Искореняйте шпионское ПО, комбинируя шлюзовые и настольные средства
При выборе средств защиты от шпионских программ ИТ-администраторам следует ориентироваться не только на специальное ПО, установленное на ПК и серверах, но и на аппаратные решения, обнаруживающие и блокирующие spyware в шлюзах. Эти решения, представленные в разнообразных форматах и масштабах, ставят эффективную преграду проникновению шпионского ПО и тем самым помогают умерить темпы распространения этих инфекций, уменьшить заботы администраторов настольных ПК и избежать перегрузки вычислительных ресурсов.
Хотя шлюзовые устройства не могут вычистить уже внедренную инфекцию, они способны обнаруживать и блокировать исходящие от нее "звонки домой", используемые для пересылки похищенных персональных данных, а также попытки программ-паразитов обновить или восстановить свои устаревшие либо поврежденные компоненты.
Еще важнее, что высокоразвитые функции шлюзового блокирования полностью лишают пользователей шанса получить доступ к Web-сайтам - переносчикам spyware или же загрузить инфицированные пакеты. Благодаря возможностям таких шлюзов многие разновидности программ-паразитов теряют всякий шанс начать процесс самоинсталляции, и у администраторов станет меньше забот по тестированию способностей клиентских средств очистки.
Защита от spyware с помощью шлюза. Блокируя опасное ПО до того, как оно сможет инсталлироваться на ПК, шлюзовые
антишпионские устройства хорошо дополняют настольные средства защиты. Шлюзовые системы могут функционировать
в разных топологиях. Есть три основных метода их установки: линейный вариант прозрачного моста с тыльной стороны
брандмауэра (сценарий 1); подключение к порту коммутатора для мониторинга угроз или активной обороны с помощью
команд TCP reset (сценарий 2); если организация имеет собственный прокси-сервер, то прокси-конфигурация с
использованием ICAP для координации с сервером, кэширующим Web-контент (сценарий 3).
Хотя клиентские программы против spyware часто имеют собственные механизмы блокирования, Тестовый центр eWeek Labs убедился в том, что возможности многих из этих разработок весьма далеки от идеала. Несмотря на обещанную защиту в реальном времени, они зачастую только сканируют жесткие диски и улавливают факт инвазии паразитов лишь с началом инсталляции. А многие разновидности этой заразы таковы, что после приземления в системе ее уже сложно полностью искоренить, как бы хорошо ни было используемое клиентское ПО.
В последние полгода несколько производителей придумали клиентские механизмы блокирования опасных программ через драйверы, действующие на уровне ядра ОС. Это приносит двоякую выгоду: внедрившимся программам становится сложнее обнаружить и отключить локальные средства обороны, а антишпионские продукты получают возможность вычищать даже паразитов, использующих rootkit-технологии, чтобы замаскироваться от ОС. Однако практические последствия инсталляции группы приложений на уровне ядра пока еще не ясны. Есть информация, что если и антивирусные, и антишпионские приложения начинают использовать компоненты уровня ядра, то возможна их взаимная интерференция.
Многие из продуктов, которые сегодня рекламируются как шлюзовые антишпионские устройства, поначалу исполняли иные функции. Известен целый ряд категорий продуктов, которые со временем стали позиционироваться как средства защиты от шпионских программ. Арена противодействия spyware привлекает производителей устройств для Web-фильтрации, Web-кэширования, обеспечения безопасности сервисов передачи мгновенных сообщений и шлюзовой антивирусной аппаратуры. Несмотря на разные родословные таких решений, все они могут обеспечить некую толику защиты.
При выборе шлюзовых устройств обороны от spyware ИТ-администратору стоит подумать, нет ли уже в компании аппаратуры, которую можно модернизировать в средство безопасности. Когда в сетевую среду внедряются новые устройства, всегда есть риск понизить производительность сети, а если использовать для защиты то, что уже имеется, вы останетесь в чистом выигрыше.
Конечно, для решения проблемы spyware одних шлюзовых устройств недостаточно. Они неспособны удалять очаги уже внедрившейся инфекции и не защищают мобильные клиенты, выносимые за периметр корпоративной сети.
Работа в команде
Конечной целью, к которой должны стремиться производители и пользователи средств противодействия spyware, является тесная интеграция обороны по периметру и на уровне настольных ПК. Антишпионские устройства будут обнаруживать, что с инфицированного клиента поступают "отзвоны домой", и оповещать центр управления, который должен автоматически запускать настольные средства очистки соответствующего ПК. Этот сценарий можно считать идеальным, ибо он сведет к минимуму затраты времени на идентификацию и удаление опасных программ, а также потребление системных и сетевых ресурсов, поскольку плановые ежедневные проверки ПК заменятся на адресное реагирование.
Однако сегодня лишь считанные производители располагают необходимыми шлюзовыми, клиентскими и управляющими компонентами для построения этой полной архитектуры. Первым кандидатом на претворение в жизнь такого уровня интеграции является компания FaceTime Communications, собирающаяся выпустить пакет Enterprise Spyware Prevention Suite, в который войдет шлюз Real-Time Guardian 3.1 и средство централизованного управления и контроля за шлюзовой и клиентской инфраструктурой FaceTime Greynet Enterprise Manager. Ожидается, что этот комплект дополнится автоматизированным настольным компонентом, который по требованию будет устанавливаться и запускаться на пользовательских ПК.
Обратной стороной медали в таком решении станет степень покрытия. Практически все антишпионские продукты, проверявшиеся в Тестовом центре eWeek Labs, имеют значительные пробелы в библиотеках описаний spyware. Ни один из продуктов не способен улавливать и выводить все существующие разновидности программ-паразитов, а часть из них пропускает массу угроз. Организация, полагающаяся на многоуровневое решение одного вендора, рискует: если шлюзовой компонент фирменной системы пропускает какой-то сорт инфекции, то про него наверняка не будут знать и клиентские средства защиты.
С другой стороны, если установить по периметру и на уровне ПК продукты разных производителей, возникнет проблема управления и лишнего расхода ресурсов. В сфере управления антивирусной и антишпионской защитой не существует стандартов, и для каждого установленного продукта администратору придется иметь дело с отдельной консолью управления, регистрационным журналом и отчетами.
Хотя и имеются платформы, позволяющие управлять продуктами нескольких производителей, например McAfee ePolicy Orchestrator, основная масса ПО и устройств с ними не работает. А корреляция данных, импортированных из двух разных систем, всегда требует много ручного труда или создания особых заказных средств для детального анализа информации.
Кроме того, отсутствие тесной интеграции средств защиты и автоматической корреляции данных будет отвлекать много системных ресурсов и неизбежно потребует регулярного сканирования всех настольных ПК.