Antyszpieg dla przedsiębiorstw

Systemy klient/serwer

Blokowanie spyware na bramie może okazać się niewystarczające, zwłaszcza jeżeli użytkownicy często korzystają w miejscu pracy z bezpłatnego oprogramowania. Może wtedy zachodzić potrzeba uruchomienia narzędzi antyspyware bezpośrednio na maszynach klienckich i serwerach. Należy także mieć na uwadze to, że używanie obu typów produktów - bramy i klient/serwer - może potencjalnie poprawić skuteczność wykrywania spyware.

Web Security Suite-Lockdown Edition firmy WebSense wyłapał podczas testów 88% spyware. Rozpoznaje on spyware na podstawie sygnatur tworzonych z wykorzystaniem SHA (Secure Hash Algorithm), nazw programów oraz URL i adresów IP. Program wykrywa także zainfekowane komputery w sieci, odnotowując i blokując próby wysyłania przez spyware informacji pod znane URL lub adresy IP ośrodków spyware. Może także blokować wymianę plików P2P, powszechnie używaną do sprowadzania plików nie tylko muzycznych. Klient zajmuje ok. 12 MB RAM i nie pozostawia śladów (w postaci plików resztkowych lub zapisów w rejestrach) po operacji usuwania spyware. Administrator może konfigurować Web Security Suite-Lockdown pod kątem zapobiegania instalacji jakichkolwiek plików wykonywalnych, uzyskując tym samym pewność, że na komputerze będzie pracować jedynie zaaprobowane oprogramowanie. Program nie integruje się (poprzez SNMP) z systemem zarządzania siecią.

Spy Sweeper Enterprise firmy Webroot: centralna konsola administracyjna

Spy Sweeper Enterprise firmy Webroot: centralna konsola administracyjna

Omniquad AntiSpy Enterprise firmy Omniquad wyeliminował podczas testów 86% spyware. Centralna konsola zapewnia możliwość wykonania zarówno szybkiego, jak i pełnego skanowania. Skanowanie szybkie, rejestrujące pracujące procesy i inne łatwo dostępne dane systemowe, potrzebuje kilku sekund. Obieg skanowania kompletnego, które dodatkowo wyszukuje pliki spyware i kontroluje rejestry Windows, może zabierać kilka minut. Omniquad AntiSpy Enterprise automatycznie rozprowadza agenty klienckie z centralnej konsoli. Konsola przechowuje dane o konfiguracji i rodzaju polityki w katalogach Active Directory i może generować alarmy SNMP związane ze spyware. Podczas testów Omniquad AntiSpy Enterprise usunął wszystkie elementy spyware, obejmujące pliki i pozycje rejestrów.

Okno konfiguracyjne Anti-Virus Client Security firmy F-Secure

Okno konfiguracyjne Anti-Virus Client Security firmy F-Secure

Spy Sweeper Enterprise firmy Webroot wyłapał podczas testów 85% spyware. Do identyfikacji spyware używa sygnatur plików, w połączeniu z wykrywaniem zmian w plikach, pamięci i rejestrach. Interfejs użytkownika konsoli centralnej jest łatwy w nawigowaniu. Wykorzystanie pamięci przez agenta rezydującego na maszynie klienckiej wynosi ok. 12 MB. Na każdym kliencie rejestrowane są zdarzenia związane ze spyware, uzupełniając wysyłanie powiadomień o incydencie do serwera. Podczas testów Spy Sweeper Enterprise pozostawił pewne, nieszkodliwe, szczątkowe pliki danych. Serwer Spy Sweeper Enterprise zawiera konsolę administracyjną, bazę danych, aktualizator definicji spyware i managera agentów klientów - każdy z tych komponentów może pracować na oddzielnym komputerze. Produkt nie wysyła alarmów SNMP.

ETrust PestPatrol firmy Computer Associates: okno opcji skanowania

ETrust PestPatrol firmy Computer Associates: okno opcji skanowania

Enterprise Threat Shield firmy SurfControl wyeliminował podczas testów 82% spyware. Centralna konsola Threat Shield automatycznie rozprowadza agenty na komputery klienckie. Podczas sprawdzania przychodzących plików wykonywalnych każdy agent korzysta z bazy danych definicji spyware w centralnej konsoli. Definicje spyware są sygnaturami znanych kodów złośliwych. Konsola centralna zapewnia administratorowi środowisko graficzne typu "przeciągnij i upuść" przystosowane do aplikowania związanej ze spyware polityki bezpieczeństwa - indywidualnym komputerom lub ich grupom. Każda reguła tej polityki zawiera m.in. sygnatury plików wykonywalnych lub nazwy plików. Administrator wybiera akcje, które mają być podjęte w chwili pojawienia się zdarzenia związanego ze spyware - od usunięcia, po powiadomienie administratora. Raporty Threat Shield dają się łatwo dostosowywać i można je sortować wg trendów, kategorii naruszeń lub zagregowanej aktywności spyware. Raporty mogą być eksportowane do formatów PDF, Word lub Excel. Threat Shield jest szczególnie oszczędny w wykorzystaniu pamięci klienta - agent zajmuje ok. 220 do 750 KB RAM. Threat Shield pozostawia po akcji usuwania spyware niewielką liczbę pozostałości - kilka nieszkodliwych plików danych. Nie wysyła alarmów SNMP.

EnterpriSecure z technologią TruPrevent firmy Panda Software: centralna konsola administracyjna

EnterpriSecure z technologią TruPrevent firmy Panda Software: centralna konsola administracyjna

ETrust PestPatrol firmy Computer Associates, pracujący na serwerach i klientach podłączonych do Internetu, wyłapał podczas testów 82% spyware. Automatyczną instalację agentów na desktopach wykonuje się łatwo i bezproblemowo. Z dobrze zaprojektowanej konsoli centralnej można łatwo inicjować skanowanie na żądanie, skanowanie planowane lub skanowanie w czasie logowania użytkownika do sieci. Moduł agenta po wykryciu spyware generuje alarm do konsoli centralnej, rejestruje zdarzenie i umożliwia usunięcie spyware jednym kliknięciem myszy. ETrust Patrol rozpoznaje spyware za pomocą sygnatur plików oraz URL i adresów IP. Skrupulatnie usuwa wszystkie pozostałości spyware, w tym także pozycje rejestrów. Raporty mogą być grupowane wg użytkowników, daty i czasu lub nazwy instancji spyware. Program zajmuje ok. 20 MB RAM na każdym chronionym komputerze, jeżeli włączony jest mechanizm Active Protection. Nie wysyła alarmów SNMP.

Ocena rozwiązań bramowych

Ocena rozwiązań bramowych

Anti-Virus Client Security firmy F-Secure wykorzystuje produkt Ad-Aware firmy Lavasoft. Podczas testów przechwycił on 78% spyware i sprawdził się w bezbłędnym usuwaniu wszystkich śladów spyware, w tym plików, pozycji rejestrów i pozycji na liście startowej systemu. Instaluje się bezproblemowo, jest łatwy w użytkowaniu i dostarcza użytecznych szczegółów dotyczących prób wprowadzenia spyware, takich jak listy plików spyware, nazwy i klasyfikacja spyware, podjęte akcje usuwania, data, czas i ścieżka do pliku. AntiVirus Client Security rozpoznaje spyware na podstawie sygnatur, kluczy rejestrów Windows, pozycji w liście startowej systemu, zmian powiązań plików i prób uprowadzenia aplikacji. Zajętość pamięci wynosi 47 MB. AntiVirus Client Security może wysyłać alarmy SNMP do systemów zarządzania siecią, takich jak HP OpenView.

Fortinet FortiClient Host Security: konfigurowanie mechanizmów antyspyware w zaporze ogniowej

Fortinet FortiClient Host Security: konfigurowanie mechanizmów antyspyware w zaporze ogniowej

EnterpriSecure z technologią TruPrevent firmy Panda Software osiągnął wynik 78% wykrytych spyware. Podobnie jak Anti-Spyware Enterprise, EnterpriSecure jest przede wszystkim narzędziem kontrwywiadowczym zintegrowanym z produktem antywirusowym. Panda dostarcza moduł antyspyware także jako część zestawu produktów antywirusowych dla specyficznych środowisk, takich jak: Samba, Exchange, Domino, Sendmail, Qmail i serwery plików. Technologia TruPrevent identyfikuje spyware poprzez sygnatury i przy użyciu techniki, którą firma nazywa "skanowaniem heurystycznym i analizą behawioralną" - sprawdzając zawartość plików wykonywalnych pod kątem znanych URL i adresów IP spyware oraz monitorując działania programów na rejestrach, plikach lub modyfikacje systemu. Centralna konsola EnterpriSecure zapewnia administratorowi pełną kontrolę nad skanowaniem antyspyware i antywirusowym oraz nad rozprowadzaniem agentów. Raporty EnterpriSecure są użyteczne, ale niezbyt szczegółowe w zakresie zdarzeń związanych z usuwaniem spyware. Program zajmuje 30-40 MB RAM, w zależności od wybranych opcji. Nie pozostawia żadnych śladów po akcji usuwania spyware i chociaż nie wysyła alarmów SNMP, to może odpowiadać na kwerendy SQL dotyczące informacji o zdarzeniach związanych z usuwaniem spyware - pod warunkiem dopisania niewielkiego programu np. w Visual Basic.

Ocena rozwiązań klient-serwer

Ocena rozwiązań klient-serwer

FortiClient Host Security firmy Fortinet jest osobistą zaporą ogniową, wyposażoną w mechanizmy antywirusowe i antyspyware. Może ona działać również jako klient VPN IPSec i implementuje - jako zapora ogniowa - NAT (Network Address Translation). FortiClient podczas testów unieszkodliwił 78% spyware. W celu wykrycia szkodliwych kodów, FortiClient monitoruje zmiany w rejestrach oraz nieoczekiwane dodatki do listy startowej Windows, a także porównuje przychodzące z sieci pliki wykonywalne z sygnaturami spyware. Zapewnia również scentralizowane zarządzanie polityką, a centralna konsola automatycznie rozprowadza w sieci agenty FortiClient na maszyny Windows. FortiClient wykorzystuje 20-35 MB RAM. Ta ostania wielkość oznacza włączenie wszystkich opcji (antywirus, zapora ogniowa, rozpoznawanie sygnatur i monitorowanie rejestrów i list startowych systemu). FortiClient nie pozostawia resztek spyware na chronionych maszynach. Nie emituje alarmów SNMP.

Anti-Spyware Enterprise firmy McAfee wyłapał podczas testów 76% spyware. Pakiet ten oraz VirusScan Enterprise to zestawy uzupełniające się nawzajem. Anti-Spyware Enterprise dokłada do tego tandemu funkcje skanowania: rejestrów, plików, procesów w pamięci operacyjnej i usuwanie spyware. Połączony agent użytkuje jedynie 10 MB RAM. Centralną konsolę dla Anti-Spyware Enterprise i VirusScan Enterprise zapewnia ePolicy Orchestrator. Komponent antyspyware rozpoznaje spyware (McAfee określa je mianem PUP - Potentially Unwanted Programs) na podstawie sygnatur i podejrzanych modyfikacji rejestrów oraz plików w pamięci. Podczas testów Anti-Spyware Enterprise usunął wszystkie pliki wykonywalne rozpoznanych spyware, pozostawił jednak na kliencie nieszkodliwe pliki .dat i pozycje w rejestrach. Rozprowadzanie agentów w sieci desktopów Windows wykonuje się automatycznie i szybko, a centralna konsola ePolicy Orchestrator może wysyłać alarmy SNMP.

Podsumowanie

Przy wyborze rozwiązania bramowego dla przedsiębiorstwa można rozważać zastosowanie rozwiązania Security Web Gateway firmy McAfee, które wyróżnia się najlepszą efektywnością w powstrzymywaniu spyware przed wejściem do sieci. Jeżeli potrzebna jest dodatkowa ochrona, pracująca bezpośrednio na serwerach i desktopach, to dobrym wyborem może być Omniquad AntiSpy Enterprise firmy Omniquad lub Web Security Suite-Lockdown Edition firmy WebSense.

Antyspyware - rozwiązania bramowe

Secure Content Management Appliance 4.0

(Secure Web Gateway model 3300)

Producent: McAfee

Cena: 12 995 USD + 10, 09 USD za użytkownika (licencja bazowa), dodatkowo 13,25 USD za użytkownika (licencja za moduł Web Filtering)

Zalety: wysoka skuteczność wykrywania spyware; łatwa instalacja

Wady: filtrowanie URL powinno być standardowym mechanizmem, a nie opcjonalnym

OfficeScan Anti-Spyware Suite i InterScan Anti-Spyware Suite

Producent: Trend Micro

Cena: InterScan: 11,87 USD i OfficeScan 22,26 USD - za użytkownika (powyżej tysiąca użytkowników)

Zalety: integruje się z przełącznikami Cisco obsługującymi Network Access Admission Control

Wady: OfficeScan skanuje dużo wolniej niż inne produkty tej klasy

eSafe wersja 5

Producent: Alladin Knowledge Systems

Cena: 6250 USD za 100 użytkowników; 23 750 USD za 1000 (w tym filtrowanie URL)

Zalety: doskonałe raporty; usuwa wszystkie fragmenty spyware

Wady: brak alarmów SNMP

Spyware Interceptor

Producent: Blue Coat Systems

Cena: od 3,99 USD do 11,66 USD za użytkownika rocznie

Zalety: łatwa i szybka instalacja

Wady: włączenie zasilania w urządzeniu zakłóca na chwilę sieć

Antyspyware - rozwiązania klient-serwer

Omniquad AntiSpy Enterprise wersja 3.3

Producent: Omniquad

Cena: 3 USD za użytkownika

Zalety: liczne opcje skanowania; usuwa wszystkie ślady spyware

Wady: brak funkcji cofania usunięcia

Web Security Suite-Lockdown Edition

Producent: WebSense

Cena: 50 USD za użytkownika rocznie

Zalety: nie pozostawia śladów spyware; może zabezpieczać przed instalacją dowolnych plików wykonywalnych

Wady: brak alarmów SNMP

Spy Sweeper Enterprise wersja 2.1

Producent: Webroot Software

Cena: 29,95 USD za użytkownika - powyżej 10 użytkowników

Zalety: doskonałe raporty; usuwa wszystkie fragmenty spyware

Wady: brak alarmów SNMP

McAfee Anti-Spyware Enterprise 8.0i

Producent: McAfee

Cena: od 12,4 USD za stanowisko (licencja stała z jednorocznym wsparciem serwisowym)

Zalety: bardzo dobre raporty; łatwe rozprowadzanie modułu agenta na klientach

Wady: wykrywa jedynie 76% spyware

SurfControl Enterprise Threat Shield

Producent: SurfControl

Cena: za pierwszy rok 18 690 USD, za drugi 10 290 USD (powyżej tysiąca użytkowników)

Zalety: środowisko graficzne typu "przeciągnij i upuść" dla określania reguł polityki dla klientów

Wady: brak alarmów SNMP; pozostawia fragmenty spyware (nieszkodliwe)

eTrust PestPatrol Corporate Edition wersja 5

Producent: Computer Associates

Cena: od 39,95 USD za stanowisko

Zalety: szybka i bezproblemowa instalacja agentów na klientach

Wady: brak alarmów SNMP

FortiClient Host Security 2.0

Producent: Fortinet

Cena: od 15,95 USD za użytkownika

Zalety: implementuje NAT (translacje adresów IP) i może być klientem VPN IPSec

Wady: brak alarmów SNMP

Anti-Virus Client Security 6.0

Producent: F-Secure

Cena: 72 USD za 10 licencji

Zalety: usuwa wszystkie fragmenty spyware

Wady: pewne wywołania funkcji nie działają w bardziej skomplikowanych przypadkach

EnterpriSecure z TruPrevent Technology

Producent: Panda Software

Cena: 3000 USD za 50 użytkowników

Zalety: dobre, centralne sterowanie skanowaniem spyware i rozprowadzaniem agentów

Wady: raportom brakuje szczegółowości i lepszych kryteriów selekcjonowania; duża zajętość pamięci operacyjnej


TOP 200