Antyszpieg dla przedsiębiorstw
- Józef Muszyński,
- Barry Nance,
- 01.12.2005
Systemy klient/serwer
Blokowanie spyware na bramie może okazać się niewystarczające, zwłaszcza jeżeli użytkownicy często korzystają w miejscu pracy z bezpłatnego oprogramowania. Może wtedy zachodzić potrzeba uruchomienia narzędzi antyspyware bezpośrednio na maszynach klienckich i serwerach. Należy także mieć na uwadze to, że używanie obu typów produktów - bramy i klient/serwer - może potencjalnie poprawić skuteczność wykrywania spyware.
Web Security Suite-Lockdown Edition firmy WebSense wyłapał podczas testów 88% spyware. Rozpoznaje on spyware na podstawie sygnatur tworzonych z wykorzystaniem SHA (Secure Hash Algorithm), nazw programów oraz URL i adresów IP. Program wykrywa także zainfekowane komputery w sieci, odnotowując i blokując próby wysyłania przez spyware informacji pod znane URL lub adresy IP ośrodków spyware. Może także blokować wymianę plików P2P, powszechnie używaną do sprowadzania plików nie tylko muzycznych. Klient zajmuje ok. 12 MB RAM i nie pozostawia śladów (w postaci plików resztkowych lub zapisów w rejestrach) po operacji usuwania spyware. Administrator może konfigurować Web Security Suite-Lockdown pod kątem zapobiegania instalacji jakichkolwiek plików wykonywalnych, uzyskując tym samym pewność, że na komputerze będzie pracować jedynie zaaprobowane oprogramowanie. Program nie integruje się (poprzez SNMP) z systemem zarządzania siecią.
Omniquad AntiSpy Enterprise firmy Omniquad wyeliminował podczas testów 86% spyware. Centralna konsola zapewnia możliwość wykonania zarówno szybkiego, jak i pełnego skanowania. Skanowanie szybkie, rejestrujące pracujące procesy i inne łatwo dostępne dane systemowe, potrzebuje kilku sekund. Obieg skanowania kompletnego, które dodatkowo wyszukuje pliki spyware i kontroluje rejestry Windows, może zabierać kilka minut. Omniquad AntiSpy Enterprise automatycznie rozprowadza agenty klienckie z centralnej konsoli. Konsola przechowuje dane o konfiguracji i rodzaju polityki w katalogach Active Directory i może generować alarmy SNMP związane ze spyware. Podczas testów Omniquad AntiSpy Enterprise usunął wszystkie elementy spyware, obejmujące pliki i pozycje rejestrów.
Anti-Spyware Enterprise firmy McAfee wyłapał podczas testów 76% spyware. Pakiet ten oraz VirusScan Enterprise to zestawy uzupełniające się nawzajem. Anti-Spyware Enterprise dokłada do tego tandemu funkcje skanowania: rejestrów, plików, procesów w pamięci operacyjnej i usuwanie spyware. Połączony agent użytkuje jedynie 10 MB RAM. Centralną konsolę dla Anti-Spyware Enterprise i VirusScan Enterprise zapewnia ePolicy Orchestrator. Komponent antyspyware rozpoznaje spyware (McAfee określa je mianem PUP - Potentially Unwanted Programs) na podstawie sygnatur i podejrzanych modyfikacji rejestrów oraz plików w pamięci. Podczas testów Anti-Spyware Enterprise usunął wszystkie pliki wykonywalne rozpoznanych spyware, pozostawił jednak na kliencie nieszkodliwe pliki .dat i pozycje w rejestrach. Rozprowadzanie agentów w sieci desktopów Windows wykonuje się automatycznie i szybko, a centralna konsola ePolicy Orchestrator może wysyłać alarmy SNMP.
Podsumowanie
Przy wyborze rozwiązania bramowego dla przedsiębiorstwa można rozważać zastosowanie rozwiązania Security Web Gateway firmy McAfee, które wyróżnia się najlepszą efektywnością w powstrzymywaniu spyware przed wejściem do sieci. Jeżeli potrzebna jest dodatkowa ochrona, pracująca bezpośrednio na serwerach i desktopach, to dobrym wyborem może być Omniquad AntiSpy Enterprise firmy Omniquad lub Web Security Suite-Lockdown Edition firmy WebSense.
Secure Content Management Appliance 4.0
(Secure Web Gateway model 3300)
Producent: McAfee
Cena: 12 995 USD + 10, 09 USD za użytkownika (licencja bazowa), dodatkowo 13,25 USD za użytkownika (licencja za moduł Web Filtering)
Zalety: wysoka skuteczność wykrywania spyware; łatwa instalacja
Wady: filtrowanie URL powinno być standardowym mechanizmem, a nie opcjonalnym
OfficeScan Anti-Spyware Suite i InterScan Anti-Spyware Suite
Producent: Trend Micro
Cena: InterScan: 11,87 USD i OfficeScan 22,26 USD - za użytkownika (powyżej tysiąca użytkowników)
Zalety: integruje się z przełącznikami Cisco obsługującymi Network Access Admission Control
Wady: OfficeScan skanuje dużo wolniej niż inne produkty tej klasy
eSafe wersja 5
Producent: Alladin Knowledge Systems
Cena: 6250 USD za 100 użytkowników; 23 750 USD za 1000 (w tym filtrowanie URL)
Zalety: doskonałe raporty; usuwa wszystkie fragmenty spyware
Wady: brak alarmów SNMP
Spyware Interceptor
Producent: Blue Coat Systems
Cena: od 3,99 USD do 11,66 USD za użytkownika rocznie
Zalety: łatwa i szybka instalacja
Wady: włączenie zasilania w urządzeniu zakłóca na chwilę sieć
Omniquad AntiSpy Enterprise wersja 3.3
Producent: Omniquad
Cena: 3 USD za użytkownika
Zalety: liczne opcje skanowania; usuwa wszystkie ślady spyware
Wady: brak funkcji cofania usunięcia
Web Security Suite-Lockdown Edition
Producent: WebSense
Cena: 50 USD za użytkownika rocznie
Zalety: nie pozostawia śladów spyware; może zabezpieczać przed instalacją dowolnych plików wykonywalnych
Wady: brak alarmów SNMP
Spy Sweeper Enterprise wersja 2.1
Producent: Webroot Software
Cena: 29,95 USD za użytkownika - powyżej 10 użytkowników
Zalety: doskonałe raporty; usuwa wszystkie fragmenty spyware
Wady: brak alarmów SNMP
McAfee Anti-Spyware Enterprise 8.0i
Producent: McAfee
Cena: od 12,4 USD za stanowisko (licencja stała z jednorocznym wsparciem serwisowym)
Zalety: bardzo dobre raporty; łatwe rozprowadzanie modułu agenta na klientach
Wady: wykrywa jedynie 76% spyware
SurfControl Enterprise Threat Shield
Producent: SurfControl
Cena: za pierwszy rok 18 690 USD, za drugi 10 290 USD (powyżej tysiąca użytkowników)
Zalety: środowisko graficzne typu "przeciągnij i upuść" dla określania reguł polityki dla klientów
Wady: brak alarmów SNMP; pozostawia fragmenty spyware (nieszkodliwe)
eTrust PestPatrol Corporate Edition wersja 5
Producent: Computer Associates
Cena: od 39,95 USD za stanowisko
Zalety: szybka i bezproblemowa instalacja agentów na klientach
Wady: brak alarmów SNMP
FortiClient Host Security 2.0
Producent: Fortinet
Cena: od 15,95 USD za użytkownika
Zalety: implementuje NAT (translacje adresów IP) i może być klientem VPN IPSec
Wady: brak alarmów SNMP
Anti-Virus Client Security 6.0
Producent: F-Secure
Cena: 72 USD za 10 licencji
Zalety: usuwa wszystkie fragmenty spyware
Wady: pewne wywołania funkcji nie działają w bardziej skomplikowanych przypadkach
EnterpriSecure z TruPrevent Technology
Producent: Panda Software
Cena: 3000 USD za 50 użytkowników
Zalety: dobre, centralne sterowanie skanowaniem spyware i rozprowadzaniem agentów
Wady: raportom brakuje szczegółowości i lepszych kryteriów selekcjonowania; duża zajętość pamięci operacyjnej