Eliminacja programów wywiadowczych

Spyware mają niektóre cechy wspólne z trojanami, więc tradycyjni dostawcy programów antywirusowych mogą deklarować ochronę przed nimi. W znaczącej części są one jednak zdolne do przenikania przez zapory ogniowe i tradycyjne programy antywirusowe interpretujące tradycyjne zachowania są bezużyteczne w takich sytuacjach. Na rynku funkcjonuje pewna liczba produktów projektowanych specjalnie do walki z programami wywiadowczymi - przeznaczone są one jednak w większości dla desktopów domowych. Idealne narzędzie antyspyware powinno wykrywać wszystkie programy wywiadowcze, identyfikować wszystkie pliki i zapisy w rejestrach związane z tymi programami oraz bezpiecznie usuwać ich wszystkie ślady i pozostałości. W sieci przedsiębiorstwa idealne narzędzie oferuje także centralną konsolę, przez którą administrator może łatwo "dezynfekować" komputery klienckie. Jest łatwe do instalowania i wdrażania oraz automatycznie uaktualnia listy swoich sygnatur. Wyświetlanie stanu i raporty dają szybki i dokładny obraz tego, jak niebezpieczne spyware funkcjonują w sieci firmowej. Dobre narzędzie powinno także dodatkowo usuwać trojany, dialery i inne szkodliwe programy.

Antyspyware dla firmowej sieci

Wydania dla sieci przedsiębiorstw, odmiennie niż produkty antyspyware do użytku domowego, są w pełni zautomatyzowane. Spyware mogą być usuwane automatycznie lub poddawane zdalnie kwarantannie. Produkty te mogą być dostrajane przez definiowanie list bezpiecznych aplikacji, które mogą być instalowane lub uruchamiane przez użytkowników - mechanizm niedostępny na razie w produktach antywirusowych. Mogą też być specyfikowane dozwolone typy cookies. Aplikacje te mogą także automatycznie blokować w sieci instalację znanych spyware. Ponieważ dla jednego użytkownika dany program może być aplikacją wywiadowczą, a dla innego użyteczną, każda firma może konfigurować autoblokowanie wg własnych potrzeb.

Jako przykładowe rozwiązania sieciowe, służące eliminacji programów wywiadowczych ze środowiska sieci firmowej, szerzej prezentujemy eTrust PestPatrol Corporate Edition z Computer Associates i SpyCatcher Enterprise firmy Tenebril.

ETrust PestPatrol Corporate Edition 5.0

Firma PestPatrol została w ub.r. przejęta przez Computer Associates, a jej produkty włączone do ogólnej strategii ochrony CA, znanej jako eTrust Threat Management.

Edycja korporacyjna została zaprojektowana dla środowisk sieciowych i umożliwia administratorom instalację, zarządzanie oraz obsługę eTrust PestPatrol Anti-Spyware z centralnej konsoli, chroniąc tym samym wiele oddalonych od siebie komputerów.

Rozwiązanie korporacyjne PestPatrol zawiera scentralizowane zarządzanie klientem i uaktualnieniami, z intuicyjnym GUI, a także proste podejście do ochrony przed programami wywiadowczymi. CA planuje również integrację programu antyspyware z antywirusową konsolą zarządzania.

Po instalacji konsola zarządzania pozwala na przeglądanie domeny i komputerów w sieci, dokładnie identyfikujące ustawienia sieciowe, ujawniając komputery w domenie.

Instalację klienta wykonuje się poprzez wysyłanie go z konsoli do stacji. Administrator wybiera żądaną maszynę i klika na przycisku Scan Now. Jeżeli klient jest już zainstalowany, skanowanie startuje natychmiast. W przypadku braku klienta jest on instalowany na stacji roboczej bez wyraźnego śladu - brak jest aplikacji, która musi być uruchamiana po stronie użytkownika końcowego.

Mechanizm wymaga, aby użytkownik był zalogowany do serwera, na którym pracuje konsola PestPatrol, i miał uprawnienia administratora na kliencie PC. W przeciwnym razie instalacja klienta kończy się niepowodzeniem. Wszystkie funkcje związane z klientem - umożliwiające ochronę w czasie rzeczywistym, uaktualniające motor klienta i ustawiające reakcje na wypadek wykrycia zagrożenia - są dostępne z konsoli. Administrator może wybrać rejestrację, usunięcie lub kwarantannę programów szkodliwych, wykrytych podczas interaktywnego lub planowanego skanowania. Może on także określić, czy ma być skanowana pamięć, cookies, rejestry, dyski twarde czy specyficzne ścieżki.

Dostępny jest także plik wyłączający pozwalający administratorowi na ignorowanie podczas skanowania specyficznych pozycji, takich jak narzędzie zdalnego administrowania czy autoryzowane programy ochronne. Nie można jednak dodawać nowych aplikacji do bazy danych PestPatrol (jest to możliwe w SpyCatcher).

eTrust PestPatrol Anti-Spyware oferuje dwa rodzaje skanowania. Pierwszy z nich - Quick Scan - pozwala na przeszukanie tylko tych obszarów, które są typowe dla oprogramowania wywiadowczego. Opcja ta może być stosowana, wtedy gdy wiadomo, że komputer jest atakowany przez spyware i trzeba szybko rozwiązać problem. Natomiast opcja Custom Scan może być zastosowana do dokładnego przeszukania wszystkich obszarów komputera (w tym dodatkowych dysków), tak aby wykryć wszystkie programy spyware wraz z ich śladami, chociaż w dłuższym czasie.

PestPatrol zużywa tylko 7 MB pamięci, ale podczas operacji skanowania jej zużycie wzrasta do 34 MB, a zajętość CPU prawie do 100%. Odmiennie niż omówiony dalej SpyCatcher, PestPatrol nie ma możliwości ustawiania progu maksymalnego użytkowania CPU, co oznacza, że może w praktyce całkowicie obciążyć komputer podczas skanowania.

Zarządzanie wykrytymi programami z konsoli PestPatrol jest łatwe. Po wybraniu komputera w domenie, pojawia się lista wykrytych programów. Kliknięciem można taki program usunąć lub poddać kwarantannie. PestPatrol sprowadza uaktualnienia bazy danych na konsolę, skąd rozprowadzane są ręcznie lub według harmonogramu do klientów. (SpyCatcher wymusza na każdym kliencie sprowadzanie uaktualnień bezpośrednio z Internetu.) Uaktualnienia PestPatrol mogą być czasami bardzo duże, tak więc wykonywanie pojedynczego sprowadzenia do centralnej konsoli oszczędza pasmo dostępowe do Internetu.

Z drugiej strony raportowaniu PestPatrol brakuje pewnych mechanizmów. Konsola zarządzania tworzy raporty tekstowe pokazujące nazwy stacji roboczych, datę, czas, wykryte programy oraz podjęte akcje. Brak jest także zaawansowanego rejestrowania zdarzeń, takich jak syslog serwerowy, ale po wykryciu spyware można wysyłać pocztą elektroniczną powiadomienie do administratora.

Konsola zarządzania jest łatwa w nawigowaniu i wystarczająco elastyczna w określaniu tego, co i jak można skanować w różnych sytuacjach.