Spyware infiltrują przedsiębiorstwa

Gromadzenie i przetwarzanie danych za pomocą oprogramowania spyware jest zjawiskiem powszechnym. Elementem wspólnym wszystkich definicji spyware jest wskazywanie na gromadzenie informacji bez wiedzy i zgody użytkujących systemy komputerowe. Szpiegowanie systemu wiąże się z potencjalnym wyciekiem danych osobowych.

Gromadzenie i przetwarzanie danych za pomocą oprogramowania spyware jest zjawiskiem powszechnym. Elementem wspólnym wszystkich definicji spyware jest wskazywanie na gromadzenie informacji bez wiedzy i zgody użytkujących systemy komputerowe. Szpiegowanie systemu wiąże się z potencjalnym wyciekiem danych osobowych.

Trzeba tu jednak pamiętać, że programy wywiadowcze są często dołączane do rozwiązań freeware. I tutaj użytkownicy powinni liczyć się z ograniczaniem swojej prywatności, zwłaszcza że umowy licencyjne zawierają zazwyczaj klauzule o możliwości gromadzenia danych przez instalowany kod.

Spyware są bardziej niepożądane niż spam i mogą powodować poważniejsze problemy niż wirusy. Ich najbardziej łagodne wersje - zwane czasami adware - ograniczają się do wyświetlania różnych komunikatów, w tym również reklamowych, i co najwyżej konsumują niepotrzebnie zasoby komputera. Jednak wiele aplikacji spyware idzie znacznie dalej. Zawierają często mechanizm samouaktualniania, mogą zmieniać ustawienia konfiguracyjne systemu, sprowadzać i instalować dodatkowe oprogramowanie oraz uzyskiwać dostęp i ujawniać dane przechowywane w zainfekowanych komputerach lub dowolnych współużytkowanych zasobach sieciowych, do których takie komputery mają dostęp.

Agresywne warianty spyware stwarzają poważne zagrożenie dla firm, których egzystencja zależy od wrażliwych danych.

Jaką więc strategię powinno przyjąć przedsiębiorstwo, aby obronić się przed spyware? Tak jak w przypadku każdego innego problemu, który ma implikacje w sferze bezpieczeństwa, rozwiązania wywodzą się z kombinacji polityki bezpieczeństwa i technologii.

Jednym z podejść jest zrezygnowanie ze starszych wersji Internet Explorer. Większość adware i spyware pracuje jedynie w środowisku systemów operacyjnych i przeglądarek Microsoftu.

Najsłabsze ogniwo - użytkownik

Specjaliści są zgodni jednak, że spyware przenikają na desktopy przedsiębiorstwa głównie z powodu zachowań ich użytkowników. Wykorzystują wiele wektorów ataku, ale najbardziej krytyczne są furtki otwierane przez działania samych użytkowników. Jeżeli pracownik ma możliwość instalowania oprogramowania i swobodnego dostępu do Internetu, to system informatyczny przedsiębiorstwa jest w praktyce odsłonięty.

Reguły polityki powinny zapewniać, aby użytkownicy nie mogli wykonywać działań szkodliwych, takich jak instalowanie niepotrzebnych programów na swoich desktopach czy uruchamianie aplikacji współdzielenia plików, które często są schronieniem dla spyware. Skuteczna polityka zarządzania łatkami także może zapobiegać samoinstalowaniu się spyware - bez przyzwolenia użytkownika - wykorzystując luki w przeglądarce.

W opinii specjalistów to właśnie nieroztropne postępowanie użytkowników "odnosi zwycięstwo" nad ochroną i łataniem. Niewiele organizacji jest zdolnych do faktycznego wymuszania przyjętych reguł polityki. W wielu organizacjach stosuje się zapory ogniowe i rozwiązania antywirusowe, ale brak jest ochrony na poziomie aplikacyjnym. Ściślej brak ochrony na poziomie ruchu HTTP, który jest wykorzystywany przez większość spyware jako środek komunikacyjny. Zapory ogniowe tradycyjnie skupiają się na portach i czasami na protokołach, ale nie wnikają w zawartość. Co więcej, próby rozszerzenia skanowania antywirusowego w odniesieniu do HTTP historycznie nie powiodły się z powodu małej wydajności takiego skanowania i dużej liczby fałszywych rozpoznań.

Dostawcy rozwiązań antywirusowych dla przedsiębiorstw - McAfee, Sophos czy Symantec - udoskonalają w swoich produktach możliwości blokowania i usuwania spyware. Z drugiej strony oferujący specjalizowane oprogramowanie antyspyware twierdzą, że ich produkty zapewniają doskonałe uzupełnienie aplikacji antywirusowych, zapewniając skoncentrowaną ochronę przed specyficznym zagrożeniem.

Rozwiązania dla przedsiębiorstw, w odróżnieniu od produktów przeznaczonych dla użytkowników domowych, są w pełni zautomatyzowane. Spyware mogą być usuwane automatycznie lub poddawane kwarantannie.

Rozwiązania dla przedsiębiorstw umożliwiają administratorom dostrajanie ochrony antyspyware drogą definiowania list aplikacji, które użytkownicy mogą instalować lub uruchamiać na swoich desktopach. Aplikacje te mogą także uodparniać sieci, automatycznie blokując instalacje znanych już spyware.

Standaryzacja próbek oraz metodologii analizowania spyware

Dostawcy rozwiązań ochronnych od dłuższego czasu wymieniają się próbkami i analizami wirusów, co ujednolica sposób ich identyfikacji. Podejmowane są też próby zastosowania podobnych procedur w odniesieniu do spyware, które mogą przybierać różnorodne formy - od rejestratorów klawiatury, po kontrowersyjne adware.

Firmy McAfee, Symantec, , ICSA Labs i Thompson Cyber Security Labs planują wspólne opracowanie metodologii definiowania i dzielenia się próbkami spyware. Wspólna struktura nazewnictwa może w końcowym efekcie ułatwić użytkownikom produktów antywirusowych rozpoznanie zakresu ochrony zapewnianej przez dany produkt. Pozwoli też na łatwiejsze komunikowanie nowych zagrożeń.

W wyniku tej współpracy firmy i klienci indywidualni będą mogli korzystać z recenzji produktów opartych na kryteriach niezależnych, wykorzystujących wspólne standardy używane w środowiskach testowych i podczas wykrywania spyware.

Obecnie w praktyce nie istnieją sposoby porównania produktów oferowanych przez dostawców oprogramowania antyspyware. Zastosowanie standardowych metod pomiarowych podczas oceny efektywności oprogramowania różnych producentów oraz przyjęcie wspólnych standardów w badaniach nad próbkami szkodliwego oprogramowania pozwoli na ujednolicenie sposobów ich oceny w całej branży.


TOP 200