| 10 апр 2024 — 3:00 PT
Apple @ Work предоставляется вам компанией Kolide от 1Password, решением для обеспечения доверия к устройствам, которое гарантирует, что если устройство небезопасно, оно не сможет получить доступ к вашим приложениям. Закройте пробел в доступе Zero Trust для Okta. Узнайте больше или посмотрите демо.
Недавно я разговаривал с кем-то о том, какими были первые дни второго пришествия Apple с iPod, и упомянул, что у пользователей Mac было неоспоримое преимущество перед пользователями ПК: отсутствие вирусов и вредоносных программ. Это было время, когда пользователи ПК могли подхватить вирус просто от того, что неправильно вдохнули. Основной аргумент мейнстрима того времени заключался в том, что, как только Mac станут популярными, они также будут наполнены вирусами. Mac стали популярными (особенно на работе), но массовых вирусных атак так и не произошло. Так возникает вопрос 2024 года: нужна ли вам защита от вредоносных программ на macOS на работе?
О Apple @ Work: Брэдли Чемберс управлял корпоративной ИТ-сетью с 2009 по 2021 год. Благодаря своему опыту развертывания и управления межсетевыми экранами, коммутаторами, системой управления мобильными устройствами, Wi-Fi корпоративного уровня, тысячами Mac и тысячами iPad, Брэдли расскажет о том, как ИТ-менеджеры Apple развертывают устройства Apple, создают сети для их поддержки, обучают пользователей, поделится историями из реальной практики ИТ-управления и расскажет, как Apple может улучшить свои продукты для ИТ-отделов.
Что делает Apple для борьбы с вредоносными программами?
Apple оставляет вас наедине с вредоносными программами, поскольку они выполняют множество действий «за кулисами» в macOS для предотвращения утечек вредоносного ПО. Apple имеет протокол анализа угроз для выявления и нейтрализации вредоносных программ. Фреймворк защиты от вредоносных программ Apple построен вокруг трех основных уровней:
- Предотвращение запуска или выполнения вредоносных программ: использует App Store, Gatekeeper и Notarization для предотвращения запуска вредоносных программ.
- Прерывание работы вредоносных программ на системах пользователей: использует Gatekeeper, Notarization и XProtect для остановки вредоносных программ на лету.
- Смягчение последствий выполненных вредоносных программ: использует XProtect для исправления вредоносных программ после выполнения.
Первая линия обороны направлена на прекращение распространения вредоносных программ и предотвращение их активации через App Store, Gatekeeper и Notarization. Следующий уровень защиты обеспечивает быстрое обнаружение и прерывание работы вредоносных программ в любой системе Mac, используя XProtect, Gatekeeper и Notarization для остановки распространения и устранения заражения. XProtect предназначен для исправления вредоносных программ, которые сумели выполниться, обеспечивая целостность системы.
Существуют дополнительные меры безопасности, особенно на Mac с Apple silicon, для минимизации воздействия любых вредоносных программ, которые могут выполниться. macOS также включает функции для защиты пользовательских данных от вредоносных программ и поддержания целостности операционной системы.
Notarization Explained (Нотаризация объяснена)
Notarization — это служба Apple для сканирования на наличие вредоносных программ. Разработчики, распространяющие приложения macOS за пределами App Store, должны отправлять свои приложения на сканирование на наличие вредоносных программ. Если вредоносные программы не обнаружены, выдается билет Notarization, который разработчики прилагают к своему приложению, позволяя Gatekeeper проверить и запустить приложение даже без подключения к Интернету.
Apple может отозвать Notarization для приложений, идентифицированных как вредоносные, гарантируя, что Gatekeeper обновлен последней информацией для оперативной блокировки таких приложений. Эта система позволяет быстро реагировать на новые угроги, охватывая как ранее, так и не ранее нотаризованные приложения.
Подробности о XProtect
XProtect, встроенный антивирус macOS, использует сигнатуры YARA для обнаружения и удаления вредоносных программ. Apple постоянно обновляет эти сигнатуры «за кулисами», независимо от обновлений системы, для защиты Mac от вредоносных программ. XProtect активно блокирует известные вредоносные программы и уведомляет пользователей, предлагая возможность удалить вредоносное ПО.
Обнаружение на основе сигнатур XProtect является широким и способно идентифицировать варианты известных вредоносных программ. Он сканирует приложения при запуске, после изменений и при обновлении сигнатур. XProtect также включает механизмы для исправления вредоносных программ, предоставляя обновления от Apple для удаления заражений без необходимости перезагрузки системы.
Автоматические обновления безопасности XProtect
Apple автоматически обновляет XProtect на основе последней информации об угрозах, при этом macOS проверяет наличие обновлений ежедневно. Обновления Notarization происходят еще чаще через синхронизацию CloudKit.
Реакция Apple на обнаружение вредоносных программ
При обнаружении новых вредоносных программ Apple предпринимает ряд шагов, включая отзыв сертификатов Developer ID, выпуск билетов на отзыв Notarization, а также разработку и выпуск сигнатур XProtect. Эти действия применяются ретроактивно и к новым обнаружениям, обеспечивая быструю и комплексную защиту пользователей Mac от возникающих угроз.
Достаточно ли XProtect?
XProtect от Apple является ключевой частью обязательств компании по обеспечению безопасности пользователей, работая незаметно в фоновом режиме без вмешательства пользователя и не замедляя работу устройства. XProtect — это мощный инструмент в арсенале безопасности macOS, обеспечивающий уровень защиты, на который многие пользователи привыкли полагаться, даже не осознавая этого.
Однако, когда речь идет о корпоративном ИТ и мире безопасности, требования к безопасности часто выходят за рамки возможностей XProtect. В то время как XProtect обеспечивает прочную основу для обнаружения и удаления угроз, современные предприятия сталкиваются с различными изощренными угрозами, которые требуют более комплексной стратегии и развертывания безопасности. Именно здесь в игру вступают фреймворки Apple Endpoint Security, позволяющие компаниям по безопасности разрабатывать инструменты Endpoint Detection and Response (EDR), которые улучшают и расширяют базовую безопасность, предоставляемую XProtect, и делают это таким образом, чтобы не влиять на пользовательский опыт (что является ключевым моментом!)
Инструменты EDR, разработанные с использованием фреймворков Apple, предлагают расширенные функции, которые особенно важны для предприятий, включая некоторые из следующих:
- Мониторинг всех файлов и приложений
- Возможности управления процессами
- Сканирование файлов в реальном времени и возможности помещения в карантин
- Настраиваемые оповещения и уведомления для ИТ-отделов
- Принудительное применение пользовательских списков разрешенных/заблокированных элементов
- Дополнительные элементы управления безопасностью и защита от потери данных или конфиденциальных данных компании, включая меры по обеспечению безопасности USB-портов и других внешних точек подключения.
TL;DR: хотя Mac по своей сути безопасны, а XProtect обеспечивает надежный уровень защиты, динамичный и сложный ландшафт угроз, с которым сегодня сталкиваются корпоративные ИТ-команды, требует дополнительных инструментов. Эти инструменты обеспечивают соответствие отраслевым нормам и внутренним политикам, а также предоставляют расширенные возможности ведения журналов, отчетности и управления политиками, необходимые для настройки практик безопасности в соответствии с уникальными потребностями каждой организации.
Для бизнеса использование решений EDR, интегрированных с фреймворком Apple Endpoint Security, является ключевой частью защиты пользовательского опыта при сохранении безопасности.
Заключение
Хотя XProtect является ключевой частью истории безопасности macOS, специализированные потребности предприятий в управлении и снижении рисков в современной среде кибербезопасности делают убедительным аргументом в пользу использования дополнительных, более сложных инструментов EDR. Эти инструменты дополняют встроенные возможности XProtect, предоставляя предприятиям комплексный подход к безопасности, необходимый для сохранения безопасности в 2024 году.
Apple @ Work предоставляется вам компанией Kolide от 1Password, решением для обеспечения доверия к устройствам, которое гарантирует, что если устройство небезопасно, оно не сможет получить доступ к вашим приложениям. Закройте пробел в доступе Zero Trust для Okta. Узнайте больше или посмотрите демо.