Blokowanie spyware na bramie może okazać się niewystarczające, zwłaszcza jeżeli użytkownicy często korzystają w miejscu pracy z bezpłatnego oprogramowania. Może wtedy zachodzić potrzeba uruchomienia narzędzi antyspyware bezpośrednio na maszynach klienckich i serwerach. Należy także mieć na uwadze to, że używanie obu typów produktów - bramy i klient/serwer - może potencjalnie poprawić skuteczność wykrywania spyware.
Web Security Suite-Lockdown Edition firmy WebSense wyłapał podczas testów 88% spyware. Rozpoznaje on spyware na podstawie sygnatur tworzonych z wykorzystaniem SHA (Secure Hash Algorithm), nazw programów oraz URL i adresów IP. Program wykrywa także zainfekowane komputery w sieci, odnotowując i blokując próby wysyłania przez spyware informacji pod znane URL lub adresy IP ośrodków spyware. Może także blokować wymianę plików P2P, powszechnie używaną do sprowadzania plików nie tylko muzycznych. Klient zajmuje ok. 12 MB RAM i nie pozostawia śladów (w postaci plików resztkowych lub zapisów w rejestrach) po operacji usuwania spyware. Administrator może konfigurować Web Security Suite-Lockdown pod kątem zapobiegania instalacji jakichkolwiek plików wykonywalnych, uzyskując tym samym pewność, że na komputerze będzie pracować jedynie zaaprobowane oprogramowanie. Program nie integruje się (poprzez SNMP) z systemem zarządzania siecią.
Spy Sweeper Enterprise firmy Webroot: centralna konsola administracyjna
Omniquad AntiSpy Enterprise firmy Omniquad wyeliminował podczas testów 86% spyware. Centralna konsola zapewnia możliwość wykonania zarówno szybkiego, jak i pełnego skanowania. Skanowanie szybkie, rejestrujące pracujące procesy i inne łatwo dostępne dane systemowe, potrzebuje kilku sekund. Obieg skanowania kompletnego, które dodatkowo wyszukuje pliki spyware i kontroluje rejestry Windows, może zabierać kilka minut. Omniquad AntiSpy Enterprise automatycznie rozprowadza agenty klienckie z centralnej konsoli. Konsola przechowuje dane o konfiguracji i rodzaju polityki w katalogach Active Directory i może generować alarmy SNMP związane ze spyware. Podczas testów Omniquad AntiSpy Enterprise usunął wszystkie elementy spyware, obejmujące pliki i pozycje rejestrów.
Okno konfiguracyjne Anti-Virus Client Security firmy F-Secure
Spy Sweeper Enterprise firmy Webroot wyłapał podczas testów 85% spyware. Do identyfikacji spyware używa sygnatur plików, w połączeniu z wykrywaniem zmian w plikach, pamięci i rejestrach. Interfejs użytkownika konsoli centralnej jest łatwy w nawigowaniu. Wykorzystanie pamięci przez agenta rezydującego na maszynie klienckiej wynosi ok. 12 MB. Na każdym kliencie rejestrowane są zdarzenia związane ze spyware, uzupełniając wysyłanie powiadomień o incydencie do serwera. Podczas testów Spy Sweeper Enterprise pozostawił pewne, nieszkodliwe, szczątkowe pliki danych. Serwer Spy Sweeper Enterprise zawiera konsolę administracyjną, bazę danych, aktualizator definicji spyware i managera agentów klientów - każdy z tych komponentów może pracować na oddzielnym komputerze. Produkt nie wysyła alarmów SNMP.
ETrust PestPatrol firmy Computer Associates: okno opcji skanowania
Enterprise Threat Shield firmy SurfControl wyeliminował podczas testów 82% spyware. Centralna konsola Threat Shield automatycznie rozprowadza agenty na komputery klienckie. Podczas sprawdzania przychodzących plików wykonywalnych każdy agent korzysta z bazy danych definicji spyware w centralnej konsoli. Definicje spyware są sygnaturami znanych kodów złośliwych. Konsola centralna zapewnia administratorowi środowisko graficzne typu "przeciągnij i upuść" przystosowane do aplikowania związanej ze spyware polityki bezpieczeństwa - indywidualnym komputerom lub ich grupom. Każda reguła tej polityki zawiera m.in. sygnatury plików wykonywalnych lub nazwy plików. Administrator wybiera akcje, które mają być podjęte w chwili pojawienia się zdarzenia związanego ze spyware - od usunięcia, po powiadomienie administratora. Raporty Threat Shield dają się łatwo dostosowywać i można je sortować wg trendów, kategorii naruszeń lub zagregowanej aktywności spyware. Raporty mogą być eksportowane do formatów PDF, Word lub Excel. Threat Shield jest szczególnie oszczędny w wykorzystaniu pamięci klienta - agent zajmuje ok. 220 do 750 KB RAM. Threat Shield pozostawia po akcji usuwania spyware niewielką liczbę pozostałości - kilka nieszkodliwych plików danych. Nie wysyła alarmów SNMP.
EnterpriSecure z technologią TruPrevent firmy Panda Software: centralna konsola administracyjna
ETrust PestPatrol firmy Computer Associates, pracujący na serwerach i klientach podłączonych do Internetu, wyłapał podczas testów 82% spyware. Automatyczną instalację agentów na desktopach wykonuje się łatwo i bezproblemowo. Z dobrze zaprojektowanej konsoli centralnej można łatwo inicjować skanowanie na żądanie, skanowanie planowane lub skanowanie w czasie logowania użytkownika do sieci. Moduł agenta po wykryciu spyware generuje alarm do konsoli centralnej, rejestruje zdarzenie i umożliwia usunięcie spyware jednym kliknięciem myszy. ETrust Patrol rozpoznaje spyware za pomocą sygnatur plików oraz URL i adresów IP. Skrupulatnie usuwa wszystkie pozostałości spyware, w tym także pozycje rejestrów. Raporty mogą być grupowane wg użytkowników, daty i czasu lub nazwy instancji spyware. Program zajmuje ok. 20 MB RAM na każdym chronionym komputerze, jeżeli włączony jest mechanizm Active Protection. Nie wysyła alarmów SNMP.
Ocena rozwiązań bramowych
Anti-Virus Client Security firmy F-Secure wykorzystuje produkt Ad-Aware firmy Lavasoft. Podczas testów przechwycił on 78% spyware i sprawdził się w bezbłędnym usuwaniu wszystkich śladów spyware, w tym plików, pozycji rejestrów i pozycji na liście startowej systemu. Instaluje się bezproblemowo, jest łatwy w użytkowaniu i dostarcza użytecznych szczegółów dotyczących prób wprowadzenia spyware, takich jak listy plików spyware, nazwy i klasyfikacja spyware, podjęte akcje usuwania, data, czas i ścieżka do pliku. AntiVirus Client Security rozpoznaje spyware na podstawie sygnatur, kluczy rejestrów Windows, pozycji w liście startowej systemu, zmian powiązań plików i prób uprowadzenia aplikacji. Zajętość pamięci wynosi 47 MB. AntiVirus Client Security może wysyłać alarmy SNMP do systemów zarządzania siecią, takich jak HP OpenView.
Fortinet FortiClient Host Security: konfigurowanie mechanizmów antyspyware w zaporze ogniowej
EnterpriSecure z technologią TruPrevent firmy Panda Software osiągnął wynik 78% wykrytych spyware. Podobnie jak Anti-Spyware Enterprise, EnterpriSecure jest przede wszystkim narzędziem kontrwywiadowczym zintegrowanym z produktem antywirusowym. Panda dostarcza moduł antyspyware także jako część zestawu produktów antywirusowych dla specyficznych środowisk, takich jak: Samba, Exchange, Domino, Sendmail, Qmail i serwery plików. Technologia TruPrevent identyfikuje spyware poprzez sygnatury i przy użyciu techniki, którą firma nazywa "skanowaniem heurystycznym i analizą behawioralną" - sprawdzając zawartość plików wykonywalnych pod kątem znanych URL i adresów IP spyware oraz monitorując działania programów na rejestrach, plikach lub modyfikacje systemu. Centralna konsola EnterpriSecure zapewnia administratorowi pełną kontrolę nad skanowaniem antyspyware i antywirusowym oraz nad rozprowadzaniem agentów. Raporty EnterpriSecure są użyteczne, ale niezbyt szczegółowe w zakresie zdarzeń związanych z usuwaniem spyware. Program zajmuje 30-40 MB RAM, w zależności od wybranych opcji. Nie pozostawia żadnych śladów po akcji usuwania spyware i chociaż nie wysyła alarmów SNMP, to może odpowiadać na kwerendy SQL dotyczące informacji o zdarzeniach związanych z usuwaniem spyware - pod warunkiem dopisania niewielkiego programu np. w Visual Basic.
Ocena rozwiązań klient-serwer
FortiClient Host Security firmy Fortinet jest osobistą zaporą ogniową, wyposażoną w mechanizmy antywirusowe i antyspyware. Może ona działać również jako klient VPN IPSec i implementuje - jako zapora ogniowa - NAT (Network Address Translation). FortiClient podczas testów unieszkodliwił 78% spyware. W celu wykrycia szkodliwych kodów, FortiClient monitoruje zmiany w rejestrach oraz nieoczekiwane dodatki do listy startowej Windows, a także porównuje przychodzące z sieci pliki wykonywalne z sygnaturami spyware. Zapewnia również scentralizowane zarządzanie polityką, a centralna konsola automatycznie rozprowadza w sieci agenty FortiClient na maszyny Windows. FortiClient wykorzystuje 20-35 MB RAM. Ta ostania wielkość oznacza włączenie wszystkich opcji (antywirus, zapora ogniowa, rozpoznawanie sygnatur i monitorowanie rejestrów i list startowych systemu). FortiClient nie pozostawia resztek spyware na chronionych maszynach. Nie emituje alarmów SNMP.
Anti-Spyware Enterprise firmy McAfee wyłapał podczas testów 76% spyware. Pakiet ten oraz VirusScan Enterprise to zestawy uzupełniające się nawzajem. Anti-Spyware Enterprise dokłada do tego tandemu funkcje skanowania: rejestrów, plików, procesów w pamięci operacyjnej i usuwanie spyware. Połączony agent użytkuje jedynie 10 MB RAM. Centralną konsolę dla Anti-Spyware Enterprise i VirusScan Enterprise zapewnia ePolicy Orchestrator. Komponent antyspyware rozpoznaje spyware (McAfee określa je mianem PUP - Potentially Unwanted Programs) na podstawie sygnatur i podejrzanych modyfikacji rejestrów oraz plików w pamięci. Podczas testów Anti-Spyware Enterprise usunął wszystkie pliki wykonywalne rozpoznanych spyware, pozostawił jednak na kliencie nieszkodliwe pliki .dat i pozycje w rejestrach. Rozprowadzanie agentów w sieci desktopów Windows wykonuje się automatycznie i szybko, a centralna konsola ePolicy Orchestrator może wysyłać alarmy SNMP.
Podsumowanie
Przy wyborze rozwiązania bramowego dla przedsiębiorstwa można rozważać zastosowanie rozwiązania Security Web Gateway firmy McAfee, które wyróżnia się najlepszą efektywnością w powstrzymywaniu spyware przed wejściem do sieci. Jeżeli potrzebna jest dodatkowa ochrona, pracująca bezpośrednio na serwerach i desktopach, to dobrym wyborem może być Omniquad AntiSpy Enterprise firmy Omniquad lub Web Security Suite-Lockdown Edition firmy WebSense.
Antyspyware - rozwiązania bramowe
Secure Content Management Appliance 4.0
(Secure Web Gateway model 3300)
Producent: McAfee
Cena: 12 995 USD + 10, 09 USD za użytkownika (licencja bazowa), dodatkowo 13,25 USD za użytkownika (licencja za moduł Web Filtering)