思科安全代理 -- 用于防范间谍软件和广告软件的企业解决方案
简介
日益增多的间谍软件 -- 一种在用户不知情的情况下安装到他们的计算机中的程序 -- 正在引起越来越广泛的关注。根据2004年度的一项哈里斯调查,92%的IT经理承认间谍软件曾经感染过他们的机构,平均29%的工作站曾经遭受感染;40%的IT经理表示这种感染正在不断增多。
间谍软件可以被黑客和身份窃贼用于记录敏感信息,例如用户名、密码和信用卡帐号,或者窃取敏感的公司信息。信息失窃是企业面临的最主要的安全挑战之一,可能会造成严重的财务损失。但是,大部分间谍软件仅仅是广告软件 -- 一种与免费软件或者共享软件捆绑的程序,其中的“间谍”可以从cookie和URL历史中搜集关于购物和浏览习惯的信息。
间谍和广告软件都能够记录按键信息,并可以将数据发送到Web服务器,从而对网络的安全和隐私构成了严重的威胁。市场上现有的防间谍软件解决方案主要基于被动的、应对式的检测,不能解决层出不穷的新问题。思科安全代理提供了一种主动的防护模式,帮助防范间谍软件和广告软件的感染,保持系统的完整性,为终端提供深入防御。思科安全代理可以通过两种方式防止感染:首先,在起始阶段就防止间谍软件被安装;假如已经被安装,防止间谍软件执行和实施恶意行为,例如读取和发送敏感信息。
是间谍软件还是广告软件?
了解间谍软件和广告软件之间的区别非常重要。间谍软件的目标是在用户不知情的情况下窃取他们的信息或者金钱;广告软件的目标则是让用户愿意花钱。广告软件的行为通常更加明显 -- 您的计算机会忽然开始出现弹出广告,或者更改您的搜索引擎,而间谍软件的设计目的就是在幕后秘密行动。间谍软件和广告软件都采取类似的策略安装和控制您的计算机。
间谍软件
间谍软件源自于20世纪90年代出现的一种旨在帮助家长监控孩子网上行为和帮助雇主监视员工计算机使用情况的合法程序。很多这样的程序都将“远程安装”作为一个重要的特色 -- 能够在不实际操作被监控计算机的情况下安装程序。但是今天,黑客和身份窃贼正在开发和使用越来越多的间谍软件,以记录敏感信息,例如:
用户名
密码
信用卡帐号
社会保险帐号
公司机密
家庭住址
个人电话号码
URL历史
屏幕截图
被发送到“间谍服务器”的信息
间谍软件采用了非凡的设计,可以在用户不知情的情况下秘密安装。当真正的间谍软件被安装于一台计算机上时,“间谍”可以看到用户的所有操作 -- 用户浏览的网站,输入的信息,以及屏幕上显示的文档内容。某些间谍软件还带有一个特洛伊木马程序,让“间谍”可以完全控制用户的计算机。
广告软件
比间谍软件更为常见的广告软件包含了与免费软件捆绑的营销程序,旨在为用户的计算机提供弹出广告,将用户转移到某个向广告软件开发商提供许可的搜索引擎。用户可能愿意或者有意地在他们的计算机上接受广告软件,以换取某个特定软件所带来的好处,例如接收免费的股票行情、天气预告或者交通信息。
有些广告软件的设计目的是跟踪用户的浏览习惯,以进行市场调查;但是,今天的大部分合法广告软件开发商都自称他们不会再监控和记录用户的活动,因而不会对安全或者隐私构成威胁。
某些广告软件被称为垃圾软件,因为它会执行一些恶意行为,例如安装一个能够通过用户的计算机拨打昂贵的国际和长途电话的拨号程序,或者逼迫用户为卸载破坏性程序而付费。
尽管从总体而言并不具有很大的破坏性,但是广告软件对于机构的潜在影响仍然不可低估。戴尔公司最近指出,它所接到的技术支持电话中有12%都与间谍软件/广告软件问题有关。反复出现的弹出窗口、被控制的浏览器和重定向到广告软件搜索引擎等行为都会激怒商业用户。设计低劣的广告软件可能会耗尽CPU资源,产生安全漏洞,影响系统性能,导致错误信息、系统死机甚至崩溃。一旦安装,广告软件就很难卸载。有时甚至不可能卸载,因为它们往往会进一步安装更多的广告软件。
思科所提供的理想解决方案让治理员可以防范间谍软件的安装,或者让员工可以继续安全地使用免费软件和共享软件,同时防止它们捆绑的广告软件对系统的稳定性和完整性造成严重的破坏。
间谍软件/广告软件的潜在行为
间谍软件/广告软件的其他潜在行为包括:
监控按键
扫描硬盘文件
监视其他应用,例如聊天程序或者文字处理器
安装其他间谍软件程序
读取cookie
更改缺省主页
在系统启动后运行,驻留在内存中
连接到互联网
拨打一个电话号码
传输用户以前浏览的URL
监听网络流量
安装远程治理工具
通过安装一个特洛伊木马程序,获得计算机控制权
添加文件、文件夹、cookie、动态链接库(DLL)和注册表条目
间谍软件和广告软件如何安装
大部分广告软件都是在有意或者无意的情况下随免费软件 -- 例如屏幕保护、游戏、天气预告和股票行情显示条,或者文件共享软件 -- 一同下载的。尽管用户可以通过在答应下载某个程序之前仔细阅读任何法律许可协议的条款,避免安装广告软件,但是很多程序会依靠“社会工程”用反复出现的下载界面纠缠用户,直到用户点击“Yes”(同意)接受该软件的安装。
间谍软件有时会采取作弊的方法 -- 即使用户点击“No”(拒绝),它也会自动安装。广告软件厂商和黑客会借助主动执行的内容代码,在用户查看网页或者电子邮件时通过“幕后下载”秘密安装破坏性的程序。仅仅拦截可疑站点并不能避免这种情况 -- Web的自由度、匿名性和不断发展导致了数百个新的间谍软件站点的出现。
在哈里斯调查中,只有6%的用户表示曾经浏览过可能存在间谍软件的站点,但是有92%的IT经理承认他们的公司曾被感染。间谍软件采用了独特的设计,可以在用户不知情或者未经用户许可的情况下秘密安装,而间谍软件的开发人员在设计他们的间谍软件发送系统时也变得越来越聪明。指导用户把握安全浏览实践和仔细阅读许可协议非常重要,但是仅靠这些做法并不足以解决这个问题。
现有的间谍软件检测和移除工具的限制
因为大部分间谍软件不是通过电子邮件发送的,所以防病毒产品不能有效地加以检测。间谍软件检测工具的工作原理实际上与防病毒技术类似 -- 它们利用特征、模式匹配和已知文件名来判定在一台计算机上是否存在间谍软件。与其他传统的信息安全技术一样,间谍软件检测技术存在着一个致命的缺陷 -- 它们是被动的、反应式的。因为这些解决方案主要是基于特征检测的,所以即使当它们得到了有效的安装和治理,新的和变异的间谍软件攻击仍然会对各个主机上的网络资源和文件造成严重的破坏。
没有任何一种检测工具能够发现所有的间谍软件。产品评估人员往往会建议采用多种检测工具,以确保在一个产品漏过了某种间谍软件程序的情况下,另外一个会及时发现。
与防病毒领域一样,防间谍软件的开发人员发现他们面临着持续的支持问题:
为了与间谍软件开发人员保持同步而必须不断更新特征库
保持特征的时效性
更多的误报
无法发现新的(“零日”)和不断演变的间谍软件程序
间谍软件和广告软件卸载工具有助于确定哪些主机感染了这些程序,但是无法及时防止感染。但是,预防具有重要的意义 -- 清除可能会是一个漫长而又复杂的过程。很多间谍软件程序都很顽强,可以在卸载后重新安装,同时运行多个间谍软件程序,甚至躲避防病毒产品的检测。因此,间谍软件几乎无法根除。例如,有些程序会在Windows注册表中添加数千个条目,因此只有用大量的、经验丰富的IT支持人员(很难实现)才能检查和纠正这些注册表信息。
思科安全代理 -- 一种截然不同的解决方案
思科安全代理采取了一种预防性的方法,利用基于行为的安全机制防范针对主机的恶意活动。破坏性活动会被检测和拦截,不管存在什么类型的间谍软件或广告软件思科安全代理是思科预防信息失窃解决方案的重要组成部分。
与只能提供单点防护(而且只有在特征已知时)的其他技术相比,思科安全代理可以在入侵的所有阶段主动防范对主机的破坏,从而提供多层防御。思科安全代理采用了独特的设计,可以在特征未知的情况下防范新型攻击。
当某个应用试图执行某个操作时,该代理会按照应用的安全策略检查该操作,就是否答应操作继续执行实时制定一个“答应”或者“拒绝”决策,判定是否应当记录该操作请求。安全策略是一组由IT或安全治理员分配的、用于单独或者在整个企业的范围内保护服务器和台式机的规则。这些规则为用户提供了一个安全的网站浏览环境。思科安全代理可以通过在服务器和台式机的缺省策略中汇总多种用于部署分布式防火墙、操作系统锁定和完整性保障、恶意移动代码防护和审核事件搜集功能的安全策略,提供针对间谍软件和广告软件的深入防御功能。
因为保护是建立在阻截恶意行为的基础上,缺省策略可以在不需要升级的情况下阻止已知和未知攻击。关联在代理和治理中心控制台上进行。基于代理的关联会大幅度提高准确性,在不阻止合法活动的情况下发现实际的攻击或滥用行为。
思科安全代理可以加固Windows操作系统,防止间谍软件修改要害的操作系统二进制文件或者配置。因为这种功能不需要对文件系统内容的密码分析,它几乎不会对系统性能造成任何影响。
思科安全代理可以:
检测和防范键盘日志
防止对系统可执行文件的、未经授权的改写操作,保护操作系统的完整性
防止攻击者借助一个命令界面,通过调用系统中的命令发动攻击
防止可能受到感染的应用破坏新的应用或者下载新的应用
监控和规定哪些应用可以在桌面上运行
检测和防范特洛伊木马
防止Web浏览器利用移动代码(例如Java、javascript和ActiveX)进行幕后下载
防止攻击者利用一个DLL控制程序实现“应用劫持”
防止在应用中出现危险的用户行为,例如利用一个即时消息软件下载文件
防止已知和未知的缓存溢出攻击,这种攻击可能会被用于在用户计算机上安装间谍软件
答应集中治理可以运行的应用,让治理员可以防止可疑间谍软件的执行
能够监控和防止某些应用读取敏感的数据文件
监控媒体设备,在间谍软件启用某个Web电话或者摄像头时警告用户
计算机上运行了哪些程序?
思科安全代理可以跟踪某个计算机或者工作组安装的应用,哪些被实际调用,哪些使用网络,应用是一个网络客户端还是网络服务器,以及它所连接的所有远程IP地址的身份。思科安全代理还可以识别所有远程系统上所有应用的状态,其中包括针对用户的安装信息和是否有不安全的应用试图运行。
思科安全代理让治理员可以对任何计算机上的任何应用进行具体的证据检查。它可以观察应用的实时行为 -- 所有被访问的文件(无论读写);所有网络连接 -- 无论是对内(服务器)还是对外(客户端),以及远程计算机的地址;所有注册表访问(无论读写);所有COM对象加载。思科安全代理可以搜集关于应用行为的信息,将其汇总为报告提交给治理员,并根据应用的标准行为制定一项控制策略。
利用思科安全代理框架,治理员可以集中地:
发现安装或者运行在远程计算机上的、未经授权的或者未知的应用
辨别未知应用在运行时的行为,将未知但是恶意的应用与未知但是无害的应用区别开
根据行为分析,控制应用答应执行的行为或者可以执行的功能
思科安全代理让治理员可以在整个企业内建立一个运行中的可疑间谍软件列表,以供分析。根据这项分析,治理员可以就间谍软件可以执行的操作制定策略。例如,治理员可以创建一项策略,自动禁止某个程序安装在其他的计算机上,严格限制已经安装的应用的行为,或者完全禁止它的执行。
这样做的好处是,企业可以答应用户安全地运行间谍软件。例如,系统治理员可以设置一个这样的策略“本应用可以为用户提供广告,但是不能记录用户按键,也不能为将数据发回到广告软件服务器开辟一个端口。”
