2005年对企业网络的最大威胁是什么?处于第一线的IT经理和安全公司认为间谍软件将成为他们的头号公敌。
"如今,在检查病毒之前,我们通常会先扫描间谍软件。"-- Dave Higgins, Saturn Electronics & Engineering
Saturn Electronics & Engineering是底特律的制造业外包服务提供商,是在去年的夏天开始发现问题的。公司的500个用户注意到有时候网页浏览的速度很慢,非常慢。IT经理Dave Higgins开始怀疑是病毒行为,但是通过手动扫描后没有发现任何病毒。然后,他使用了Lavasoft公司的Ad-Aware进行扫描,并且发现了问题的症结:间谍软件。一旦删除了这些软件,系统马上恢复了正常状态。
"如今,在检查病毒之前,我们通常会先扫描间谍软件。" Higgins表示,"目前,我们通常会看到Bargain Buddy、GAIN、b3d projector、Gator、n-Case、SaveNow、Search Toolbar、Webhancer、以及Search Assistant。"
今年,首先删除间谍软件将成为标准操作程序,企业报告间谍软件事件的数字在最近几个月中急剧上升,并且许多IT部门已经接到下流的骚扰电话。通常这种情况与没有保护的家用PC相关,所以,间谍软件将很快成为企业最令人头痛的安全问题。
一个难以置信的问题
Southwire是个生产有线以及效用电缆的公司,共有2500个员工,在过去的18个月中,其中70%的用户都曾经遭受某种形式的间谍软件的侵扰。根据高级网络管理员Time Powers(卡罗敦的GA公司的员工)的意思,"对于桌面支持员工来说,间谍软件将成为一个越来越大的问题。"他表示。
对于位于格林斯博罗(美国北卡罗来纳州中北部城市)的Time Warner Cable 公司来说,他们也遇到了所有类似的情形。"我们遇到了各种各样的间谍软件问题。"拥有450个本地用户的信息技术服务主管Sanjeev Shetty表示,"在我们的一个PC上,曾经有1400个间谍软件。" Shetty估计,他的员工每周要处理8到10个与间谍软件相关的事件。"要修正这些问题,大约需要两个小时到一天的时间。由于员工数量有限,因此这种工作真的很占用资源。"
间谍软件还对其他的机构提出了挑战。在位于纽约Poughkeepsie的Marist学院,根据该校ResNet部门分析师Dave Hughes 的意思,IT部门花费了大约90%以上的资源来处理间谍软件和与之相关的问题。"总体说来,ResNet花费了几千个小时来扫描间谍软件并且需要使用其他的工具来删除这些间谍软件。"他表示。
"这是一个令人难以置信的问题。" Marist的运营和ResNet的经理Kathleen LaBarbera补充道,"在PC上的间谍软件与在PC上有病毒有同样的危险。大多数的PC用户都听说过间谍软件,但是他们并不是真的知道间谍软件是什么,或者间谍软件能够作什么。"
你认为间谍软件是广告软件、恶意软件还是木马?
许多分析师和管理人员都认为间谍软件的影响在不断上升,但是有关间谍软件的定义却是让人不易理解。常见的保护解释(umbrella term )是指范围广泛的不道德软件,从不易卸载的工具条到主页劫持以及弹出式窗口生成器等等。在安全公司WatchGuard Technologies实施的针对安全管理员和IT经理的一项新的调查中,50%的回应者表示,绝大多数的用户并不知道什么是间谍软件。
三分之二的回应者表示,他们感觉对于间谍软件的防护要比对欺骗或者病毒的防护要少。在WatchGuard的调查中,并且有67%的的IT专业人士抱怨:认为在2005年,对他们的网络来说,间谍软件是最大的安全威胁。
这个问题是这样的严重,以致于微软开始在操作系统层面与其展开斗争。在2004年发行的Windows XP SP2中,该公司对因特网浏览器进行了新的改进,增加了一个弹出式窗口拦截器,并且给用户提供了一个更为强壮的防火墙。在一月份的早些时候,微软发布了Windows2000、XP和Server 2003的Windows AntiSpyware。该软件是由Giant 软件公司生产并重新贴牌的实用软件,Giant公司在去年年末被微软收购。该软件包承诺不仅可以发现和删除间谍软件,还可以实现实时保护(许多其他的免费实用软件只能手动删除)。目前该软件还是一个beta版本,Windows的反间谍软件在今年的七月份以前是免费的,微软希望到那时能够对该软件和服务进行收费。
Firefoxd的解决方案
剩下的事情就是看一看在微软的这些努力之后,他们是否能够留住用户,使得这些用户不会向Mozilla 的Firefox迁移。开放源代码浏览器的部分吸引力在于它有较好的声誉,因为与IE相比较而言,开放源代码具有更好的防间谍软件的能力。由于考虑到兼容性问题,与个人用户相比较而言,公司用户改变浏览器的速度要慢的多,但是许多IT部门正在密切注意Firefox。
"我们已经对Firefox的浏览器进行了安全评估,我们认为该浏览器是一个比较安全的浏览器,能够帮助我们阻止所有的恶意软件的感染。" Saturn Electronics.的Higgins表示,"目前,在我们的局域网内,大约有90%的用户使用的是Firefox浏览器。"
"一直以来,IE都是容易受到攻击的,一方面的原因可能是它有很大的用户群,另一方面的原因是微软编写的代码质量太差。"Hughes表示,"在Marist这儿,我们建议用户只是使用IE来完成它所特有的任务,如Windows的更新,而使用Mozilla的Firefox浏览器来进行其他的浏览工作。"
由于目前的间谍软件攻击甚至可能是来自于那些看起来是最没有问题的软件,所以企业可能决定使用相应的套件。来自Panda软件公司的安全研究人员最近发现了一些特洛伊木马--这些程序可以让外部的攻击者可以更改用户的计算机,包括加载其他间谍软件--利用了微软Windows媒体播放器内置的DRM(数字版权管理)技术。在用户试图下载一个由WMP请求的许可时,特洛伊木马将重新定向浏览器,将其指向使用大量间谍软件攻击用户系统的网站。