【上文中提到“這是因為小型企業沒有足夠的資源來對付這個問題,結果中小型企業面臨著巨大的風險卻并沒有良好和充足的配給以保護自己。”】
間諜軟件怎樣攻擊中小型企業
間諜軟件對企業來說是一個真正的威脅,它可以從幾個方面影響企業運作的連續性:
1.數據竊取
正如前述間諜軟件類型中所列示的那樣,間諜軟件能夠竊取重要的或關鍵的信息。一旦被安裝,這種軟件就會在用戶下次登錄時對外發布信息。這種間諜軟件還會竊取財務數據、電子表格、個人記錄、銀行帳號、口令和其它輸入到被感染的計算機的信息。所SophosLabs分析,有33%的威脅設計的目的是竊取信息,而16%的間諜軟件包含鍵盤記錄器。數據竊取可造成用戶的商譽損失、財務損失以及競爭力喪失,甚至有引起訴訟的風險。
2.黑客攻擊
除了捕獲數據,間諜軟件還可以利用用戶計算機上的漏洞,便于黑客展開偵探活動,超過40%的威脅允許其他人訪問被感染的系統。后門木馬,如Feutel-L允許黑客控制某計算機并竊取存儲在其中的任何信息。對IT管理員來說,這種攻擊可能比病毒更糟糕,因為任何黑客訪問網絡的行為都是不可預測的。
3.僵尸攻擊 (Zombie Attack)
僵尸網絡蠕蟲等間諜軟件還可以成為垃圾郵件制造者十分有效的工具。使用僵尸網絡蠕蟲或Mytob等木馬(Sophos認為這二者是2006年的頭等威脅),垃圾郵件制造者可以輕易地接管有漏洞的計算機或Web服務器,并強迫它們為其發送電子郵件服務,從而使電子郵件看起來是從一個合法的源節點發出的。被劫持的計算機還可被用于其它惡意目的,如形成局部的拒絕服務攻擊。在這樣的一次攻擊中,成千上萬的計算機會在瞬間同時訪問一個Web站點,使服務器過載并“宕機”。通過這種方式被劫持并被鏈接到其它被感染系統的計算機被稱為“網絡僵尸”。
Sophos估計超過60%的垃圾信息是從僵尸計算機發出的。雖然這通常發生在風險極高的家用計算機身上,但這個問題也會影響到企業組織。例如,在2006年初,加利福尼亞的一名男子因被指控發動僵尸攻擊致使某醫療機構150臺電腦受感染而被起訴。
4.網絡破壞
間諜軟件攻擊還可造成網絡性能下降,因為這種間諜軟件給系統增加額外的需求。對于一個企業來說,如果它沒有被檢測或發現,也就意味著生產效率的下降,企業需要花費額外的資源來查找和清除這種問題。
間諜軟件怎樣被安裝
間諜軟件可被病毒安裝,或者當用戶單擊一個Web鏈接時,或者打開一個電子郵件的附件時安裝。如前所述,即時消息等Web 2.0技術使用的增加為間諜軟件編寫者提供了另一個工具,使其在附件中可以包含惡意的負載。大多數間諜軟件需要用戶的某個動作才能被安裝到計算機上,如下載一個有用的或極想得到的軟件(比方說,一個P2P共享的程序),而這個軟件正好隱藏著一個間諜軟件。有時,用戶在上網瀏覽時,會彈出一個窗口,提示其下載一個需要的軟件。安全漏洞,如瀏覽器中的安全漏洞可被用來安裝間諜軟件。一個用戶只需要訪問某個Web站點或者查看HTML格式的電子郵件信息,間諜軟件就可將自身安裝到用戶計算機中。這種秘密安裝被稱為“驅動式下載”(“Drive-by Download”.)。
理解當今的間諜軟件
為了迎戰間諜軟件,中小型企業應該怎么做呢?對抗間諜軟件的新技術利用互聯網監視全球性的間諜軟件活動,確認新的攻擊,并做出快速反應。這在抗擊計算機犯罪方面確實是一個進步,而且這種技術可使用戶的生活更加輕松。
毋庸置疑,特洛伊木馬和鍵盤記錄器程序所造成的威脅要比廣告軟件和cookies嚴重的多。不過,根據Webroot的估計,一些更具威脅性的間諜軟件種類正在日益增加,特別是鍵盤記錄程序更是如此,其中包含那些感染了間諜軟件的桌面用戶, 后果將會十分嚴重,如數據和敏感的信用卡信息的丟失。另一方面,有證據表明,廣告軟件和彈出窗口處于消減的狀態,因為瀏覽器通常可以阻止大多數彈出窗口,還在于間諜軟件的編寫有了一些轉變。原來,廣告者編寫間諜軟件和廣告軟件是為了賺錢,將廣告信息傳到用戶的桌面上。而今,間諜軟件是一種嚴重的犯罪威脅,而且這導致了鍵盤記錄器程序的增加。
黑客無時不在,威脅真實存在,黑客更加注重努力地訪問盡可能多的桌面計算機。這些威脅來自于有組織的犯罪或者獨立的個人,正是他們想盡一切辦法從企業竊取有價值的信息。
Rootkit間諜軟件的運行方式
Rootkit是一種嚴重的威脅,并且間諜軟件Rootkit 的使用也是近期的事情。Rootkit最初的設計目的是善意的,到目前為止至少存在了15年。就在近一時期,間諜軟件編寫者們發現,如果他們使用Rootkit技術,他們就可以避免被反間諜軟件產品檢測到。
這是可能的。因為一個Rootkit是一段短小的代碼,它可在操作系統啟動之前加載到內存。所以,當操作系統運行時,它并不知道作為Rootkit運行的后臺進程的存在。因此,如果系統為了識別所有的正在運行的應用程序而做出請求,Rootkit并不給與響應,那么這個Rootkit就不能被檢測到。
因此,為了實現確認Rootkit的目標,有必要擁有一個更為完善的反間諜軟件。理想情況下,在掃描計算機系統的磁盤驅動器并發現Rootkit后,用戶可以確定此Rootkit的真實性。有一些Rootkit有合法的理由存在,但其它的大多數屬于間諜軟件。
如果中小型企業沒有在合適的位置安裝恰當的軟件,要想發現并清除Rootkit是不可能的。許多公司,包括反間諜軟件公司,宣稱能夠提供一定級別的Rootkit清除功能。實際上,Rootkit的類型很多,而且間諜軟件正在利用著它們。這意味著需要選擇一種可以確認所有的Rootkit的產品,而且允許管理員決定哪些Rootkit屬于系統的,哪些不是系統的。
反病毒軟件VS反間諜軟件
毫無疑問,反病毒軟件已經非常專業化而且都非常擅長于清除病毒。如前所述,病毒是另一種類型的威脅。其目的通常是在多臺計算機上制造破壞,為已為人們所熟知。
間諜軟件不同于此,其意圖是要保持隱藏不被人發現。它盡力避免被反間諜軟件程序所發現。 因此,一旦間諜軟件成為一個較嚴重的問題,反間諜軟件程序公司就會進一步發展,以解決特定間諜軟件的威脅。即使一種產品提供了反病毒和反間諜軟件雙重功能,這也就意味著它要用兩種不同的引擎來執行評估,因為這兩種威脅是截然不同的。反病毒軟件需要一種與病毒特征相關的不同類型的查找機制。另一方面,反間諜軟件需要一種不同的方法檢測間諜軟件。這就是反病毒軟件和反間諜軟件已發展為分離的兩種程序的原因。
有些問題是小型企業所獨有的。首先,就資源來說,小型企業可能不會擁有與大型企業相媲美的資源水平。以熟練的IT專業人員為例,大型企業有能力雇傭安全專家重點解決病毒和間諜軟件問題。安全專家可以恰如其分地阻止和監視雇員對互聯網的應用。安全專家能夠找到并實施圍繞著企業安全水平的解決方案,而另一個IT雇員可以處理網絡基本結構和網絡的其它問題。
中小型企業通常并沒有很多具備不同專業知識和技能的IT專業人士。正相反,可能會有一個雇員甚至是一個兼職的雇員處理網絡的安裝、安全等多種問題。因此,中小型企業可能更易于受到間諜軟件的威脅,因為它們不可能獲得識別和解決這些問題的幫助和能力。中小型企業需要反間諜軟件和反病毒軟件的保護,因為黑客會發現訪問其網絡是如此簡易輕松。與敢于花費大量的資源和時間用于保護網絡安全的大型企業相比,小型企業可能會更易于受到這類攻擊。
新的間諜軟件威脅
研究發現,Rootkit正被大量地、經常性地使用著。釣魚木馬日益猖獗,一些釣魚詭計試圖誘導用戶轉向某些Web站點,輸入機密信息。通過使用Rootkit技術或木馬劫持用戶的計算機,釣魚欺詐也變得相當復雜和完善了。例如,當用戶被導向一個Web站點,他們可能相信自己正在安全地訪問銀行賬號,并輸入敏感信息,殊不知,這些信息已被捕獲并傳送到了黑客計算機上。調查發現,有些人們認為銷聲匿跡的網絡欺詐在經過重新包裝之后開始粉墨登場。
總之,我們必須要審視和管理所處的網絡環境和網絡安全威脅。特別是受經濟利益的驅使,間諜軟件正在采用更新的技術并以更加詭秘的姿態威脅著中小型企業的網絡安全,這是目前我們迫切需要解決的關鍵問題。
防御間諜軟件
基本措施與步驟
與對任何安全威脅一樣,一個組織需要采取的保護自己免受間諜軟件侵害的基本措施包含如下幾個方面的效組合:
◆教育─在打開附件、下載和安裝軟件時,確保所有的用戶理解謹慎小心的必要性。
◆策略─強化一種堅固的、公司范圍內的防止未授權下載的互聯網安全策略,實施防止未授權訪問桌面計算機的口令。
◆安全性─安裝最新的瀏覽器和操作系統補丁,確保瀏覽器的正確地安全設置,部署最新的端點和網關威脅保護。
◆控制─確保對應用程序如即時消息(IM),VoIP和P2P文件共享被集成到現存的反惡意檢測和管理架構中。
安全和控制
除了這些基本的步驟之外,企業應該實施一種集成性的安全方案,從而保護端點和網關。不但要防護病毒、木馬、釣魚攻擊、僵尸攻擊、垃圾信息等,企業還需要防止策略濫用、應用程序的未授權使用、未授權的網絡訪問,要對日益增長的威脅的復雜性作為一個整體而不是一個獨立的問題來管理。
總之,企業需要通過用戶教育、策略加強和技術的有效組合,在間諜軟件的防御中采取主動性的方法。在克服間諜軟件和相關的應用程序所造成的威脅方面,采用可信任的廠商所提供的解決方案是解決安全和控制問題的關鍵要素。如Sophos的解決方案中就提供了如下的系列產品,如Sophos Web Security Appliance,Sophos Email Security Appliances,Sophos Endpoint Security,等,可提供對Web站點、電子郵件、端點的安全性管理。當然,不只是外國的產品,國內的瑞星殺毒套裝、金山殺毒套裝也開始提供類似的功能。應該說,采用經過認證的安全防御產品是極端重要的一個措施。
