Obrona przed tego typu zagrożeniami wymaga zastosowania dedykowanych narzędzi usuwających programy wywiadowcze (spyware) z komputerów w sieci. Narzędzia ''kontrwywiadowcze'' (antyspyware) to programy adaptacyjne, wykorzystujące sygnatury, skanujące systemy i wyszukujące oraz usuwające trojany, rejestratory klawiatur, dialery itp.

Działają one w wielu aspektach, podobnie jak oprogramowanie antywirusowe w sieci. Używają modułów rezydujących na klientach, serwerach i konsoli administracyjnych. Ze względu na to, że spyware bardzo szybko się zmieniają, krytycznym elementem jest automatyczne uaktualnianie ich sygnatur. Uaktualnienia te są pobierane z serwerów dostawców rozwiązań antyspyware za pośrednictwem Internetu i przekazywane na stanowiska klienckie przy użyciu centralnego pulpitu sterującego.

Laboratoria badawcze dostawców narzędzi do usuwania spyware tworzą listy charakterystyk, które mówią użytkownikowi, jakie programy wywiadowcze mogą rezydować na jego maszynie, gdzie są zlokalizowane i co wykonują. Na tych charakterystykach opierają się programy antyspyware, używając ich do usuwania pozycji w rejestrach Windows, indywidualnych plików i w niektórych przypadkach katalogów związanych ze spyware.

Programy wywiadowcze na ogół instalują formę wykonywalną i inne pliki w różnych miejscach systemu operacyjnego. Pliki te są nazywane śladami spyware (spyware traces). Usunięcie spyware bez odpowiedniego narzędzia gubi te tropy. Usunięcie śladów może powstrzymać objawy, ale nie rozwiązuje źródła problemu.

W odróżnieniu od typowych wirusów nie wszystkie spyware powinny być usuwane automatycznie. Administrator powinien mieć możliwość definiowania profili użytkownika opartych na listach programów wykorzystywanych przez użytkownika.

Wiele elementów spyware jest także połączonych z legalnymi aplikacjami, których potrzebuje do funkcjonowania.

Dobre narzędzia antyspyware nie tylko wynajdują wszystkie pliki-ślady związane ze "szpiegiem", ale także oferują wyczerpującą bazę danych zawierającą szczegółowe opisy, charakterystyki i poziom zagrożenia ze strony tych programów. Aktualna baza danych jest istotnym elementem wspierania administratora w projektowaniu profili użytkownika pod kątem usuwania spyware.

Z chwilą, gdy profile użytkownika zostaną utworzone, usunięcie spyware jest łatwe. W typowym scenariuszu usuwania klient zainfekowany elementami spyware jest poddawany procesowi przeszukiwania, w którym aplikacja antyspyware wyszukuje (na podstawie profilu użytkownika) i poddaje kwarantannie (wyłącza z działania) wszystkie elementy spyware. W tym momencie "szpieg" może być na stałe usunięty lub przeinstalowany.

Spyware zmieniają się czasami nawet w ciągu doby. Niektóre typy mogą wykonywać akcje samoobronne, zmierzające do usunięcia narzędzia antyspyware. W innych przypadkach zmieniają nazwy i przenoszą się z jednej lokalizacji do innej.

W rezultacie strategia obrony przed tego typu zagrożeniami, która obowiązywała wczoraj, dzisiaj może być nieaktualna. Taka szybka metamorfoza wymaga automatycznego systemu uaktualniania, a także dedykowanych programów antyspyware, które mają zdolność adaptacji w przypadku napotkania nowego wzorca programu wywiadowczego.

Pomimo wysiłków specjalistów od zabezpieczeń, spyware w środowiskach korporacyjnych stanowią poważne zagrożenie wydajności oraz bezpieczeństwa danych i sieci. Ochrona przed tego typu tworami programowymi może zwiększać bezpieczeństwo sieci i staje się niezbędnym elementem systemów IT.