оригинал: http://www.computerpress.ru/Archive/CP/2005/4/3/ Сравниваем три продукта для поиска шпионских программ на предприятииШпионское программное обеспечение представляет собой растущую угрозу для предприятия. С помощью шпионских программ посторонние лица могут узнать важную информацию о компании и ее клиентах. Шпионские программы не только снижают скорость работы компьютера, но и пересылают конфиденциальную информацию злоумышленникам без ведома жертвы. Вирусы и черви заражают и портят единственный файл, и обнаружить и удалить их сравнительно просто, тогда как «шпионы» гораздо более коварны и часто устанавливают свои компоненты незаметно для владельца компьютера. Авторы шпионских программ искусно маскируют их, например под безобидные вспомогательные панели для Microsoft Outlook, которые позволяют добавлять выразительные пиктограммы, а в фоновом режиме отслеживают сообщения электронной почты. «Шпионы» собирают самые разные сведения, от содержимого файлов в компьютере до контактной информации электронной почты и адресов посещаемых пользователем Web-узлов. Шпионские программы могут даже регистрировать нажатия на клавиши, делать снимки экрана, перенаправлять браузер на нежелательные сайты или нарушать работоспособность компьютера.
Многие поставщики программ безопасности выпускают средства для поиска и удаления шпионского программного обеспечения. В данной статье сравниваются три автономных продукта для борьбы со шпионажем на предприятии. Речь пойдет о характеристиках, которые следует учитывать при выборе продукта. Во врезке «Недостатки пакетов» рассказано о типичных недостатках, свойственных решениям, в которых объединены комплексные и автономные программы.
Тестирование продуктов
Продукты, представленные в данном обзоре, обнаруживают и удаляют только шпионское программное обеспечение, но не вирусы, поэтому для работы с любым из этих продуктов приходится приобретать определенный антивирусный пакет. Из автономных инструментов можно собрать более надежный пакет, нежели интегрированное решение, так как они ориентированы исключительно на поиск «шпионов», а не на решение нескольких задач. Некоторые поставщики антивирусных программ утверждают, что с помощью их антивирусных алгоритмов можно обнаружить некоторые варианты программ-шпионов, но, по моим наблюдениям, они уступают автономным продуктам.
Эффективность средств для борьбы со шпионскими программами зависит от функциональных возможностей механизма обнаружения, а также аккуратности и своевременности обновлений — не только для поиска новых «шпионов», но и для исключения ложных положительных срабатываний, свойственных предшествующим версиям. В продукте должна быть предусмотрена возможность автоматической загрузки новых сигнатур по расписанию. Большинство компаний, в том числе те, чьи продукты представлены в данном обзоре, предоставляют новые сигнатуры через службу подписки с ежегодной платой за обслуживание.
В статье рассмотрены Counter-Spy Enterprise компании Sunbelt Software, Trend Micro Anti-Spyware Enterprise Edition и Webroot Spy Sweeper Enterprise. Продукты, предназначенные для средних и крупных предприятий с числом рабочих мест не менее 50, располагают такими функциями, как централизованная настройка конфигурации, дистанционное развертывание и управление клиентами, подготовка отчетов и рассылка предупреждений. Сравнительные сведения о важнейших характеристиках продуктов приведены в таблице .
Для данного обзора я сравнивал удобство эксплуатации и эффективность поиска и удаления шпионских программ. В ходе тестирования проводилось развертывание агентов, сканирование удаленных клиентов и устранение всех обнаруженных угроз.
В качестве тестовой системы использовался компьютер Windows XP Service Pack 2 (SP2) со всеми исправлениями для системы безопасности. В систему были загружены разнообразные шпионские и рекламные программы, в том числе программы захвата модема (dialers), перенаправления браузера (hijackers) и системные шпионы, такие как регистраторы нажатий на клавиши (keyloggers). Для тестирования использовались шпионские программы abcsearch4u, панель инструментов 550Access, Track4Win, pinfo dialer, FindWhateverNow, CoolWeb search, Chat Blocker, Activity Monitor 2002, SpyBuddy, DialerClub и Mysearchpage.
Из централизованной консоли каждого продукта антишпионажа я сканировал зараженный клиентский компьютер, чтобы выяснить, насколько успешно продукт обнаруживает и удаляет вредителей. Затем я перезагружал зараженную систему и использовал тот же продукт для повторного сканирования.
Все три продукта блокировали все шпионские программы на тестовой системе. Spy Sweeper обнаружил и незаметно удалил все опасные программы. После перезагрузки функция защиты в реальном времени продукта CounterSpy разукрасила консоль как рождественскую елку, предотвращая множество попыток повторного заражения. Инструмент Trend Micro предложил перезапустить клиентский компьютер, чтобы полностью очистить его; в сообщении содержалось указание на возможность очистки блокированных файлов. Только продукт Trend Micro выдал приглашение выполнить перезагрузку, но для полной очистки системы любым продуктом потребовалось перезагружаться несколько раз.
CounterSpy Enterprise
CounterSpy Enterprise компании Sunbelt Software обеспечивает централизованный поиск шпионских программ и защиту в реальном времени при невысокой цене. Для доступа из главного экрана к любой функции для управления агентами, политиками, карантином и отчетами достаточно несколько раз щелкнуть мышью. Консоль на базе Win32 проста в использовании, но, похоже, ориентирована на управление небольшим числом клиентов и лишена некоторых функций, полезных для корпоративного продукта. Например, только один пользователь может одновременно обращаться к консоли через Terminal Services. Если подключить две консоли к одному серверу, то изменения, выполненные из одной консоли, не отражаются в другой.
Для управления удаленным агентом используются настраиваемые политики. Можно составить одну или несколько политик и назначить им различных агентов в соответствии с потребностями компании. Например, можно чаще проверять интенсивно используемые рабочие станции и назначить «быструю» политику сканирования, которая не снижает производительности серверов. Удобная функция — возможность выбирать между двумя типами сканирования, «быстрым» (quick) и «глубоким» (deep). Параметры сканирования любого типа можно настраивать, например задавать глубину просмотра папок, проверку процессов, поиск следящих файлов-маяков и следов шпионского программного обеспечения в реестре.
CounterSpy обнаруживает множество угроз и группирует их по 40 категориям, таким как рекламное программное обеспечение, программы обмана браузера, захвата модема и регистраторы нажатий на клавиши. База данных опасных программ доступна с административной консоли, что позволяет быстро анализировать угрозы. В консоли приведена ссылка на исследовательскую лабораторию CounterSpy, откуда можно получить подробные сведения о типе угрозы, описание и советы по защите. Помимо собственной группы специалистов и общественной сети оповещения о шпионах, компания Sunbelt использует сигнатуры «шпионов» из программы Microsoft Windows Defender (в прошлом Microsoft Windows AntiSpyware beta). В политиках можно указать белый список приемлемых, не таящих серьезной опасности программ, которые могут быть даже полезны, например рекламные файлы-маяки для доставки целевой рекламы. Выдающийся компонент пользовательского интерфейса CounterSpy — функции сортировки и группировки данных, особенно полезные при просмотре больших объемов данных, например списка угроз. В этом случае возможность разбить информацию на категории действительно упрощает задачу.
Как и для других продуктов в данном обзоре, для CounterSpy необходимо развернуть агентов на каждом клиентском компьютере. Компьютеры для мониторинга можно выбрать с помощью Active Directory (AD), путем просмотра сети или указав имена либо IP-адреса систем, а затем установить программу с использованием автоматизированной процедуры «передачи и загрузки». Иначе можно распространять агентов вручную или с применением Group Policy, сценариев регистрации либо продукта развертывания пакетов от независимого поставщика.
Пользователям можно разрешить запускать сеансы проверки, записывать данные в локальные журналы, спрятать или поместить на панель инструментов пиктограмму агента, установить частоту обновления программы и сигнатур шпионских программ. После установки на экран выводится минимальный пользовательский интерфейс агента. Если пиктограмма на панели задач активизирована, можно определить, выполняется ли в данный момент проверка. Щелчком правой кнопки можно запустить сеанс проверки и отменить изменения, внесенные в компонент Active Protection.
Active Protection — компонент мониторинга почти в реальном времени, который состоит из многих централизованно активизируемых мониторов (экран 1). Благодаря этим мониторам конечный пользователь может выполнять рискованные операции, например установить элементы управления ActiveX и вспомогательные модули браузера либо редактировать HOSTS-файл. В отличие от подробных сведений в базе данных «шпионов», в продукте не описано назначение каждого монитора, и пользователю приходится обращаться за дополнительной информацией к документации.
По умолчанию каждая политика просто сообщает о шпионских программах, что позволяет увидеть обнаруженные продуктом угрозы. После нескольких сеансов сканирования пользователь может пожелать повысить уровень защиты до Quarantine или Delete. В режиме Quarantine потенциальные угрозы помещаются в специальный репозитарий, из которого их можно извлечь позже, когда выяснится, что они не представляют опасности. В CounterSpy можно назначить различные действия для каждой категории «шпионов». Например, можно удалить рекламные программы и регистраторы нажатий на клавиши, но отправить в карантин модули расширения для браузера. Однако управлять шпионскими программами в карантине неудобно, поэтому для такой категории, как файлы-маяки, которые генерируют множество угроз, лучше обойти карантин и использовать режим Delete.
В CounterSpy Enterprise имеется семь шаблонов отчетов, которые можно настраивать по дате. Интерпретировать данные следует особенно внимательно, так как в отчетах, похоже, представлено несколько случаев отдельных угроз, обнаруженных за один период времени. Рассмотрим эту особенность программы подробнее. Если проверить компьютер 10 раз и в каждом сеансе будет обнаружена одна и та же угроза, то в отчете будет представлено 10 экземпляров программы-шпиона. Одна угроза должна учитываться только один раз. Для генерации отчетов используется механизм Crystal Reports с дополнительными функциями, в том числе повышенной детализацией. Можно экспортировать отчеты в формат файла Adobe PDF, электронной таблицы Microsoft Excel или в документ Microsoft Office Word.
В CounterSpy не хватает такого компонента, как динамическая панель управления, в которой отображается «шпионская» картина сети. Динамическая панель управления позволяет действовать напрямую и даже отменять параметры политики — например, отправить в карантин обнаруженную угрозу или удалить вредителя, направленного в карантин во время предыдущего сеанса. В некоторых случаях можно выделить несколько элементов, например при очистке карантина. В малых сетях такие недостатки не доставляют ощутимых неприятностей, но на крупном предприятии масштаб проблемы резко возрастает.
Trend Micro Anti-Spyware Enterprise Edition 3.0.
Системные администраторы почувствуют себя в знакомой обстановке, управляя инфраструктурой Trend Micro Anti-Spyware Enterprise Edition (ASEE), в которой в качестве внешнего прикладного сервера используется Microsoft IIS или серверная Web-служба Apache, а в качестве внутренней базы данных — MySQL. Благодаря их использованию упрощается интеграция продукта в сетях крупных компаний, уже знакомых с этими технологиями.
Сотрудники малых офисов и дотошные администраторы могут предпочесть детализированные функции других продуктов, зато ASEE понравится администраторам, нуждающимся в продукте, о котором после установки можно забыть. ASEE — автономный продукт, но он совместим с корпоративной инфраструктурой Control Manager компании Trend Micro. Недостаток ASEE заключается в том, что некоторые функции, такие как уведомление об опасности, предоставляются только через инфраструктуру Control Manager.
Процедура установки занимает всего несколько минут, после чего можно приступать к созданию политик, управлять клиентами, запускать сеансы сканирования. Все эти операции выполняются из браузера. Благодаря использованию браузера административную консоль можно запустить из любого места сети, но Web-окно управления ASEE кажется устаревшим по сравнению с графическим интерфейсом других продуктов в данном обзоре. Например, при каждом щелчке на элементе браузер обновляется и навигация замедляется. К сожалению, нельзя открыть контекстное меню щелчком правой кнопки и переносить элементы с помощью мыши.
Поведение клиентской системы определяется политиками, назначаемыми администратором. Можно указать способы установки и обновления клиента, определить тип и время запуска сканирования, задать режим автоматического удаления угроз. В ASEE можно определить один тип сканирования для каждой политики — «быстрый» или «полный» — и составить расписание сеансов проверки (один раз или повторно в течение недели, а также при начальной загрузке). Процедуру проверки можно запустить вручную в любой момент и устранять угрозы, щелкая кнопкой мыши. После сканирования можно составить белый список программ, которые не следует удалять.
На вкладке My Enterprise Network в административной консоли представлен фильтруемый список серверов, защищенных ASEE, и общая информация о состоянии сети, в том числе о клиентах и угрозах. После завершения сканирования на этой вкладке красным цветом отображается число обнаруженных «шпионов». Получить более подробную информацию о них не составляет труда.
По щелчку на кнопке Clean All Threats программа ASEE передает клиентам команду ликвидировать угрозу в соответствии с указанными в политике параметрами. В частности, можно исключить из рассмотрения указанное шпионское программное обеспечение либо провести полный или быстрый поиск. Если по ошибке был удален объект, который в действительности был нужным файлом-маяком или приложением, операцию удаления можно отменить, восстановив систему в состояние, соответствующее контрольной точке. При восстановлении список конкретных компонентов удаленного шпионского программного обеспечения не приводится, хотя имеется перечень сеансов сканирования, но по нему тоже сложно судить о программах, удаленных в каждом сеансе.
Механизм Trend Micro для защиты в реальном времени называется Venus Spy Trap (VSP). VSP предотвращает установку и запуск шпионских программ. VSP можно централизованно настроить на разрешение или блокирование запуска исполняемых файлов, сигнатура которых соответствует известным «шпионам», либо предоставить решение пользователю, но этим возможности настройки и ограничиваются. Размеры клиентской программы невелики, и для конечного пользователя она невидима. Единственное свидетельство о работе клиентской программы — процесс в Task Manager и журнал активности в папке Trend Micro. Все задачи по управлению, такие как запуск сеансов сканирования, должны выполняться из административной консоли. При очистке клиентского компьютера иногда требуется перезапустить систему, если это необходимо для удаления «шпиона». Другие продукты в данном обзоре не предлагают перезапустить компьютер, даже если это нужно для полного удаления шпионской программы.
Отчеты ASEE минимальны: в четырех отчетах на базе Java показаны диаграммы текущих угроз, список обнаруженных опасностей, удаленные вредители и список имеющихся доменов. На экране 2 показан отчет об удаленных «шпионах». Отчеты содержат данные о «шпионах», найденных в ходе последнего сеанса сканирования, и напоминают панель управления, но без функции детализации. Интерфейс отчетов ASEE обеспечивает доступ к журналу событий, в котором собраны результаты сканирования и история событий для каждого клиента. Благодаря кнопке Power Search упрощается фильтрация обширного списка событий.
Очень удачна функция автоматической установки, которая регулярно опрашивает контроллер домена (DC) о новых компьютерах и автоматически пересылает программу-клиента на новые системы. В результате администратору не приходится прибегать к другим методам установки. С помощью административной консоли ASEE можно также просмотреть домен, добавить клиентов в базу данных, а затем развернуть клиентов. Однако ASEE не создает специализированных пакетов развертывания для ручных и сценарных операций. Вместо этого необходимо настроить типовой пакет установки с использованием параметров сервера, таких как IP-адрес сервера ASEE, и управлять каждой лицензией отдельно. В результате дистанционное развертывание на автономных рабочих станциях оказывается сложнее, чем в других продуктах данного обзора.
Webroot Spy Sweeper Enterprise
Webroot Spy Sweeper Enterprise компании Webroot Software располагает разнообразными достоинствами: панелью управления для быстрого доступа к информации о шпионских программах на предприятии; сканированием по расписанию; автоматической защитой с использованием элементов Smart Shields; полнофункциональным, централизованно управляемым клиентом; инструментарием командной строки для расширения возможностей продукта с помощью сценариев.
Административная консоль функционирует как Web-служба, поэтому обращаться к ней можно с любого компьютера в сети, но ее внешний вид отличается от типичной Web-страницы. Красивый интерфейс хорошо организован. Одного взгляда на панель управления достаточно, чтобы увидеть проигнорированные сеансы сканирования (sweep, по терминологии Spy Sweeper); устаревшие определения; текущие заражения и список основных «шпионов» в сети предприятия. К большому сожалению, нельзя получить более детальную информацию об этих показателях панели управления, но данные можно экспортировать в файл с разделением запятыми (CSV) для обработки в других программах. Пользовательский интерфейс навигационной панели напоминает показанную на экране 3 привычную для администраторов Microsoft Management Console (MMC). Административная консоль предоставляет различную информацию о выполняемых действиях. Так, во время сеансов сканирования и других операций Spy Sweeper выводит шкалу хода исполнения и счетчик элементов, и пользователь может получить точное представление о происходящем и времени завершения сеанса.
Процедура развертывания клиентов проста, но с административной консоли установить их можно только на компьютерах, доступных по NetBIOS. Клиентов можно развертывать с помощью Group Policy, непосредственно из общего раздела диска, либо вручную, запустив программу установки клиента на каждом компьютере с использованием сценария регистрации.
Spy Sweeper управляет различными клиентскими конфигурациями через членство в группах, организованных администратором. Для каждой группы можно назначить длительность содержания угроз различных категорий в карантине, внести полезные программы в белый список, запускать сеансы сканирования, настраивать параметры Smart Shield. По умолчанию файлы содержатся в карантине 30 дней, а затем автоматически удаляются. Такой режим обеспечивает страховку на случай, если Spy Sweeper удаляет нужный файл или параметр, и одновременно избавляет от необходимости удалять каждого вредителя вручную.
Большинство связанных с клиентом компонентов настраиваются централизованно из административной консоли, но можно предоставить конечным пользователям право изменить настройки. На уровне группы можно назначить расписание проверок и действия Spy Sweeper при начальной загрузке — например, следует ли повторить пропущенную проверку, перенести время начала сеанса на более поздний срок или сканировать только уязвимые для «шпионов» папки. Помимо проверок накопителей, папок, памяти и реестра, можно сделать Spy Sweeper невидимым, вывести пиктограмму в панели задач или всплывающее окно в ходе сеанса. Если программа видима, то полнофункциональный клиент показывает настройки локального экземпляра и даже позволяет изменить их «на ходу». Многие администраторы запрещают пользователям изменять конфигурацию, но Spy Sweeper предоставляет им, как и сотрудникам службы поддержки, возможность отменить это ограничение с помощью одного нажатия клавиши и пароля, введенного на клиенте. Благодаря такому мгновенному доступу упрощается и ускоряется диагностика локальных неисправностей.
Элементы Smart Shields обеспечивают защиту клиентов в реальном времени, препятствуя попыткам шпионских программ воздействовать на различные компоненты системы. Например, наряду с блокированием рекламных сайтов и установкой «шпионов», Spy Sweeper располагает элементами Smart Shields для защиты памяти, альтернативных потоков данных, HOSTS-файла и программ, запускаемых в ходе начальной загрузки. Конечные пользователи могут не подозревать о существовании Smart Shields, но если пользователь неосторожно попытается установить шпионскую программу, то элементы защиты скрыто остановят ее.
Spy Sweeper работает в замечательно организованном браузере. Например, можно переместить любой созданный объект с помощью мыши к другим объектам, чтобы передавать различные типы оповещений, ошибки пересылки, уведомления и информацию на один адрес электронной почты, а предупреждения о шпионской угрозе — на другой. Аналогично, щелкая правой кнопкой мыши на объектах, чтобы отобразить дополнительные меню, можно выбрать несколько объектов с помощью клавиши Shift или Ctrl. Spy Sweeper производит впечатление мощного приложения, даже при работе с удаленного компьютера только через браузер. Кроме того, все административные действия заносятся в журнал, который хранится в течение заданного периода времени, что упрощает аудит действий нескольких администраторов.
В Spy Sweeper имеется девять шаблонных отчетов, в том числе о тенденциях шпионажа, самых распространенных шпионах, статусе заражения, особенностях шпионских программ, зараженных системах и предыстории. Отчеты можно вывести на экран в виде диаграмм или записать в PDF-файлы. Кроме того, продукт располагает несколькими инструментами командной строки для обработки отчетов в командных файлах или плановых заданиях Windows.
Лучший из трех
Выбор автономного решения для борьбы со шпионским программным обеспечением, как правило, означает, что на настольных системах придется разместить еще одного клиента, но возможности автономных продуктов часто шире, чем интегрированных. На мой взгляд, лучшее из трех корпоративных решений для борьбы со шпионскими программами — Webroot Spy Sweeper Enterprise. Его выдающиеся достоинства — детализированные функции, защита в реальном времени, полный клиентский интерфейс, панель управления отчетами и внешний инструментарий командной строки.
Джеф Феллинг - Директор по информационной безопасности компании Quantive. Автор книги IT Administrator’s Top 10 Introductory Scripts for Windows (издательство Charles River Media). jeff@blackstatic.com
Недостатки комбинированных пакетов
В основной статье рассмотрены три автономных продукта для борьбы со шпионажем, ориентированные на средние и крупные предприятия. Многие другие поставщики объединяют программы антишпионажа в одном продукте с другими компонентами. Например, помимо функций обнаружения шпионских программ, в состав LANDesk Security Suite входят инструменты для блокирования попыток соединений с сетью с незащищенных компьютеров, средства поиска уязвимых мест и анализа и мощные функции управления исправлениями. В исчерпывающем комплексе F-Secure Anti-Virus Client Security вместе с программой антишпионажа реализован клиентский брандмауэр, антивирусная программа и компоненты для обнаружения несанкционированного доступа.
Однако общий недостаток комбинированных пакетов — невозможность выборочного использования компонентов пакета. Например, если ранее было развернуто автономное антивирусное решение от одного поставщика, то нельзя использовать только функции антишпионажа встроенного клиента антивирусной/шпионской защиты из пакета другого поставщика, не удалив предварительно существующий антивирусный продукт.
CounterSpy Enterprise 1.5
Достоинства: простые процедуры настройки и сканирования за счет графического интерфейса; благодаря совместимости с AD упрощается составление списков клиентов; простая процедура установки клиентов.
Недостатки: из-за отсутствия панели управления затрудняется общий анализ после сеанса сканирования; суммирование в отчетах сведений об угрозах, полученных в разных сеансах сканирования, может ввести в заблуждение; неудобные процедуры управления карантином.
Оценка: 3,5 из 5.
Цена: 1800 долл. для 100 рабочих мест; 11 тыс. долл. для 1000 рабочих мест.
Рекомендации: удачный выбор для предприятий, ограниченных в средствах.
Контактная информация: Sunbelt Software http://www.sunbeltsoftware.com.
Trend Micro Anti-Spyware Enterprise Edition 3.0
Достоинства: после настройки можно запустить продукт, не затрачивая более усилий на его обслуживание; компактная консоль на базе браузера доступна из любого узла сети.
Недостатки: отсутствие обратной связи на клиентском уровне о событиях, происходящих в фоновом режиме; мало клиентских параметров, настраиваемых с сервера; недостаточно развитый графический интерфейс на базе Web.
Оценка: 4 из 5.
Цена: 1645 долл. для 100 компьютеров; 9450 долл. для 1000 рабочих мест.
Рекомендации: продукт для предприятий, нуждающихся в надежном механизме обнаружения и удаления без подробных отчетов или детальных параметров настройки клиентов.
Контактная информация: Trend Micro, http://www.trendmicro.com.
Webroot Spy Sweeper Enterprise 2.5.1
Достоинства: полнофункциональный пользовательский интерфейс; благодаря инструментарию командной строки действие продукта распространяется за рамки консоли.
Недостатки: высокая цена.
Оценка: 4,5 из 5.
Цена: 2077 долл. для 100 рабочих мест; 15 280 долл. для 1000 рабочих мест.
Рекомендации: данный продукт превосходит остальные благодаря широким возможностям настройки, мощным функциям сканирования и защите в реальном времени, а также гибким функциям удаления вредителей.
Контактная информация: Webroot Software, http://www.webroot.com