茫茫網海中的冷日
         
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已!
 恭喜您是本站第 1671863 位訪客!  登入  | 註冊
主選單

Google 自訂搜尋

Goole 廣告

隨機相片
WAVE_LS_SW_00054.jpg

授權條款

使用者登入
使用者名稱:

密碼:


忘了密碼?

現在就註冊!

一網情深 : [分享]防諜三部曲:偵測、移除、預防

討論區主頁 - 主題一覽 > 一網情深 > [分享]防諜三部曲:偵測、移除、預防
討論串 | 最新的先
前一個主題 | 下一個主題 | 頁尾
主題一覽的上方
發表者 討論內容
冷日
(冷日)		 發表時間:2005/7/6 2:46
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]防諜三部曲:偵測、移除、預防
防諜三部曲:偵測、移除、預防

由於間諜程式介於合法與非法之間,不像病毒的既定印象與處理流程很明確,使用者很難分辨到底是否有害?可能因為被免費所吸引,而忽略背後需付出的代價,就像你不會因為即時通訊軟體有廣告視窗就不用,使用者很難決定,廠商也很為難。

雖然網路以免費、共享為訴求,供人瀏覽與下載軟體,但天下沒有白吃的午餐,部分惡意網站和軟體會趁機植入間諜程式偷窺,不但蒐集上網行為,信用卡與系統連線的帳號、密碼一覽無遺,如果隨意簽署使用授權同意,很可能就掉入隱私權的陷阱,讓個人或所屬單位權益受損。

目前業界無法確認間諜程式所造成的損害有多大。以混合式攻擊為例,用戶會認為這是一隻病毒,不會認為是裡面的間諜程式造成損害,所以我們很難區分病毒與間諜程式造成的損害比例,沒有病毒的感染,間諜程式未必能順利植入。

如果公司決定防護間諜程式的威脅,目前有多種產品可供選用,包括單機版與企業版的反間諜軟體、整合間諜程式防護能力的企業防毒軟體、閘道防毒牆與入侵防禦系統/入侵偵測防禦系統。文⊙李宗翰
回覆
冷日
(冷日)		 發表時間:2005/7/6 2:52
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[轉貼]《防諜三部曲》1.早期偵測,降低傷害
《防諜三部曲》1.早期偵測,降低傷害

間諜程式面貌與手法多變,能否偵測間諜程式,已成為整合型 資安產品主要選擇要項

處理間諜程式,首先應該要先確定目前電腦遭到間諜程式潛伏的狀況。在個人端或家用電腦上,我們固然可以安裝知名品牌的單機反間諜軟體,掃描本機電腦;在企業端為數眾多的員工電腦,要快速大量部署這些軟體,恐怕會造成一些問題,因此可能需要其他迂迴的方式調查間諜程式的分布,從分析異常網路流量的原因,進而定位到可疑的電腦,會是一個比較可行的方式。

防諜首部曲-從網路流量觀察危害
如果你懷疑公司的員工電腦已經遭到間諜程式植入,例如經常接到他們抱怨電腦或網路突然變慢、或是有廣告視窗阻礙操作,我們可以透過一些企業解決方案來監控間諜程式活動,以Websense為例,它可以監視網路進出的流量,藉由系統產生的報表,管理者可以發現間諜程式感染程度較嚴重的電腦,再到該部電腦利用反間諜軟體掃描即可。

如果只是想單純偵測,不想節外生枝,組合國際和Webroot網站均提供免費線上掃描服務,可分析目前的威脅等級,但無移除功能,同時也不能設定掃描位置,如需清除,需仰賴專用的移除工具或透過反間諜軟體處理。

達友科技資訊安全顧問林皇興表示,95%的間諜程式都是以HTTP Tunnel方式傳訊到網路,有些透過443埠或IRC、即時通訊,一般防火牆無法看出端倪,因為無法監控到應用層(第7層),無法辨識連線的應用程式與傳輸內容,即使防火牆有大量記錄檔,透過報表工具分析出來的結果,只能獲得一些與主機連線、IP等資訊,很難判斷是否為間諜程式行為。某些入侵防禦系統含有間諜程式資料庫,能協助進一步辨識網路流量。

閘道端網址分類庫能協助偵測
惡意網站是散播間諜程式的主要管道,有些具有網址過濾的閘道端防禦解決方案能涵蓋間諜程式網站,Websense的網址分類庫即包含有害網站處理,安全加值組可再提供惡意、釣魚和詐欺、鍵盤側錄、駭客軟體(即間諜程式)等4類網站。

8e6 R3000的網址分類庫也包含與間諜程式相關的可疑網址,同時能辨識利用即時通訊與P2P通訊弱點連外的間諜程式,假如連線被引導至已知的間諜程式來源,R3000會自動在個人端跳出阻擋的警告頁面,並送出TCP Reset命令取消連線,防止機密或隱私資料外洩。

反間諜軟體偵測最周全
即使你是技術高手,也無法從間諜程式倖免,資安專家大多建議從專屬工具下手,免費的Lavasoft Ad-Aware SE Personal和微軟AntiSpyware都頗受好評。如需更強大的功能,你在臺灣可以透過廠商購買Ad-Aware、Webroot SpySweeper、CA eTrust PestPatrol Anti-Spyware。

反間諜軟體生來就是專門用來對付間諜程式的剋星,可以專心處理各種相關的間諜程式威脅,如同防毒軟體,可提供定期的掃描檔案/資料夾、系統登錄檔、記憶體等,及常駐記憶體的即時掃描。完成掃描後,反間諜軟體會分析攔截到的間諜程式風險等級,或提供線上間諜程式百科全書相關訊息的連結,以協助使用者決定是否移除。

進階的系統與網頁瀏覽器設定還原或保護工具,也是反間諜軟體的特色之一,對付首頁綁架、篡改搜尋引擎與我的最愛等瀏覽器設定。反間諜軟體還能檢視目前IE外掛元件與處理程序狀態,以便及早發現異常。

防毒整合反間諜軟體,提升偵測能力
間諜程式除了洩密、妨礙操作外,有些已經懂得結合病毒大量擴散、自我複製的特性,擴大影響層面,因此今年新版防毒,無不戮力整合更多反間諜軟體勢力。

McAfee率先針對企業版防毒推出反間諜軟體的選購擴充模組,趨勢在OfficeScan 7.0首度推出針對企業環境的反間諜軟體強化處理能力,而賽門鐵克Antivirus 10.0和Client Security 3.0也包含更完整的間諜程式偵測與移除處理能力。

Sophos和Kaspersky持不同看法。他們目前只處理惡意的間諜程式,不阻擋廣告程式。但即使Kaspersky不認同特別處理間諜程式的做法,他們仍決定從善如流,下一代防毒介面仍會提供防護間諜程式的選項。文⊙李宗翰
回覆
冷日
(冷日)		 發表時間:2005/7/6 2:53
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[轉貼]《防諜三部曲》2.作好個人電腦體內環保,去除危安壞因子
《防諜三部曲》2.作好個人電腦體內環保,去除危安壞因子

徹底移除不需要的間諜程式元件,阻擋間諜程式對外流量

透過查閱廠商的網路安全資訊中心,你可以找到間諜程式解法(我們推薦組合國際的間諜程式百科全書網站)。偵測間諜程式容易,然而移除間諜程式卻不簡單;靠工具幫忙偵測,可以移除大部分間諜程式。

防毒廠商固然懂得處理受病毒感染的檔案,但是面對IE瀏覽器或即時通訊等其他應用程式環境,卻不見得在行,這時整合多種防護功能的反間諜軟體能發揮較大的作用,協助使用者還原至先前的使用環境。

防諜二部曲-根據風險等級移除
間諜程式需要更大的彈性化自訂管理。處理間諜程式,應考慮企業的政策或商務模型,來決定移除或允許繼續存在,因為自動移除特定間諜程式,可能造成企業更大的困擾,例如無法繼續監控員工的上網行為,為防毒廠商帶來法律風險。因此反間諜軟體允許企業或個人根據管理政策或偏好,決定移除、列入允許清單或只是發出警告。

風險程度是評估間諜程式危害較理想的方式。許多反間諜軟體早已具備,微軟AntiSpyware在操作介面的掃描結果,即顯示攔截的間諜程式威脅程度,而Ad-Aware將掃描結果分類,凸顯立即處理的重大威脅。整合間諜程式防護的防毒軟體,介面上只能顯示處理動作與偵測類型。

防毒或反間諜軟體廠商皆需明定安全風險等級定義。以賽門鐵克為例,他們依照目前網路安全風險的形態,設計出一套風險衝擊模型,可根據「效能衝擊」、「隱私影響」、「移除容易性」及「隱密性」等因素,分析這些威脅的狀態,並根據應用程式的行為來決定風險分數,風險分析評估的結果能協助使用者決定移除或採取其他動作。賽門鐵克亞太區技術顧問林育民說:自動移除不是每次都適用,系統檔案的相依性問題即首當其衝。有些廣告程式或間諜程式直接呼叫現成的系統元件,同時包裝在程式設定內,冒然刪除間諜程式的元件,可能造成系統無法正常執行。當遇上與程式可用性相衝突時,企業可以根據防毒廠商對間諜程式的4種分析指標得出的評估分數,好好想一想孰重孰輕。

反間諜軟體與防毒軟體的處理方式
毋庸置疑,反間諜軟體具有最佳的移除能力,而移除精準度是評估反間諜軟體的重要因素,不能破壞基本的應用程式或作業系統運作,這要透過詳盡的間諜程式定義檔與主動式的系統檔案防護,協助善後。

過去防毒軟體能發現間諜程式,卻無法移除與隔離,是因為原檔還在執行、不容刪除,必須停止相關處理程序才能手動移除,十分煩瑣。現在反間諜軟體和防毒軟體能自動關閉執行中的間諜程式,然後予以刪除。

間諜程式定義檔像病毒定義檔一樣需要時常更新,目前的入侵偵測/防禦系統處理未知間諜程式的能力有限,誤報率偏高,因此仍須依賴定義檔。有些防毒軟體整合IDS,假如間諜程式企圖藉由系統漏洞植入時,根據特徵碼比對,從整合防毒、個人防火牆和入侵偵測的防護,達到全面、主動式的防禦,這是反間諜軟體不及之處。

反間諜軟體與防毒軟體都傾向以一套間諜程式定義檔為主,也有防毒廠商採用擴充資料庫方式,補強先前只能解決惡意程式,卻無法處理所有間諜程式的窘境,McAfee的反間諜軟體模組就是一例,不過需付費選購。

假如使用者遇到間諜程式移除不乾淨的,客戶也能利用提交病毒的類似方式,將樣本提供給防毒廠商,他們就會根據分析結果改進間諜程式定義檔,等到下次偵測時,程式就可以清除掉殘留的檔案。

防毒軟體通常直接清除木馬、後門程式,但對於間諜程式還是會先詢問使用者意願,因為這些可能是目前正在執行的程式,應警告使用者目前執行的軟體帶有廣告程式、惡意程式等危險程式,詢問是否移除,當使用者確定不要,就可以堂而皇之解除不需要的程式。

善用隔離的彈性,確保系統穩定
移除大多數的間諜程式,目前在檔案相依性上沒有太多牽扯,移除與IE相關的間諜程式,系統幾乎不受影響,只要防護間諜程式的產品廠商對IE夠了解就沒太大問題。

假如擔憂移除間諜程式會導致部份應用程式受損無法執行,使用者或管理設定人員可以將這些可疑的檔案隔離起來,等到使用過一段時間,確認對系統沒有影響時,再逕行刪除。文⊙李宗翰
回覆
冷日
(冷日)		 發表時間:2005/7/6 3:01
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[轉貼]《防諜三部曲》3.「諜諜」不休,防患於未然
《防諜三部曲》3.「諜諜」不休,防患於未然

間諜程式總給人防不勝防的感覺,透過工具的主動防護、過濾,能及早發現

將間諜程式和病毒、木馬、後門等惡意程式視為重大安全威脅,其實有跡可循。從技術、行為等因素來看,間諜程式可能透過木馬的特性植入電腦,或者透過蠕蟲的特性大量散播,趨勢科技台灣區技術支援部技術總監王應達認為,使用者應回歸基本面,從單一需求考量,防禦力會有偏失,防毒、防駭進而防間諜程式,使用者應具備完整的威脅抵抗能力,忽略防毒、防駭,還是有可能因疏忽一道關卡,造成損害。

防毒軟體防護效果有限
多數企業認為間諜程式只是病毒的一種,和木馬、蠕蟲沒什麼兩樣,防毒軟體一定要能解得掉間諜程式。

只是防毒廠商因為關注重點不同,畢竟對間諜程式的偵防規模還是有侷限。防毒第一要務是應付所有當前的病毒爆發,廠商必須投入大量人力注意病毒擴散的狀態、分析病毒特徵與研製解毒程式。由於他們較注意病毒,無法深入了解間諜程式模式,而且間諜程式大多低調,可能透過外掛程式、正常程式或網址,甚至躲在Cookie裡。

此外,防毒廠商對網頁瀏覽器的特性認知程度有限,間諜程式會利用IE的漏洞,技術上,有些與防毒工作重疊但不衝突,再加上防毒廠商在處理間諜程式時,專注程度與反應時間不如反間諜軟體廠商,其他資安產品則比防毒軟體更緩慢。

漏洞補不完,總有可乘之機
間諜程式一向低調,如果不像病毒那樣大張旗鼓擴張,是否容易有漏網之魚?如果發布間諜程式的人專門挑中小企業的電腦下手,植入間諜程式,將很快達到當作跳板或收集資料的目的,這些企業很難發現異常,因為他們缺乏IT人員,也沒有足夠的經費建置完整的資安體系防禦入侵。

從作業系統或網路環境是否可以根除這種危險性?許多專家都認可要求微軟作業系統平臺提供更高的安全性,會陷入兩難,因為作為一個應用程式執行與開發平臺,除了安全、穩定之外,同樣必須提供充分的彈性,方便各個應用程式開發,如果設限太多,就怕走到綁手綁腳的死胡同。

有些資安專家認為,微軟在開發環境上仍將維持一定的彈性,有關使用者端的安全性問題,微軟可能繼續透過併購或自己發展安全工具程式來協助。

透過專屬工具處理比較省事
手邊有一套好的工具是有效預防間諜程式的方法,反間諜軟體可以警示異常的系統服務註冊動作,或啟用防護機制。不過這套機制就像個人防火牆一樣,一般使用者如果不能理解,還是隨意允許存取與修改,這種機制就無法發揮完整功效。何況一部電腦有了反間諜軟體,同樣不能缺少防毒軟體,兩者的即時掃描機制需要常駐在記憶體,往往會佔用不小的記憶體空間。

今年發行的新版防毒軟體,大多可以達到防護間諜程式植入的效果,不過一旦啟用這些網址過濾和惡意網站防禦機制,多少會增加系統處理負擔,經過整合之後,記憶體耗用量固然比單一的防毒軟體和反間諜軟體少,但是也會犧牲掉偵測與移除間諜程式之外的進階防護功能。

閘道端防禦與攔截
入侵防禦系統、安全內容過濾設備或多功能網路安全設備,或多或少都已具備間諜程式偵測與攔截能力,不過限於架構,無法提供個人端電腦的全面檢查與主動式移除工作。

有了足夠的間諜程式特徵資料庫,閘道設備就能篩選與攔截不當的網頁內容、郵件、檔案傳輸。目前入侵偵測已經有辦法偵測一些間諜程式,像Fortinet Fortigate、SonicWALL的Gateway Antivirus加值服務和Kaspersky Guard@net等多功能網路安全設備,都號稱可以檢測間諜程式。不過這些設備並非都支援例外清單功能。

除了整合式解決方案,目前市面上也出現了專門針對間諜程式的網路安全設備,例如Barracuda最近推出的Spyware Firewall,能阻斷間諜程式、病毒下載及間諜程式與網際網路之間的連接,並且提供黑白名單與管理者清理通知等功能。文⊙李宗翰
回覆
冷日
(冷日)		 發表時間:2005/7/6 3:02
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[轉貼]預防間諜程式--自求多福法則
預防間諜程式--自求多福法則

一般使用者電腦是防禦病毒/間諜程式的最後一道防線,裝越多防毒軟體、反間諜軟體,影響效能程度越大,假如公司也沒有足夠IT預算升級,還是可以約束使用者行為,減少間諜程式侵襲的機會。

要有安全的上網習慣
謹慎使用電腦。例如啟用Windows XP SP2的快顯封鎖視窗,或是使用非主流的瀏覽器如Firefox,也能降低一些衝擊。不下載使用免費軟體。確保系統更新到最新修補狀態,經常補強安全漏洞。

詳讀使用者授權合約
不看使用者授權合約與隱私政策的內容,盲目按「是」或「下一步」是很危險的習慣,間諜程式提醒我們要改變這種習慣。最保險而有效的方式,就是在螢幕出現安裝訊息時,明確按下「否」或「取消」,等到專家或IT人員認可再繼續安裝。

不要以管理者的身分操作系統
用一般使用者的權限使用電腦,當要安裝軟體時,再切換至管理者身分,確保瀏覽網頁時,權限降至最低,使間諜程式無法利用安裝技術或系統漏洞潛入,無法任意安裝軟體,可以擋掉一些威脅。文⊙李宗翰
回覆
主題一覽的下方
討論串
前一個主題 | 下一個主題 | 頁首 | | |

Powered by XOOPS 2.0 © 2001-2008 The XOOPS Project|