【上文中提到“这是因为小型企业没有足够的资源来对付这个问题,结果中小型企业面临着巨大的风险却并没有良好和充足的配给以保护自己。”】
间谍软件怎样攻击中小型企业
间谍软件对企业来说是一个真正的威胁,它可以从几个方面影响企业运作的连续性:
1.数据窃取
正如前述间谍软件类型中所列示的那样,间谍软件能够窃取重要的或关键的信息。一旦被安装,这种软件就会在用户下次登录时对外发布信息。这种间谍软件还会窃取财务数据、电子表格、个人记录、银行帐号、口令和其它输入到被感染的计算机的信息。所SophosLabs分析,有33%的威胁设计的目的是窃取信息,而16%的间谍软件包含键盘记录器。数据窃取可造成用户的商誉损失、财务损失以及竞争力丧失,甚至有引起诉讼的风险。
2.黑客攻击
除了捕获数据,间谍软件还可以利用用户计算机上的漏洞,便于黑客展开侦探活动,超过40%的威胁允许其他人访问被感染的系统。后门木马,如Feutel-L允许黑客控制某计算机并窃取存储在其中的任何信息。对IT管理员来说,这种攻击可能比病毒更糟糕,因为任何黑客访问网络的行为都是不可预测的。
3.僵尸攻击 (Zombie Attack)
僵尸网络蠕虫等间谍软件还可以成为垃圾邮件制造者十分有效的工具。使用僵尸网络蠕虫或Mytob等木马(Sophos认为这二者是2006年的头等威胁),垃圾邮件制造者可以轻易地接管有漏洞的计算机或Web服务器,并强迫它们为其发送电子邮件服务,从而使电子邮件看起来是从一个合法的源节点发出的。被劫持的计算机还可被用于其它恶意目的,如形成局部的拒绝服务攻击。在这样的一次攻击中,成千上万的计算机会在瞬间同时访问一个Web站点,使服务器过载并“宕机”。通过这种方式被劫持并被链接到其它被感染系统的计算机被称为“网络僵尸”。
Sophos估计超过60%的垃圾信息是从僵尸计算机发出的。虽然这通常发生在风险极高的家用计算机身上,但这个问题也会影响到企业组织。例如,在2006年初,加利福尼亚的一名男子因被指控发动僵尸攻击致使某医疗机构150台电脑受感染而被起诉。
4.网络破坏
间谍软件攻击还可造成网络性能下降,因为这种间谍软件给系统增加额外的需求。对于一个企业来说,如果它没有被检测或发现,也就意味着生产效率的下降,企业需要花费额外的资源来查找和清除这种问题。
间谍软件怎样被安装
间谍软件可被病毒安装,或者当用户单击一个Web链接时,或者打开一个电子邮件的附件时安装。如前所述,即时消息等Web 2.0技术使用的增加为间谍软件编写者提供了另一个工具,使其在附件中可以包含恶意的负载。大多数间谍软件需要用户的某个动作才能被安装到计算机上,如下载一个有用的或极想得到的软件(比方说,一个P2P共享的程序),而这个软件正好隐藏着一个间谍软件。有时,用户在上网浏览时,会弹出一个窗口,提示其下载一个需要的软件。安全漏洞,如浏览器中的安全漏洞可被用来安装间谍软件。一个用户只需要访问某个Web站点或者查看HTML格式的电子邮件信息,间谍软件就可将自身安装到用户计算机中。这种秘密安装被称为“驱动式下载”(“Drive-by Download”.)。
理解当今的间谍软件
为了迎战间谍软件,中小型企业应该怎么做呢?对抗间谍软件的新技术利用互联网监视全球性的间谍软件活动,确认新的攻击,并做出快速反应。这在抗击计算机犯罪方面确实是一个进步,而且这种技术可使用户的生活更加轻松。
毋庸置疑,特洛伊木马和键盘记录器程序所造成的威胁要比广告软件和cookies严重的多。不过,根据Webroot的估计,一些更具威胁性的间谍软件种类正在日益增加,特别是键盘记录程序更是如此,其中包含那些感染了间谍软件的桌面用户, 后果将会十分严重,如数据和敏感的信用卡信息的丢失。另一方面,有证据表明,广告软件和弹出窗口处于消减的状态,因为浏览器通常可以阻止大多数弹出窗口,还在于间谍软件的编写有了一些转变。原来,广告者编写间谍软件和广告软件是为了赚钱,将广告信息传到用户的桌面上。而今,间谍软件是一种严重的犯罪威胁,而且这导致了键盘记录器程序的增加。
黑客无时不在,威胁真实存在,黑客更加注重努力地访问尽可能多的桌面计算机。这些威胁来自于有组织的犯罪或者独立的个人,正是他们想尽一切办法从企业窃取有价值的信息。
Rootkit间谍软件的运行方式
Rootkit是一种严重的威胁,并且间谍软件Rootkit 的使用也是近期的事情。Rootkit最初的设计目的是善意的,到目前为止至少存在了15年。就在近一时期,间谍软件编写者们发现,如果他们使用Rootkit技术,他们就可以避免被反间谍软件产品检测到。
这是可能的。因为一个Rootkit是一段短小的代码,它可在操作系统启动之前加载到内存。所以,当操作系统运行时,它并不知道作为Rootkit运行的后台进程的存在。因此,如果系统为了识别所有的正在运行的应用程序而做出请求,Rootkit并不给与响应,那么这个Rootkit就不能被检测到。
因此,为了实现确认Rootkit的目标,有必要拥有一个更为完善的反间谍软件。理想情况下,在扫描计算机系统的磁盘驱动器并发现Rootkit后,用户可以确定此Rootkit的真实性。有一些Rootkit有合法的理由存在,但其它的大多数属于间谍软件。
如果中小型企业没有在合适的位置安装恰当的软件,要想发现并清除Rootkit是不可能的。许多公司,包括反间谍软件公司,宣称能够提供一定级别的Rootkit清除功能。实际上,Rootkit的类型很多,而且间谍软件正在利用着它们。这意味着需要选择一种可以确认所有的Rootkit的产品,而且允许管理员决定哪些Rootkit属于系统的,哪些不是系统的。
反病毒软件VS反间谍软件
毫无疑问,反病毒软件已经非常专业化而且都非常擅长于清除病毒。如前所述,病毒是另一种类型的威胁。其目的通常是在多台计算机上制造破坏,为已为人们所熟知。
间谍软件不同于此,其意图是要保持隐藏不被人发现。它尽力避免被反间谍软件程序所发现。 因此,一旦间谍软件成为一个较严重的问题,反间谍软件程序公司就会进一步发展,以解决特定间谍软件的威胁。即使一种产品提供了反病毒和反间谍软件双重功能,这也就意味着它要用两种不同的引擎来执行评估,因为这两种威胁是截然不同的。反病毒软件需要一种与病毒特征相关的不同类型的查找机制。另一方面,反间谍软件需要一种不同的方法检测间谍软件。这就是反病毒软件和反间谍软件已发展为分离的两种程序的原因。
有些问题是小型企业所独有的。首先,就资源来说,小型企业可能不会拥有与大型企业相媲美的资源水平。以熟练的IT专业人员为例,大型企业有能力雇佣安全专家重点解决病毒和间谍软件问题。安全专家可以恰如其分地阻止和监视雇员对互联网的应用。安全专家能够找到并实施围绕着企业安全水平的解决方案,而另一个IT雇员可以处理网络基本结构和网络的其它问题。
中小型企业通常并没有很多具备不同专业知识和技能的IT专业人士。正相反,可能会有一个雇员甚至是一个兼职的雇员处理网络的安装、安全等多种问题。因此,中小型企业可能更易于受到间谍软件的威胁,因为它们不可能获得识别和解决这些问题的帮助和能力。中小型企业需要反间谍软件和反病毒软件的保护,因为黑客会发现访问其网络是如此简易轻松。与敢于花费大量的资源和时间用于保护网络安全的大型企业相比,小型企业可能会更易于受到这类攻击。
新的间谍软件威胁
研究发现,Rootkit正被大量地、经常性地使用着。钓鱼木马日益猖獗,一些钓鱼诡计试图诱导用户转向某些Web站点,输入机密信息。通过使用Rootkit技术或木马劫持用户的计算机,钓鱼欺诈也变得相当复杂和完善了。例如,当用户被导向一个Web站点,他们可能相信自己正在安全地访问银行账号,并输入敏感信息,殊不知,这些信息已被捕获并传送到了黑客计算机上。调查发现,有些人们认为销声匿迹的网络欺诈在经过重新包装之后开始粉墨登场。
总之,我们必须要审视和管理所处的网络环境和网络安全威胁。特别是受经济利益的驱使,间谍软件正在采用更新的技术并以更加诡秘的姿态威胁着中小型企业的网络安全,这是目前我们迫切需要解决的关键问题。
防御间谍软件
基本措施与步骤
与对任何安全威胁一样,一个组织需要采取的保护自己免受间谍软件侵害的基本措施包含如下几个方面的效组合:
◆教育─在打开附件、下载和安装软件时,确保所有的用户理解谨慎小心的必要性。
◆策略─强化一种坚固的、公司范围内的防止未授权下载的互联网安全策略,实施防止未授权访问桌面计算机的口令。
◆安全性─安装最新的浏览器和操作系统补丁,确保浏览器的正确地安全设置,部署最新的端点和网关威胁保护。
◆控制─确保对应用程序如即时消息(IM),VoIP和P2P文件共享被集成到现存的反恶意检测和管理架构中。
安全和控制
除了这些基本的步骤之外,企业应该实施一种集成性的安全方案,从而保护端点和网关。不但要防护病毒、木马、钓鱼攻击、僵尸攻击、垃圾信息等,企业还需要防止策略滥用、应用程序的未授权使用、未授权的网络访问,要对日益增长的威胁的复杂性作为一个整体而不是一个独立的问题来管理。
总之,企业需要通过用户教育、策略加强和技术的有效组合,在间谍软件的防御中采取主动性的方法。在克服间谍软件和相关的应用程序所造成的威胁方面,采用可信任的厂商所提供的解决方案是解决安全和控制问题的关键要素。如Sophos的解决方案中就提供了如下的系列产品,如Sophos Web Security Appliance,Sophos Email Security Appliances,Sophos Endpoint Security,等,可提供对Web站点、电子邮件、端点的安全性管理。当然,不只是外国的产品,国内的瑞星杀毒套装、金山杀毒套装也开始提供类似的功能。应该说,采用经过认证的安全防御产品是极端重要的一个措施。