了一個安全的網站瀏覽環境。思科安全代理可以通過在服務器和臺式機的缺省策略中匯總多種用于部署分布式防火墻、操作系統鎖定和完整性保障、惡意移動代碼防護和審核事件搜集功能的安全策略,提供針對間諜軟件和廣告軟件的深入防御功能。
因為保護是建立在阻截惡意行為的基礎上,缺省策略可以在不需要升級的情況下阻止已知和未知攻擊。關聯在代理和治理中心控制臺上進行。基于代理的關聯會大幅度提高準確性,在不阻止合法活動的情況下發現實際的攻擊或濫用行為。
思科安全代理可以加固Windows操作系統,防止間諜軟件修改要害的操作系統二進制文件或者配置。因為這種功能不需要對文件系統內容的密碼分析,它幾乎不會對系統性能造成任何影響。
思科安全代理可以:
計算機上運行了哪些程序?
思科安全代理可以跟蹤某個計算機或者工作組安裝的應用,哪些被實際調用,哪些使用網絡,應用是一個網絡客戶端還是網絡服務器,以及它所連接的所有遠程IP地址的身份。思科安全代理還可以識別所有遠程系統上所有應用的狀態,其中包括針對用戶的安裝信息和是否有不安全的應用試圖運行。
思科安全代理讓治理員可以對任何計算機上的任何應用進行具體的證據檢查。它可以觀察應用的實時行為 -- 所有被訪問的文件(無論讀寫);所有網絡連接 -- 無論是對內(服務器)還是對外(客戶端),以及遠程計算機的地址;所有注冊表訪問(無論讀寫);所有COM對象加載。思科安全代理可以搜集關于應用行為的信息,將其匯總為報告提交給治理員,并根據應用的標準行為制定一項控制策略。
利用思科安全代理框架,治理員可以集中地:
思科安全代理讓治理員可以在整個企業內建立一個運行中的可疑間諜軟件列表,以供分析。根據這項分析,治理員可以就間諜軟件可以執行的操作制定策略。例如,治理員可以創建一項策略,自動禁止某個程序安裝在其他的計算機上,嚴格限制已經安裝的應用的行為,或者完全禁止它的執行。
這樣做的好處是,企業可以答應用戶安全地運行間諜軟件。例如,系統治理員可以設置一個這樣的策略“本應用可以為用戶提供廣告,但是不能記錄用戶按鍵,也不能為將數據發回到廣告軟件服務器開辟一個端口。”
新聞熱點
疑難解答
