步步为营:对抗间谍软件威胁的技术与策略

【51CTO.com 专家特稿】间谍软件令人深恶痛绝，其威胁之严重令IT人员不安。防护企业的安全环境要求高度专业化的反病毒技术来保护所有的登录点，还应当要求高级的内核级的防御功能才能完全地阻止未来的间谍软件威胁。

外围阻击：网关保护

为了保护其多个登录点免受危险的间谍软件危害，公司的网络必须采用多层的反间谍软件策略，它包括外围防御、相关的补救手段以及防御组件等。网关应用可以作为一个网络的第一道防线，它在外围提供了实时的保护。为保护网络环境，阻止间谍软件的第一步是在它渗入到桌面工作站之前将它阻止在网络的外围。为此，反间谍方案应当集成到网络上的网关中。实时性的反间谍方案可以实时地扫描网络通信，搜索可疑的程序、文件以及表现出已知间谍软件特征的数据传输。在检测到间谍软件后，立即发出通知以便于阻止其威胁。

防御为先：两种技术

当今的间谍软件设计达到了很高的水准，其中的一个重要表现就是在它得逞之后就很难清除，因此使用高级的防御技术在迎战间谍软件的战斗中是一个至关重要的成分。一些反间谍软件可以扫描系统中现有的间谍软件，这种反应性的被动响应机制意味着间谍软件在清除之前已经安装，这种方法的问题就在于许多形式的间谍软件在安装后几乎难以删除。而主动的防御方法可以实时地有效地抑制那种试图改写系统文件或桌面的欺诈性应用程序，从而可以完全地阻止其安装。

一般而言，有两种间谍软件的防御技术，一是轮流检测技术，二是实时检测技术。后者是更为先进的高级技术，因为它可以时刻提供保护而消耗的资源又极少。

在间谍软件开始活动之前，轮流检测技术不能有效地阻止间谍软件。这种技术是一种防御间谍软件感染的不太可靠的方法，它的设计主要在于经常或定期地检查系统，并仅在间谍软件启动一个进程时才响应。如此一来，间谍软件的感染仅在这种方案确认恶意代码时发生。

与轮流检测技术相反，实时检测技术的优点是，它在间谍软件进程有机会启动之前即在内核水平上被阻止。实时监视意味着系统一直清楚地“知道”每一个进程，并能够连续地阻止恶意代码的执行。在间谍软件向硬盘上写入数据之前，通过截获并破坏恶意活动，实时检测方法提供了一层内核水平的保护，它可以从一开始就主动地、前摄性地防御间谍软件安装到桌面系统。

亡羊补牢：桌面防护

因其特性的原因，使得间谍软件的感染几乎不可避免，因此实施补救措施以应对感染后的问题对于防御威胁同样重要。管理员可以通过扫描现有的间谍软件安装并在计算机内部隔离它而达到补救的目的，如此一来也就避免了其危害。如果隔离了间谍软件已经插入的所有代码，它们就无法与其外部源建立链接。这种策略依赖于这样一个事实：在采取安全措施之前，间谍软件已经存在于计算机上。

桌面方案配备了补救手段和防御组件，可以清除现有的间谍软件实例，而且可以防御通过不安全的互联网访问（如通过个人的笔记本电脑或USB存储设备等）进入的攻击。

将补救手段和防御功能结合到独立的桌面反间谍软件应用程序中可以防止与间谍软件感染有关的风险。不管是公司网络还是家庭环境，桌面保护的扫描功能允许用户扫描并清除已经存在于桌面中的间谍软件，预防性的阻止功能又可以禁止进入的间谍软件到达桌面。

对于企业和个人来说，提供完整的补救措施和防御功能的反间谍软件技术对于威胁的防护是至关重要的。

【51CTO.COM 独家特稿，转载请注明出处及作者！】