Противодействие шпионскому ПО как часть единого решения по контролю за угрозами

02 августа 2005

«Белая книга» (white paper), формулировка позиции компании Sophos

Август 2005

Бурный рост шпионского ПО в последние месяцы преподнес компаниям новые проблемы в связи с обеспечением безопасности, начиная с краж данных и повреждения сетей и кончая потерей репутации. В этом документе мы рассмотрим, каким образом шпионское ПО проникает в организации и нарушает их деятельность, а также как нужно защищаться от этих атак. Настоящий документ показывает, как 20-летний опыт борьбы с вредоносным контентом помогает компании Sophos уникальным образом обеспечивать надежную, имеющую сертификат Checkmark, защиту от шпионского ПО – наряду с защитой от других угроз таких как вирусы, трояны, черви, фишинг-атаки, спам и нарушения принятых политик.

Что такое шпионское ПО?

Шпионские программы, которые воруют или разрушают конфиденциальную информацию и открывают доступ к компьютерам и сетям для последующих атак, представляют собой постоянный и существенный риск для безопасности организаций. По самой своей сути программы-шпионы являются злонамеренными. Они тайком устанавливают себя на ПК, прибегая при этом к разным ухищрениям и/или методам социальной инженерии, и в последствии отсылают третьим лицам данные, собранные на компьютере, без разрешения и ведома пользователя ПК.

Рекламное ПО отличается от шпионского тем, что доставляет на ПК адресную рекламу в виде, например, всплывающих окон с текстами сообщений. Хотя это снижает производительность пользователя ПК и эффективность системы в целом, иногда такое ПО действительно нужно некоторым пользователям.

«Шпионское ПО угрожает безопасности и является незаконным. Рекламное ПО понижает производительность и вызывает раздражение. Компания Sophos обеспечивает 100% защиту от шпионского ПО и скоро включит опцию обнаружения шпионского ПО в следующий выпуск своего антивирусного ПП.»

Ричард Джекобс (Richard Jacobs), главный технический директор компании Sophos

Быстро развивающаяся проблема

Проблема со шпионским ПО уже является широко распространенной и продолжает быстро развиваться. Тут постоянно появляются новые технические приемы.

Угрозы от программ-шпионов включают:

  • Похитители паролей и данных – воруют пароли и другие конфиденциальные персональные данные.
  • Перехватчики клавиатурного ввода – ведут контроль за всеми нажатиями клавиш клавиатуры с целью воровства информации, к примеру, такой как пароли.
  • «Банковские» трояны – контролируют информацию, которую пользователи вводят в банковские приложения или веб-формы.
  • Трояны типа «черный ход» - могут включать любую из названных выше функций, а также могут предоставлять удаленным хакерам неограниченный доступ к ПК, когда тот подключен к сети интернет.
  • Черви зомби-сетей - это сеть троянов типа «черный ход», которые удаленно настраиваются хакерами для совместной работы с целью выполнения одной из вышеназванных функций, а также могут быть использованы для создания так называемых сетей «зомбированных» ПК для рассылки спама.
  • Взломщики браузеров – модифицируют настройки браузеров так, чтобы перенаправить пользователей на веб-сайты, с которых на ПК автоматически будут загружаться злонамеренные программы, и/или чтобы понизить уровень защиты браузера.
  • Дозвонщики - через компьютерный модем выполняют звонки по телефонным номерам с высокими тарифами за подключение, как правило, с целью доступа к порнографическим веб-сайтам.
  • Загрузчики - без ведома пользователя ПК устанавливают на компьютер другие программы, потенциально злонамеренного характера.

Угроза организациям

Шпионское ПО – это реальная угроза для организаций, многими путями подрывающая целостность их бизнеса.

Воровство данных

Шпионское ПО может красть важную и конфиденциальную информацию, как это делает троян Progent-A, похититель паролей и перехватчик клавиатурного ввода. Будучи установленным, он начинает посылать своему «хозяину» отчеты каждый раз, когда ПК подключается к интернету. Это злонамеренное ПО ворует финансовые данные, электронные таблицы, персональные данные, номера банковских счетов, пароли, и любую другую информацию, которая вводится через клавиатуру зараженного ПК. Утечка конфиденциальных данных может привести к подрыву репутации, потере денег или конкурентного преимущества, к росту риска судебной тяжбы.

Захват компьютеров хакерами

Кроме дистанционного сбора конфиденциальных данных, шпионское ПО открывает хакерам доступ к компьютерам. Трояны типа «черный ход», к примеру, Troj/Feutel-L, предоставляют контроль над ПК и хакеры могут удалять файлы, менять какие-то записи по акциям, загружать порнографические файлы или управлять пользовательской мышкой и клавиатурой. Для ИТ-администратора атаки такого типа хуже вирусов, так как поведение хакера, имеющего доступ к сети, непредсказуемо.

«По нашим оценкам 67% всех компьютеров заражены, по крайней мере, какой-то одной шпионской программой, а на наиболее зараженных ПК встречается несколько таких программ.»

IDC, Анализ и прогноз распространения шпионского ПО в мире в 2004-2008 гг,
Ноябрь 2004

Зомби-атаки

Шпионские программы типа «ботнет» могут оказаться очень эффективным инструментом также для спамеров. Используя трояны, такие как Troj/Sober-Q, спамеры получают полный контроль над компьютером или веб-сервером и могут через него организовать рассылку своих писем, представляя дело так, как будто все эти письма идут от законного источника. Компьютеры, захваченные таким образом, называются «зомби». По оценкам компании Sophos, более 50% спама рассылается с зомбированных компьютеров, многие из которых находятся в сетях законных организаций.

Повреждения сетей

Производительность сетей также может пострадать в результате атак шпионского ПО, потому что любые программы всегда требуют для себя ресурсы. Для компаний это означает утрату или снижение производительности бизнеса до тех пор, пока шпионское ПО не будет обнаружено, а также дополнительные затраты на поиск проблемы и избавление от нее.

Как шпионское ПО попадает на компьютеры

Шпионские программы могут быть установлены на ПК вирусом, или когда пользователь щелкает по веб-ссылке или открывает вложение почтового сообщения. Чтобы установить шпионское ПО, чаще всего требуются какие-либо действия со стороны пользователя компьютера. К примеру, выполнение загрузки, якобы, полезной или желательной программы (например, программы обмена файлами для P2P-сетей), которая может включать спрятанное шпионское ПО. Пользователи ПК могут загрузить шпионское ПО также, став жертвами обмана, когда всплывающие окна с рекламой подвигнут их на скачивание с интернета, якобы, очень «нужной» программы.

Уязвимости в системах защиты, к примеру, веб-браузеров, также могут способствовать установке шпионского ПО. Пользователю достаточно посетить определенный веб-сайт или просмотреть почтовое сообщение в формате HTML, чтобы шпионское ПО тут же установило себя на ПК. Такой тип секретной установки известен как «через загрузку».

Как защищаться от шпионского ПО

Основные шаги
Как и в отношении других угроз, основные шаги, которые организациям следует предпринять для защиты от шпионского ПО, включают эффективную комбинацию следующих мер:

  • Образование – важно, чтобы пользователи понимали необходимость проявлять осторожность при открытии вложений, загрузке и установке ПО.
  • Политики – внедрение в компании сильных политик по использованию сети интернет, чтобы исключить несанкционированные загрузки, и по использованию паролей, чтобы предотвратить несанкционированный доступ к рабочим станциям.
  • Технология – установка последних обновлений систем защиты браузеров и операционных системы корректная настройка параметров безопасности браузеров, и развертывание современного ПО для защиты информации.

Единое решение по контролю за угрозами от компании Sophos

Кроме этих основных шагов, компании должны использовать интегрированное решение по безопасности, которое защищает как рабочие станции и серверы, так и шлюзы. Цель – противостоять все более сложным и смешанным угрозам, когда как раз в комплексе рассматриваются вирусы, черви, трояны, спам, фишинг и злоупотребления политиками, а не каждая из этих проблем независимо от друг от друга.

Обнаружение шпионского ПО является неотъемлемой частью антивируса Sophos (т.е. не является отдельным ПП). Имеющий много наград антивирус Sophos обеспечивает организациям надежную, управляемую и эффективную защиту от шпионского ПО точно таким же способом, как обеспечивается защита и от других угроз. Дополнительные, возможности, которые позволят компаниям блокировать или выборочно разрешать рекламное ПО, будут интегрированы в следующую 6.0 версию антивируса Sophos. Пользователи антивируса автоматически получат все эти новые возможности без какой-либо дополнительной оплаты.

Сертификат Checkmark от
WestCoast Labs подтверждает,
что антивирус Sophos
определяет 100% шпионского ПО
и без ложных срабатываний

Этот уровень надежной и интегрированной защиты является частью постоянной работы компании Sophos по обеспечению пользователей самым лучшим единым решением для целей контроля за угрозами. В режиме «24 часа/7 дней в неделю» его сопровождает техническая поддержка и экспертиза от SophosLabs™, глобальной сети центов анализа угроз, которая круглосуточно выполняет мониторинг новых и только возникающих атак.

Чтобы узнать больше о том, как компания Sophos может защитить вашу сеть, посетите сайт www.sophos.com.

О компании Sophos

Sophos является мировым лидером по интегрированным решениям для контроля за угрозами. Эти решения были изначально ориентированы на защиту коммерческих компаний, образовательных структур и государственных организаций. Надежно спроектированные и легкие в использовании продукты Sophos защищают более 35 миллионов пользователей в более чем 150 странах. Основываясь на 20-летнем опыте работы, антивирусной и антиспамовой экспертизе компании, а также на глобальной сети центров анализа угроз, сотрудники Sophos быстро реагирует на все новые и возникающие угрозы – не важно, какими бы сложными они ни были – и достигают при этом самого высоко в индустрии уровня удовлетворения пользователей.

Бостон, США · Майнц, Германия · Милан, Италия · Оксфорд, Великобритания · Париж, Франция · Сингапур · Сидней, Австралия · Ванкувер, Канада · Иокогама, Япония

© Copyright 2005. Sophos Plc.

Sophos признает и поддерживает все зарегистрированные торговые знаки и авторские права.

Запрещается воспроизводить, хранить в поисковых системах или передавать в какой бы то ни было форме любую часть данной публикации без предварительного письменного разрешения издателя.

10
;