人们普遍以为macOS比Windows更安保,于是乎很多中小企业就应用macOS来谋求安保性,但关于齐全依赖macOS来保障安保的中小型企业来说,这是十分风险的。比如,用户将找不到macOS中内置的相似Defender的安保核心。
在这篇文章中,咱们将从三方面引见macOS安保性,这关于目前没有在macOS设备上部署额外终端包全的企业来说是至关关键的。
苹果的平台安保战略
苹果关于在macOS上防范恶意软件引见的最近一次性降级是在2022年5月,最新地下文件指出,其恶意软件进攻分为三方面:
防止恶意软件启动或口头:App Store或Gaeeper与Notarisation的联合;
阻止恶意软件在客户系统上运转:Gaeeper、Notarisation和XProtect;
修复已口头的恶意软件:XProtect,macOS 内建了称为 XProtect 的防病毒技术,可基于签名检测和移除恶意软件。系统经常使用由 Apple 活期降级的 YARA 签名,YARA 是一款用来基于签名检测恶意软件的工具。你可以以为它是 macOS 系统中的“Defender”。
不过这些技术的透明性和可做作性都不是太好,例如,无法能准许或扫除用户或设备之间的特定运行程序或代码。在单个设备上,用户可以制订十分宽泛的系统战略决策,例如准许或拒绝来自App Store外部的一切运行程序,但即使如此,除非系统由移动设备治理平台(MDM)处置计划治理,否则本地用户在没有治理员权限的状况下也可以笼罩该战略。
从企业安保的角度来看,更令人担心的是,简直看不到哪些代码被阻止,何时以及为什么被阻止,也不清楚这些扫描是何时口头的,也不知道它们的有效性。另外就是恶意软件修复会在后盾悄无声息地出现,而不会向用户收回提示或正告。在企业环境中,这些远远不够的,由于安保保养人员无法把握信息。假设要充沛包全企业,安保团队须要了解恶意软件是何时出如今系统的,存在了多长期间以及恶意软件的攻打源在哪里等。
1. XProtect签名经常会疏忽一些最新的恶意软件
依据苹果的说法,macOS内置了名为XProtect的防病毒技术,用于基于签名的恶意软件检测和删除。该系统经常使用YARA签名,这是一种用于启动基于签名的恶意软件检测的工具,苹果会活期降级。
苹果XProtect的最后一次性降级,蕴含这些YARA签名的bundle是在6月29日开发的,但依据设备的位置,降级或许要几天后才干颁布。
为什么苹果所谓的缄默式安防战略并不能让用户感觉安保?
可怜的是,这次降级没有包括对文件签名的任何更改,苹果称这些更改增强了XProtect的阻止才干。YARA文件具备与去年2月降级的版本2166相反的哈希。
为什么苹果所谓的缄默式安防战略并不能让用户感觉安保?
假设从版本号来看,在过去的12个月里,XProtect的YARA规定应该有7次降级,但实践上在网络安保公司SentinelOne的测试设备中只观察到3次。此外,去年11月颁布的2165版本与最近颁布的版本之间的区别仅仅是参与了针对两个恶意软件家族的规定:一个针对Keysteal,2019年2月7日。德国安保钻研人员 Linus Henze 发现了 macOS 零日破绽,名为“KeySteal”,它可以用来失掉 Mac 用户在钥匙串访问运行中存储的一切敏感数据;另两个是Honkbox。
由于在过去的几个月里,SentinelOne和许多其余供应商都报告了多种新的macOS恶意软件,因此齐全依赖XProtect规定的用户和治理员应该提高防护看法。
2. XProtectRemediator会暗藏攻打痕迹
XProtect Remediator 是对现有 XProtect 系统工具的补充。去年九月,在 macOS 12.3 Monterey 颁布前后,苹果轻轻为其 XProtect 服务推出了一种新的 XProtect Remediator 工具,该工具可在后盾审核恶意软件。XProtect Remediator 会更频繁地查找恶意软件并在检测到恶意软件时对其启动修复。虽然苹果的关键恶意软件阻拦工具缺乏降级,但其不时在活期地降级其MRT代替工具XProtectRemeditor。XProtectRemeditor每天每隔6小时运转一次性,查找已知恶意软件家族。
关于信息窃取者来说,6个小时的期间太长了,尤其是他们只有要几秒钟就可以实现上班。会话cookie是攻打者进一步潜入组织的关键指标,并将单个Mac的攻打转化为重大的破绽,例如最近在CircleCI出现的状况。CircleCI是一个十分盛行的CI/CD继续集成开发平台,号称向超越一百万软件工程师用户提供“极速牢靠的”开发服务。
如上所述,macOS上没有用户界面来让用户了解哪些恶意软件已被修复,何时以及如何被引入系统。但是,从macOS Ventura开局,没有第三方可见性工具的系统治理员可以尝试应用macOS 13引入的eslogger工具。Apple 并不经常为咱们提供专门针对安保性的新工具,但 ESLogger 看起来对安保从业人员、恶意软件剖析师和要挟检测工程师来说或许十分有用。依据颁布的该工具的手册页,ESLogger 与 Endpoint Security 框架独特记载 ES 事情,这些事情可以输入到文件、规范输入或一致的日志系统。Apple 还经过向 ES 框架参与更多 NOTIFY 事情来重申其对第三方安保产品的承诺,并且 ESLogger 支持如今在 macOS Ventura 中可用的一切 80 个 NOTIFY 事情。 ESLogger 为钻研人员提供了对安保关系事情的急需且繁难的可见性,而无需部署完整的 ES 客户端。
可怜的是,eslogger并没有思考到企业规模。这将须要一些基础设备和外部工具,以便将整个检测结果带入一个可以监控和开掘数据的中央数据库。在这两种状况下,除非安保团队踊跃被动,否则苹果的XProtectRemediator将会在发现恶意软件时轻轻地将其删除,而不会提示用户或治理员曾经出现过攻打。相似地,该工具既不会正告也不会记载可疑恶意优惠,由于它没有明白地编程工具来检测。
对企业和苹果来说,依托这种弥补形式来提高自身安保是一种高风险的战略。在这种状况下,误报的风险或许会对用户和企业形成重大损伤,所以苹果很或许在检测和默默删除方面设计了十分激进的工具。
关于企业来说,无法接纳警报和难以审核日志象征着,XProtectRemeditor简直无法能发现遗漏的感化,也无法能追踪其删除的感化的基本要素,也不太或许进一步考查事情及其对组织的影响。
3.XProtectBehaviorService:暗藏检测优惠
苹果公司最近参与了一项恶意软件检测技术,该技术尚未地下颁布,称号为XProtectBehaviorService。
为什么苹果所谓的缄默式安防战略并不能让用户感觉安保?
目前,该服务只是静默地记载违犯某些预编程行为规定的运行程序的具体信息,这些规定目前在/usr/libexec/syspolicyd中定义。
为什么苹果所谓的缄默式安防战略并不能让用户感觉安保?
这些规定(外部称为“堡垒规定”)在位于/var/protected/xprotect/ xpdb的暗藏sqlite数据库中记载违规行为。值得美化的是,苹果正在记载对Slack和Teams等企业运行程序以及各种阅读器和聊天运行程序中数据的访问。但是,疑问依然存在,苹果计划为用户,特意是治理、IT和安保团队提供什么访问权限,以及在进一步操作环节中搜集的信息。例如,这些日志最近被用于考查APT攻打,该攻打感化了四个macOS Ventura系统,XProtect既没有成功阻止该攻打,XProtectRemediator也没有将其删除。
虽然这些数据如今可以由事情照应人员找到,但搜集这些数据并学习如何经常使用这些数据却落在了担任安保的人员的肩上。上述示例说明那些齐全依赖苹果提供包全的It团队,必定被动剖析他们的macOS设备,并开掘苹果暗藏的日志和监测数据。
总结
如上所述,苹果在安保方面的做法与其余操作系统供应商不同,这自身并无好坏之分,关键的是治理员要清楚地知道他们的操作系统是如何处置安保事情的。一个好的、宁静的系统并不必定象征着一个安保牢靠的系统。
了解公司终端上出现的事情是包全设备的第一步,在macOS后端出现的与安保关系的事情比面上看到的要多得多。