| 24 декабря 2024 г. — 10:17 PT
9to5Mac Security Bite эксклюзивно предоставляется Mosyle, единственной универсальной платформой Apple. Мы делаем устройства Apple готовыми к работе и безопасными для бизнеса. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе передовые решения для безопасности, специфичные для Apple, для полностью автоматизированного укрепления и соответствия требованиям, EDR следующего поколения, основанный на ИИ нулевой доверительный доступ и эксклюзивное управление привилегиями с самым мощным и современным MDM для Apple на рынке. Результатом является полностью автоматизированная Универсальная платформа Apple, которой в настоящее время доверяют более 45 000 организаций, чтобы миллионы устройств Apple были готовы к работе без усилий и по доступной цене. Запросите свою РАСШИРЕННУЮ ПРОБНУЮ ВЕРСИЮ сегодня и поймите, почему Mosyle — это все, что вам нужно для работы с Apple.
Я являюсь подписчиком CleanMyMac почти десять лет, и я был искренне впечатлен недавним фокусом приложения на предоставлении пользователям Mac простых, но эффективных функций обнаружения и предотвращения вредоносных программ. Поэтому, когда MacPaw предложил оплатить мою поездку в Киев, Украина, чтобы встретиться и взять интервью у руководителей Moonlock, своего подразделения кибербезопасности, я ухватился за эту возможность.
Это интервью разделено на три части: О Moonlock, технологии, лежащей в основе Moonlock Engine, и планах на будущее.
Раскрытие информации: Украина — страна в состоянии войны. Многие члены команды Moonlock также участвуют в обороне своей страны, поэтому ниже могут использоваться вымышленные имена для защиты их личности. Некоторые части стенограммы были отредактированы для ясности.
Вы читаете Security Bite, колонку, посвященную безопасности на 9to5Mac. Каждую неделю Arin Waichulis предоставляет аналитику и интервью о последних тенденциях в области конфиденциальности данных, текущем ландшафте вредоносных программ и возникающих угрозах в обширной экосистеме Apple из более чем 2 миллиардов активных устройств.
На момент написания статьи штаб-квартира MacPaw, именно то место, где проводилось это интервью несколько недель назад, была сильно повреждена в результате ракетного обстрела. Мои мысли с командой. К счастью, никто не пострадал. Пожалуйста, рассмотрите возможность поддержки инициативы MacPaw по оказанию помощи.
Итак, с этим разобрались, вот мое полное интервью. В комнате: Олег (руководитель продукта Moonlock), Борис (руководитель Moonlock Lab, отдела исследований), Анастасия (старший PR-специалист Moonlock) и я.
В: Не могли бы вы рассказать, что вдохновило MacPaw на открытие подразделения кибербезопасности?
От Олега, руководителя продукта Moonlock в MacPaw:
Стало ясно, что после добавления первых модулей обнаружения вредоносных программ в CleanMyMacX, это оказалась гораздо более масштабная тема, чем мы изначально думали — мы только начали разбираться.
Мы начали задаваться вопросом: почему бы не создать что-то лучшее и более комплексное? Это видение вылилось в Moonlock. В отличие от других компаний, занимающихся кибербезопасностью, ориентированных на бизнес или системы Windows, мы работаем с Mac уже много лет, так что это казалось естественным шагом. Кроме того, многие пользователи Mac ошибочно полагают, что Mac невосприимчивы к вирусам или вредоносным программам, что не соответствует действительности.
Следующим логическим шагом для MacPaw стало устранение этого пробела. Мы уже чистили машины и удаляли вредоносные файлы, так почему бы не пойти дальше и не предотвратить их причинение вреда в первую очередь?
В: Понятно. А миссия Moonlock — на чем вы фокусируетесь?
Олег:
Миссия Moonlock — сделать кибербезопасность доступной для всех. Когда мы общаемся с пользователями, они часто выражают осведомленность о кибербезопасности и иногда беспокойство, но редко предпринимают активные шаги для защиты себя — если только они уже не столкнулись с инцидентом.
Для многих пользователей инцидент становится поворотным моментом. До этого, даже если они слышали об угрозах кибербезопасности, они часто занимают пассивную позицию, потому что не знают, с чего начать, или у них нет времени учиться.
Вот где на сцену выходит Moonlock. Мы стремимся преодолеть этот разрыв. Концепции кибербезопасности могут иметь крутую кривую обучения, но мы верим, что можем предоставить инструменты, которые защищают пользователей, не требуя от них становиться экспертами.
CleanMyMac воспринимается как простой, но мощный инструмент. Мы хотим привнести ту же философию и в Moonlock. Речь идет о создании решений, которые просты в использовании — возможно, всего пара кликов — но при этом невероятно эффективны.
В: Переходя к технологии, не могли бы вы объяснить, что делает Moonlock Engine?
Олег:
Движок Moonlock разработан специально для Mac. Его создают инженеры, которые разбираются в macOS, включая то, как вредоносные программы могут сохраняться и заражать системы. Этот глубокий опыт позволяет нам адаптировать движок для эффективного противодействия угрозам, специфичным для Mac.
Одним из его наиболее значительных преимуществ является то, что он интегрирован в CleanMyMac. Таким образом, любой пользователь, который устанавливает CleanMyMac, даже для целей очистки, автоматически получает преимущества встроенных функций безопасности.
С технической стороны, движок использует комбинацию статического и динамического анализа. Статический анализ включает в себя проверку самого кода, а динамический анализ — выполнение кода в виртуальной среде для наблюдения за его поведением. Такой двойной подход имеет решающее значение, поскольку некоторые вредоносные программы разработаны так, чтобы «спать» неделями или месяцами, что затрудняет их обнаружение.
Мы также сбалансировали тщательное сканирование с производительностью. Например, у нас есть быстрое сканирование, которое быстро проверяет наиболее распространенные места на наличие вредоносных программ, и глубокое сканирование, которое проверяет дополнительные области и типы файлов.
В: Появились ли новые функции безопасности в новом переработанном CleanMyMac?
Олег:
В настоящее время мы не добавляем новые крупные функции безопасности в CleanMyMac, но постоянно обновляем движок в фоновом режиме. Он не является кардинально новым, но улучшается с каждым обновлением. Мы часто обновляем базы данных, чтобы отлавливать угрозы верхнего уровня, добавляем сигнатуры и модифицируем методы обнаружения, чтобы идти в ногу с авторами вредоносного ПО. Это всегда игра в кошки-мышки.
Apple в целом хорошо справляется с остановкой вредоносных программ. У них есть инструменты защиты, встроенные в систему, такие как XProtect и Gatekeeper. Но пользователи все равно кликают по ссылкам или запускают подозрительные вещи, и именно здесь мы пытаемся помочь им не делать опасных вещей.
В: Борис, не могли бы вы рассказать о Moonlock Lab и о том, чем занимается ваша команда в плане исследований?
Борис, руководитель отдела исследований Moonlock, Moonlock Lab:
В MoonLock Labs мы изучаем не только образцы или вредоносный код, но и пытаемся понять намерения авторов вредоносного ПО. Мы живем в эпоху технологий, которые могут скрывать, обфусцировать и мутировать код. Если авторы используют ChatGPT или нейронные сети для мутации кода, они могут генерировать множество вариантов, которые никто не может понять при простом наблюдении.
Мы сосредоточены на понимании поведения вредоносного ПО и совершенствовании наших технологий для сбора и изучения образцов через их поведение. Вы можете изучать код статически, просматривая его, или динамически, запуская его в виртуальной среде. Вредоносное ПО может спать днями, неделями или месяцами, поэтому даже улучшенные песочницы не всегда могут выявить вредоносное поведение.
Недавняя тенденция — это вредоносное ПО как услуга. Кто-то может написать вредоносный код без коммерческих целей и продать его на рынках даркнета за биткоины. Это делает его более опасным, потому что теперь люди, которые не умеют писать вредоносное ПО, могут его приобрести и запустить.
В: Вы наблюдаете рост преступной деятельности в определенных регионах… возможно, в России?
Борис:
Атрибуция — это самая сложная часть. Вы не всегда можете сказать по коду, что он российский, китайский или северокорейский. Путем исследований и погружения в C2-серверы, сравнения элементов кода на GitHub или в даркнете, вы можете проследить путь, чтобы понять его происхождение. Это как быть следователем.
IP-адреса не абсолютно полезны, потому что Россия использует методы экспансии. Они захватывают IP-адреса, дефейсят сайты в любой стране, взламывают инфраструктуру и превращают ее в прокси. Распространены ботнеты, созданные из плохо защищенных смарт-устройств. Вводятся законодательные акты, обязывающие производителей соблюдать стандарты безопасности, поскольку многие устройства по-прежнему используют пароли администратора по умолчанию.
Олег:
Рынок Mac, похоже, проходит все те же этапы, что и Windows, только на десятилетия позже и гораздо быстрее. Это как второй сезон того же сериала на другой платформе. Исследователи Windows могут применить свои знания для быстрого решения этих проблем, прежде чем они станут такими же огромными, как на Windows.
В: Планируется ли вынести MoonLock из CleanMyMac в отдельный продукт, например, решение EDR?
Олег:
Мы как раз работаем над таким продуктом. Мы говорили об этом во время запуска MoonLock — преобразование наших знаний и наблюдений в практическую помощь для пользователей. Нашим первым шагом было улучшение функции удаления CleanMyMac в движок Moonlock для немедленной защиты миллионов пользователей.
Мы строим, чтобы реализовать наше видение по обеспечению доступности кибербезопасности для каждого пользователя Mac, делая ее более сложной, функциональной, но при этом простой для понимания и доступной. Это требует времени. Основная задача — не просто создавать инструменты безопасности, а вдохновлять пользователей на их внедрение и изменение своих привычек.
Люди часто считают кибербезопасность скучной или слишком сложной. Мы хотим сделать ее яркой и простой в использовании, как CleanMyMac — где пользователям не нужно думать о шагах, оно просто работает. Но это сложнее, потому что в случае с кибербезопасностью, если у вас возникла проблема, уже слишком поздно. Это как вакцины — они нужны до возникновения проблем.
Конец.
Я хочу выразить особую благодарность Анастасии из MacPaw за организацию безупречной и безопасной поездки в такое неспокойное время в Украине. Команда MacPaw — мирового класса. Я могу описать компанию как Google Украины. Серьезно.
Больше информации о безопасности Apple
- Недавно выпущенное приложение позволяет регулярно сканировать ваш iPhone на наличие шпионского ПО Pegasus — которое может получить доступ почти ко всем данным на телефоне — за единовременную плату всего в один доллар.
- Moonlock Lab опубликовал свой отчет об угрозах за 2024 год, в котором подробно описано, как инструменты ИИ, такие как ChatGPT, помогают писать скрипты для вредоносных программ, переход к модели «Вредоносное ПО как услуга» (MaaS) и другие интересные статистические данные, которые они видят на основе внутренних данных.
- Приложение «Пароли» от Apple теперь имеет расширение для Firefox для Mac. Интересно, что в ветке Reddit выяснилось, что это расширение, по-видимому, было создано сторонним разработчиком. Но Apple, похоже, взяла его под свой бренд и название.
- Mosyle эксклюзивно раскрывает 9to5Mac детали о новом семействе загрузчиков вредоносного ПО для Mac. Команда исследований безопасности Mosyle обнаружила, что эти новые угрозы написаны на нетрадиционных языках программирования и используют несколько других хитрых методов уклонения от обнаружения.