【上文中提到“這是因?yàn)樾⌒推髽I(yè)沒(méi)有足夠的資源來(lái)對(duì)付這個(gè)問(wèn)題,結(jié)果中小型企業(yè)面臨著巨大的風(fēng)險(xiǎn)卻并沒(méi)有良好和充足的配給以保護(hù)自己?！薄?

間諜軟件怎樣攻擊中小型企業(yè)

間諜軟件對(duì)企業(yè)來(lái)說(shuō)是一個(gè)真正的威脅，它可以從幾個(gè)方面影響企業(yè)運(yùn)作的連續(xù)性：

1.數(shù)據(jù)竊取

正如前述間諜軟件類型中所列示的那樣，間諜軟件能夠竊取重要的或關(guān)鍵的信息。一旦被安裝，這種軟件就會(huì)在用戶下次登錄時(shí)對(duì)外發(fā)布信息。這種間諜軟件還會(huì)竊取財(cái)務(wù)數(shù)據(jù)、電子表格、個(gè)人記錄、銀行帳號(hào)、口令和其它輸入到被感染的計(jì)算機(jī)的信息。所SophosLabs分析，有33%的威脅設(shè)計(jì)的目的是竊取信息，而16%的間諜軟件包含鍵盤記錄器。數(shù)據(jù)竊取可造成用戶的商譽(yù)損失、財(cái)務(wù)損失以及競(jìng)爭(zhēng)力喪失，甚至有引起訴訟的風(fēng)險(xiǎn)。

2.黑客攻擊

除了捕獲數(shù)據(jù)，間諜軟件還可以利用用戶計(jì)算機(jī)上的漏洞，便于黑客展開(kāi)偵探活動(dòng)，超過(guò)40%的威脅允許其他人訪問(wèn)被感染的系統(tǒng)。后門木馬，如Feutel-L允許黑客控制某計(jì)算機(jī)并竊取存儲(chǔ)在其中的任何信息。對(duì)IT管理員來(lái)說(shuō)，這種攻擊可能比病毒更糟糕，因?yàn)槿魏魏诳驮L問(wèn)網(wǎng)絡(luò)的行為都是不可預(yù)測(cè)的。

3.僵尸攻擊 (Zombie Attack)

僵尸網(wǎng)絡(luò)蠕蟲(chóng)等間諜軟件還可以成為垃圾郵件制造者十分有效的工具。使用僵尸網(wǎng)絡(luò)蠕蟲(chóng)或Mytob等木馬（Sophos認(rèn)為這二者是2006年的頭等威脅），垃圾郵件制造者可以輕易地接管有漏洞的計(jì)算機(jī)或Web服務(wù)器，并強(qiáng)迫它們?yōu)槠浒l(fā)送電子郵件服務(wù)，從而使電子郵件看起來(lái)是從一個(gè)合法的源節(jié)點(diǎn)發(fā)出的。被劫持的計(jì)算機(jī)還可被用于其它惡意目的，如形成局部的拒絕服務(wù)攻擊。在這樣的一次攻擊中，成千上萬(wàn)的計(jì)算機(jī)會(huì)在瞬間同時(shí)訪問(wèn)一個(gè)Web站點(diǎn)，使服務(wù)器過(guò)載并“宕機(jī)”。通過(guò)這種方式被劫持并被鏈接到其它被感染系統(tǒng)的計(jì)算機(jī)被稱為“網(wǎng)絡(luò)僵尸”。

Sophos估計(jì)超過(guò)60%的垃圾信息是從僵尸計(jì)算機(jī)發(fā)出的。雖然這通常發(fā)生在風(fēng)險(xiǎn)極高的家用計(jì)算機(jī)身上，但這個(gè)問(wèn)題也會(huì)影響到企業(yè)組織。例如，在2006年初，加利福尼亞的一名男子因被指控發(fā)動(dòng)僵尸攻擊致使某醫(yī)療機(jī)構(gòu)150臺(tái)電腦受感染而被起訴。

4.網(wǎng)絡(luò)破壞

間諜軟件攻擊還可造成網(wǎng)絡(luò)性能下降，因?yàn)檫@種間諜軟件給系統(tǒng)增加額外的需求。對(duì)于一個(gè)企業(yè)來(lái)說(shuō)，如果它沒(méi)有被檢測(cè)或發(fā)現(xiàn)，也就意味著生產(chǎn)效率的下降，企業(yè)需要花費(fèi)額外的資源來(lái)查找和清除這種問(wèn)題。

間諜軟件怎樣被安裝

間諜軟件可被病毒安裝，或者當(dāng)用戶單擊一個(gè)Web鏈接時(shí)，或者打開(kāi)一個(gè)電子郵件的附件時(shí)安裝。如前所述，即時(shí)消息等Web 2.0技術(shù)使用的增加為間諜軟件編寫者提供了另一個(gè)工具，使其在附件中可以包含惡意的負(fù)載。大多數(shù)間諜軟件需要用戶的某個(gè)動(dòng)作才能被安裝到計(jì)算機(jī)上，如下載一個(gè)有用的或極想得到的軟件（比方說(shuō)，一個(gè)P2P共享的程序），而這個(gè)軟件正好隱藏著一個(gè)間諜軟件。有時(shí)，用戶在上網(wǎng)瀏覽時(shí)，會(huì)彈出一個(gè)窗口，提示其下載一個(gè)需要的軟件。安全漏洞，如瀏覽器中的安全漏洞可被用來(lái)安裝間諜軟件。一個(gè)用戶只需要訪問(wèn)某個(gè)Web站點(diǎn)或者查看HTML格式的電子郵件信息，間諜軟件就可將自身安裝到用戶計(jì)算機(jī)中。這種秘密安裝被稱為“驅(qū)動(dòng)式下載”（“Drive-by Download”.）。

理解當(dāng)今的間諜軟件

為了迎戰(zhàn)間諜軟件，中小型企業(yè)應(yīng)該怎么做呢？對(duì)抗間諜軟件的新技術(shù)利用互聯(lián)網(wǎng)監(jiān)視全球性的間諜軟件活動(dòng)，確認(rèn)新的攻擊，并做出快速反應(yīng)。這在抗擊計(jì)算機(jī)犯罪方面確實(shí)是一個(gè)進(jìn)步，而且這種技術(shù)可使用戶的生活更加輕松。

毋庸置疑，特洛伊木馬和鍵盤記錄器程序所造成的威脅要比廣告軟件和cookies嚴(yán)重的多。不過(guò)，根據(jù)Webroot的估計(jì)，一些更具威脅性的間諜軟件種類正在日益增加，特別是鍵盤記錄程序更是如此，其中包含那些感染了間諜軟件的桌面用戶, 后果將會(huì)十分嚴(yán)重，如數(shù)據(jù)和敏感的信用卡信息的丟失。另一方面，有證據(jù)表明，廣告軟件和彈出窗口處于消減的狀態(tài)，因?yàn)闉g覽器通?？梢宰柚勾蠖鄶?shù)彈出窗口，還在于間諜軟件的編寫有了一些轉(zhuǎn)變。原來(lái)，廣告者編寫間諜軟件和廣告軟件是為了賺錢，將廣告信息傳到用戶的桌面上。而今，間諜軟件是一種嚴(yán)重的犯罪威脅，而且這導(dǎo)致了鍵盤記錄器程序的增加。

黑客無(wú)時(shí)不在，威脅真實(shí)存在，黑客更加注重努力地訪問(wèn)盡可能多的桌面計(jì)算機(jī)。這些威脅來(lái)自于有組織的犯罪或者獨(dú)立的個(gè)人，正是他們想盡一切辦法從企業(yè)竊取有價(jià)值的信息。

Rootkit間諜軟件的運(yùn)行方式

Rootkit是一種嚴(yán)重的威脅，并且間諜軟件Rootkit 的使用也是近期的事情。Rootkit最初的設(shè)計(jì)目的是善意的,到目前為止至少存在了15年。就在近一時(shí)期，間諜軟件編寫者們發(fā)現(xiàn)，如果他們使用Rootkit技術(shù),他們就可以避免被反間諜軟件產(chǎn)品檢測(cè)到。

這是可能的。因?yàn)橐粋€(gè)Rootkit是一段短小的代碼，它可在操作系統(tǒng)啟動(dòng)之前加載到內(nèi)存。所以，當(dāng)操作系統(tǒng)運(yùn)行時(shí)，它并不知道作為Rootkit運(yùn)行的后臺(tái)進(jìn)程的存在。因此，如果系統(tǒng)為了識(shí)別所有的正在運(yùn)行的應(yīng)用程序而做出請(qǐng)求，Rootkit并不給與響應(yīng)，那么這個(gè)Rootkit就不能被檢測(cè)到。

因此，為了實(shí)現(xiàn)確認(rèn)Rootkit的目標(biāo)，有必要擁有一個(gè)更為完善的反間諜軟件。理想情況下，在掃描計(jì)算機(jī)系統(tǒng)的磁盤驅(qū)動(dòng)器并發(fā)現(xiàn)Rootkit后，用戶可以確定此Rootkit的真實(shí)性。有一些Rootkit有合法的理由存在，但其它的大多數(shù)屬于間諜軟件。

如果中小型企業(yè)沒(méi)有在合適的位置安裝恰當(dāng)?shù)能浖?，要想發(fā)現(xiàn)并清除Rootkit是不可能的。許多公司，包括反間諜軟件公司，宣稱能夠提供一定級(jí)別的Rootkit清除功能。實(shí)際上，Rootkit的類型很多，而且間諜軟件正在利用著它們。這意味著需要選擇一種可以確認(rèn)所有的Rootkit的產(chǎn)品,而且允許管理員決定哪些Rootkit屬于系統(tǒng)的，哪些不是系統(tǒng)的。

反病毒軟件VS反間諜軟件

毫無(wú)疑問(wèn)，反病毒軟件已經(jīng)非常專業(yè)化而且都非常擅長(zhǎng)于清除病毒。如前所述，病毒是另一種類型的威脅。其目的通常是在多臺(tái)計(jì)算機(jī)上制造破壞，為已為人們所熟知。

間諜軟件不同于此，其意圖是要保持隱藏不被人發(fā)現(xiàn)。它盡力避免被反間諜軟件程序所發(fā)現(xiàn)。 因此，一旦間諜軟件成為一個(gè)較嚴(yán)重的問(wèn)題，反間諜軟件程序公司就會(huì)進(jìn)一步發(fā)展，以解決特定間諜軟件的威脅。即使一種產(chǎn)品提供了反病毒和反間諜軟件雙重功能，這也就意味著它要用兩種不同的引擎來(lái)執(zhí)行評(píng)估，因?yàn)檫@兩種威脅是截然不同的。反病毒軟件需要一種與病毒特征相關(guān)的不同類型的查找機(jī)制。另一方面，反間諜軟件需要一種不同的方法檢測(cè)間諜軟件。這就是反病毒軟件和反間諜軟件已發(fā)展為分離的兩種程序的原因。

有些問(wèn)題是小型企業(yè)所獨(dú)有的。首先，就資源來(lái)說(shuō)，小型企業(yè)可能不會(huì)擁有與大型企業(yè)相媲美的資源水平。以熟練的IT專業(yè)人員為例，大型企業(yè)有能力雇傭安全專家重點(diǎn)解決病毒和間諜軟件問(wèn)題。安全專家可以恰如其分地阻止和監(jiān)視雇員對(duì)互聯(lián)網(wǎng)的應(yīng)用。安全專家能夠找到并實(shí)施圍繞著企業(yè)安全水平的解決方案，而另一個(gè)IT雇員可以處理網(wǎng)絡(luò)基本結(jié)構(gòu)和網(wǎng)絡(luò)的其它問(wèn)題。

中小型企業(yè)通常并沒(méi)有很多具備不同專業(yè)知識(shí)和技能的IT專業(yè)人士。正相反，可能會(huì)有一個(gè)雇員甚至是一個(gè)兼職的雇員處理網(wǎng)絡(luò)的安裝、安全等多種問(wèn)題。因此，中小型企業(yè)可能更易于受到間諜軟件的威脅，因?yàn)樗鼈儾豢赡塬@得識(shí)別和解決這些問(wèn)題的幫助和能力。中小型企業(yè)需要反間諜軟件和反病毒軟件的保護(hù)，因?yàn)楹诳蜁?huì)發(fā)現(xiàn)訪問(wèn)其網(wǎng)絡(luò)是如此簡(jiǎn)易輕松。與敢于花費(fèi)大量的資源和時(shí)間用于保護(hù)網(wǎng)絡(luò)安全的大型企業(yè)相比，小型企業(yè)可能會(huì)更易于受到這類攻擊。

新的間諜軟件威脅

研究發(fā)現(xiàn)，Rootkit正被大量地、經(jīng)常性地使用著。釣魚(yú)木馬日益猖獗，一些釣魚(yú)詭計(jì)試圖誘導(dǎo)用戶轉(zhuǎn)向某些Web站點(diǎn)，輸入機(jī)密信息。通過(guò)使用Rootkit技術(shù)或木馬劫持用戶的計(jì)算機(jī)，釣魚(yú)欺詐也變得相當(dāng)復(fù)雜和完善了。例如，當(dāng)用戶被導(dǎo)向一個(gè)Web站點(diǎn)，他們可能相信自己正在安全地訪問(wèn)銀行賬號(hào)，并輸入敏感信息，殊不知，這些信息已被捕獲并傳送到了黑客計(jì)算機(jī)上。調(diào)查發(fā)現(xiàn)，有些人們認(rèn)為銷聲匿跡的網(wǎng)絡(luò)欺詐在經(jīng)過(guò)重新包裝之后開(kāi)始粉墨登場(chǎng)。

總之，我們必須要審視和管理所處的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)安全威脅。特別是受經(jīng)濟(jì)利益的驅(qū)使，間諜軟件正在采用更新的技術(shù)并以更加詭秘的姿態(tài)威脅著中小型企業(yè)的網(wǎng)絡(luò)安全，這是目前我們迫切需要解決的關(guān)鍵問(wèn)題。

防御間諜軟件

基本措施與步驟

與對(duì)任何安全威脅一樣，一個(gè)組織需要采取的保護(hù)自己免受間諜軟件侵害的基本措施包含如下幾個(gè)方面的效組合：

◆教育─在打開(kāi)附件、下載和安裝軟件時(shí)，確保所有的用戶理解謹(jǐn)慎小心的必要性。

◆策略─強(qiáng)化一種堅(jiān)固的、公司范圍內(nèi)的防止未授權(quán)下載的互聯(lián)網(wǎng)安全策略，實(shí)施防止未授權(quán)訪問(wèn)桌面計(jì)算機(jī)的口令。

◆安全性─安裝最新的瀏覽器和操作系統(tǒng)補(bǔ)丁，確保瀏覽器的正確地安全設(shè)置,部署最新的端點(diǎn)和網(wǎng)關(guān)威脅保護(hù)。

◆控制─確保對(duì)應(yīng)用程序如即時(shí)消息(IM)，VoIP和P2P文件共享被集成到現(xiàn)存的反惡意檢測(cè)和管理架構(gòu)中。

安全和控制

除了這些基本的步驟之外，企業(yè)應(yīng)該實(shí)施一種集成性的安全方案，從而保護(hù)端點(diǎn)和網(wǎng)關(guān)。不但要防護(hù)病毒、木馬、釣魚(yú)攻擊、僵尸攻擊、垃圾信息等，企業(yè)還需要防止策略濫用、應(yīng)用程序的未授權(quán)使用、未授權(quán)的網(wǎng)絡(luò)訪問(wèn)，要對(duì)日益增長(zhǎng)的威脅的復(fù)雜性作為一個(gè)整體而不是一個(gè)獨(dú)立的問(wèn)題來(lái)管理。

總之，企業(yè)需要通過(guò)用戶教育、策略加強(qiáng)和技術(shù)的有效組合，在間諜軟件的防御中采取主動(dòng)性的方法。在克服間諜軟件和相關(guān)的應(yīng)用程序所造成的威脅方面，采用可信任的廠商所提供的解決方案是解決安全和控制問(wèn)題的關(guān)鍵要素。如Sophos的解決方案中就提供了如下的系列產(chǎn)品，如Sophos Web Security Appliance，Sophos Email Security Appliances，Sophos Endpoint Security，等，可提供對(duì)Web站點(diǎn)、電子郵件、端點(diǎn)的安全性管理。當(dāng)然，不只是外國(guó)的產(chǎn)品，國(guó)內(nèi)的瑞星殺毒套裝、金山殺毒套裝也開(kāi)始提供類似的功能。應(yīng)該說(shuō)，采用經(jīng)過(guò)認(rèn)證的安全防御產(chǎn)品是極端重要的一個(gè)措施。