為了降低間諜程式的危害,企業可以從專屬軟體、現有的防毒軟體、閘道端安全設備等方面,尋找適合的解決方案,但要特別注意的是,有些產品只做偵測、無法移除與攔截,有的具備偵測和移除能力,卻無法提供即時掃描,企業應如何選擇?

與防毒整合是眾望所歸
為了安全,我們在電腦上安裝了防毒、防火牆、反間諜程式、垃圾郵件過濾等軟體,電腦裡有越多的程式在執行,也就代表需要越大的記憶體、越多的硬碟空間,而且這些軟體都是各自獨立的掃描程序,或由不同的設備和軟體來處理,技術上無法避免重複掃描,你可能會發現硬碟轉個不停,三不五時就有掃描程式在執行。對使用者而言,當然希望檔案能夠一次就掃完,但這仍需要逐步整合,相信未來會出現整合多種功能的產品。

當然,也有廠商認為間諜程式並不是新的威脅,只是把舊議題獨立成新的領域。奕瑞科技技術總監張義淵認為,一個反間諜軟體廠商,同樣得面對間諜軟體、病毒和木馬之間的區別,因為木馬也有可能竊取資料,反間諜軟體如果加入木馬偵測,那麼是不是應該繼續處理更多威脅?反間諜軟體最後是否會變成一種防毒軟體?
但是,這畢竟只是少數的聲音,主流趨勢仍是整合型安全產品。

根據需求,找會抓老鼠的貓
防治病毒、蠕蟲或網路入侵的目標和對象都很明確,沒有灰色地帶,相較之下,由於用戶環境與使用者需求差異甚大,目前提供反間諜程式功能的產品市場很混亂。 我們先來檢視一下,用戶可能會有哪些需求?

效能
雖然單機版反間諜軟體的偵測成效最好,但勢必占用不少記憶體使用量,掃描時更會影響到系統整體效能,最好配備較大的記憶體容量。閘道端的解決方案不會直接影響個人端電腦的運作,但缺點是只能偵測無法移除,而且必須注意過濾效能,如果效能不足,可能會拖垮對外連線的速度。

技術相容性:
目前反間諜軟體與防毒軟體相安無事,但日後這種和平共處的情況不一定能持續,因為反間諜軟體遲早都要處理病毒問題,這就好像安裝兩套防毒軟體一樣,誰敢保證日後不會出問題。

去除干擾生產力的雞肋程式
要定義間諜程式比較困難,不過干擾電腦運作就是不應該,使用者特別希望可以阻擋廣告程式,或忽然彈出的廣告。當然,這也是老板的希望。

堅壁清野式的環境
有些使用者認為工作電腦就是要保持乾淨,不要有不相干的程式或檔案殘留,有新的威脅或不需要的程式進來,他們需要立即清除。

不要發作就好
部分用戶抱持著比較開放性的做法,他們可以接受這些間諜程式進入電腦,但是它不能「發作」,等到即時掃描或是間諜程式真正運作時,防護機制再處理掉即可。

張裕敏說:「需求不同、重點不同,每個使用者要求不同就不同,用戶應定出自己的需求與風險等級,你才會知道應注意哪些項目。」

市面上的防護間諜程式解決方案雖然不少,你會發現這些產品功能差異性不大,同時安裝使用,雖不像防毒軟體會產生相互干擾,然而受限於成熟度不足,這些解決方案仍無法完全滿足整體防護機制的需求,無法達到「效能佳、誤判率低」的目標。

個人端選擇似多實少
假如只是要滿足個人端的防禦需求,目前免費軟體選擇不少,但能夠信任的卻很少,頂多只有Lavasoft Ad-Aware SE Personal和微軟AntiSpyware,但很不幸的,前者的更新發布頻率不穩定,後者則不確定日後是否繼續維持免費或推出付費的版本(先前發布的Beta 1即將在7月31日到期,新開放下載的試用版使用可展延至今年底)。

其實個人端反間諜程式的共享軟體很容易找到,但是我們發現這類軟體很多本身就是間諜軟體,除非軟體本身附有程式原始碼,否則可靠性實在不高。

一般企業假如要使用反間諜軟體,目前在國內可以買到商業版本,包括Lavasoft Ad-Aware SE、Webroot SpySweeper和CA eTrust Pest Patrol等產品,可以滿足企業大量部署與管理的需求。

必要之痛:部署、升級或新購設備
不論是新購或升級,買產品一定都要花錢,如果是幾十人的小公司,個人版會比較划算;若是上百人的公司,企業版才需要具備遠端大量派送、集中控管與報表功能;至於閘道端解決方案則適合需要更佳安全防護的公司,能帶來更多的保障,而且最好選擇與個人端不同的品牌。

在我們的採訪對象中,只有Kaspersky聲稱現有的防毒產品能夠處理間諜程式,其他防毒廠商大多推出新版本,才能具備較完整的偵測與移除間諜程式功能。當然,既有用戶升級還是需要付費,只是部署與集中控管的成熟度會比反間諜軟體成熟。

防毒牆、入侵防禦系統、安全內容設備或多功能網路安全設備,建置費用雖然不低,僅能防禦經過網路閘道端的間諜程式,不過對已經建置相關設備的用戶來說,通常可以享有免費升級韌體的服務,防護間諜程式幾乎是各家必定發展的重點功能,只是不一定會列在系統內建功能,可能需要額外選購。

企業需要集中控管與報表分析能力
企業網路涵蓋的個人端電腦數量眾多,在管理上最方便的方法莫過於全部整合為一,集中控管各種威脅,但在延展性和效能上不一定能滿足不同規模企業的需求。

集中化的背景部署與操作,能夠簡化逐臺電腦手動管理工作。裝上反間諜軟體或整合式防毒軟體的個人端電腦能自動偵測與移除間諜程式,當系統發現到具有嚴重危害的間諜程式時,IT人員也能夠立即得到警示。

由於IT人員需要時時檢視網路活動,透過簡明的狀態資訊,協助管理,系統報表可以提供個別系統或是間諜程式處理狀況的整體概觀,以便理解特徵定義檔的效果及對應的風險衝擊程度狀態。

企業版反間諜軟體的報表,可以做到根據目前個人端電腦、日期、風險等級、間諜程式類型,顯示偵測與處理記錄。防毒軟體的集中控管、報表與警示等功能比較成熟,不過在間諜程式處理上,由於需要更多的資訊輔助,目前的報表系統應隨著間諜程式防護的整合,也逐步提升關於風險評估的功能,如此一來,管理者在檢視這些事件記錄時,能夠得到更詳細的事件分析。

最後,我們回過頭來談一個很現實的問題,大部分的企業IT人員都不願意因為間諜程式或廣告程式的問題,而多裝一套軟體,除了部署複雜,日後的監控與管理也是挻麻煩的一件事。如果是50人以內的中小企業那就還好,問題不大,大概二、三天就可以搞定;但如果是上千人規模,或是分公司、駐點辦公室遍佈全球,要他們在每臺電腦部署一套的意願恐怕很低。即使是整合反間諜程式的防毒軟體,企業升級的意願也不見得樂觀,因為許多企業今年才剛升級到防毒廠商去年所推出的版本(未具備反間諜程式功能),甚至不少用戶還在使用舊版防毒軟體,而且即使IT人員願意,也要問問花錢的老板是否願意?文⊙李宗翰


Advertisement

更多 iThome相關內容