將間諜程式和病毒、木馬、後門等惡意程式視為重大安全威脅,其實有跡可循。從技術、行為等因素來看,間諜程式可能透過木馬的特性植入電腦,或者透過蠕蟲的特性大量散播,趨勢科技台灣區技術支援部技術總監王應達認為,使用者應回歸基本面,從單一需求考量,防禦力會有偏失,防毒、防駭進而防間諜程式,使用者應具備完整的威脅抵抗能力,忽略防毒、防駭,還是有可能因疏忽一道關卡,造成損害。

防毒軟體防護效果有限
多數企業認為間諜程式只是病毒的一種,和木馬、蠕蟲沒什麼兩樣,防毒軟體一定要能解得掉間諜程式。

只是防毒廠商因為關注重點不同,畢竟對間諜程式的偵防規模還是有侷限。防毒第一要務是應付所有當前的病毒爆發,廠商必須投入大量人力注意病毒擴散的狀態、分析病毒特徵與研製解毒程式。由於他們較注意病毒,無法深入了解間諜程式模式,而且間諜程式大多低調,可能透過外掛程式、正常程式或網址,甚至躲在Cookie裡。

此外,防毒廠商對網頁瀏覽器的特性認知程度有限,間諜程式會利用IE的漏洞,技術上,有些與防毒工作重疊但不衝突,再加上防毒廠商在處理間諜程式時,專注程度與反應時間不如反間諜軟體廠商,其他資安產品則比防毒軟體更緩慢。

漏洞補不完,總有可乘之機
間諜程式一向低調,如果不像病毒那樣大張旗鼓擴張,是否容易有漏網之魚?如果發布間諜程式的人專門挑中小企業的電腦下手,植入間諜程式,將很快達到當作跳板或收集資料的目的,這些企業很難發現異常,因為他們缺乏IT人員,也沒有足夠的經費建置完整的資安體系防禦入侵。

從作業系統或網路環境是否可以根除這種危險性?許多專家都認可要求微軟作業系統平臺提供更高的安全性,會陷入兩難,因為作為一個應用程式執行與開發平臺,除了安全、穩定之外,同樣必須提供充分的彈性,方便各個應用程式開發,如果設限太多,就怕走到綁手綁腳的死胡同。

有些資安專家認為,微軟在開發環境上仍將維持一定的彈性,有關使用者端的安全性問題,微軟可能繼續透過併購或自己發展安全工具程式來協助。

透過專屬工具處理比較省事
手邊有一套好的工具是有效預防間諜程式的方法,反間諜軟體可以警示異常的系統服務註冊動作,或啟用防護機制。不過這套機制就像個人防火牆一樣,一般使用者如果不能理解,還是隨意允許存取與修改,這種機制就無法發揮完整功效。何況一部電腦有了反間諜軟體,同樣不能缺少防毒軟體,兩者的即時掃描機制需要常駐在記憶體,往往會佔用不小的記憶體空間。

今年發行的新版防毒軟體,大多可以達到防護間諜程式植入的效果,不過一旦啟用這些網址過濾和惡意網站防禦機制,多少會增加系統處理負擔,經過整合之後,記憶體耗用量固然比單一的防毒軟體和反間諜軟體少,但是也會犧牲掉偵測與移除間諜程式之外的進階防護功能。

閘道端防禦與攔截
入侵防禦系統、安全內容過濾設備或多功能網路安全設備,或多或少都已具備間諜程式偵測與攔截能力,不過限於架構,無法提供個人端電腦的全面檢查與主動式移除工作。

有了足夠的間諜程式特徵資料庫,閘道設備就能篩選與攔截不當的網頁內容、郵件、檔案傳輸。目前入侵偵測已經有辦法偵測一些間諜程式,像Fortinet Fortigate、SonicWALL的Gateway Antivirus加值服務和Kaspersky Guard@net等多功能網路安全設備,都號稱可以檢測間諜程式。不過這些設備並非都支援例外清單功能。

除了整合式解決方案,目前市面上也出現了專門針對間諜程式的網路安全設備,例如Barracuda最近推出的Spyware Firewall,能阻斷間諜程式、病毒下載及間諜程式與網際網路之間的連接,並且提供黑白名單與管理者清理通知等功能。文⊙李宗翰


Advertisement

更多 iThome相關內容