如果你曾經(jīng)與計(jì)算機(jī)安全專家進(jìn)行過(guò)咨詢，你可能會(huì)認(rèn)為他們對(duì)于安全問(wèn)題似乎有點(diǎn)偏執(zhí)，但這并非不是一件好事。偏執(zhí)是有效安全防護(hù)的一個(gè)重要組成部分。相反，偏執(zhí)的缺乏則會(huì)是一個(gè)危險(xiǎn)因素，這一弱點(diǎn)尤其體現(xiàn)在企業(yè)Mac電腦的安全問(wèn)題方面。

Mac OS X系統(tǒng)在安全方面贏得了良好的口碑，尤其是與Windows相比，它更為安全。造成這種現(xiàn)象的主要原因是由于針對(duì)Mac平臺(tái)的病毒和惡意軟件相對(duì)來(lái)說(shuō)會(huì)比較少。若經(jīng)常重復(fù)斷言蘋果是不容易被攻擊的話，則是一種過(guò)度自信的危險(xiǎn)信號(hào)。

不斷變化的安全前景

Mac電腦的病毒和惡意軟件不太容易出現(xiàn)，這并非是神話。其原因有很多，部分原因在于系統(tǒng)的設(shè)計(jì)。OS X在安裝特權(quán)代碼時(shí)被要求輸入管理員密碼，從而抵御了大部分各種猖獗的“偷渡式”惡意軟件的安裝，盡管微軟努力控制事態(tài)的發(fā)展，但這類惡意軟件依然長(zhǎng)期困擾著Windows XP，Windows Vista感染程度較輕。

此外，根據(jù)統(tǒng)計(jì)結(jié)果顯示，蘋果電腦一直是惡意軟件開發(fā)者的弱勢(shì)目標(biāo)。操作系統(tǒng)市場(chǎng)中，85%以上的用戶都運(yùn)行著Windows，惡意軟件開發(fā)者自然投入到資源更大的市場(chǎng)中，以便能夠從中獲益。

然而，在OS X發(fā)布的十年以來(lái)，網(wǎng)絡(luò)安全形勢(shì)已經(jīng)變得相當(dāng)復(fù)雜。病毒已經(jīng)過(guò)時(shí)，近代最新的Windows機(jī)器也已經(jīng)能夠很好地抵御它們。那些“壞家伙”正在開發(fā)新的載體，Mac恐難幸免。

超越OS為中心的安全問(wèn)題

我們只是強(qiáng)調(diào)Mac依然存在著安全隱患，而非是針對(duì)OS X進(jìn)行抨擊。但不管底層操作系統(tǒng)的安全性如何，越來(lái)越多的攻擊者運(yùn)用的是第三方渠道。

今年1月，我們從一份重大的安全新聞中獲知：可允許攻擊者執(zhí)行任意代碼且能夠擊敗沙箱的Java 7漏洞已被發(fā)現(xiàn)。由Oracle開發(fā)的Java并沒(méi)有捆綁在OS X上面，但其用途十分廣泛，因?yàn)樵S多網(wǎng)站和獨(dú)立的應(yīng)用程序均用Java所編寫。在得知Java 7存有漏洞的消息后，蘋果封鎖了Java 7瀏覽器插件，但這只是一個(gè)折中的辦法，用戶仍然可以在Mac電腦上安裝Java 7，若這種狀態(tài)一直持續(xù)下去，他們則依然有很大的可能性遭受外部攻擊。

Java只是其安全隱患當(dāng)中的一種。此外，還有被廣泛安裝在Mac和Windws機(jī)器上的Flash，它更為受歡迎。近期，我們發(fā)現(xiàn)一系列最新的Flash安全漏洞，攻擊者可利用Falsh在受害者的電腦上安裝未經(jīng)授權(quán)的軟件，這些系統(tǒng)中包括了Mac。由于Flash和Java是第三方平臺(tái)，除了要進(jìn)行OS X系統(tǒng)更新之外，還必須進(jìn)行第三方平臺(tái)的單獨(dú)更新，也就是說(shuō)，這為IT管理員添加了兩個(gè)額外的工作，與此同時(shí)，更新工作的延遲也為攻擊者增添了更多的機(jī)會(huì)。

Java和Flash只是兩個(gè)例子，我們只想以此來(lái)說(shuō)明如今Mac安全的一個(gè)關(guān)鍵點(diǎn)。要么在第三方軟件運(yùn)行時(shí)關(guān)機(jī)，要么就選擇其它安全策略，總之，無(wú)論在何種安全維護(hù)計(jì)劃中你都必須保持它們是最新的。

網(wǎng)絡(luò)釣魚和社會(huì)工程學(xué)

OS X內(nèi)置的安全防御措施其背后的理念是防止沒(méi)有明確授權(quán)的軟件進(jìn)行特權(quán)操作。但是，如果攻擊者能夠通過(guò)誘騙用戶的惡意行為而得到授權(quán)呢？這也是許多嘗試網(wǎng)絡(luò)釣魚和其它形式社會(huì)工程學(xué)攻擊的人背后的想法。

許多Mac用戶都是自行管理設(shè)備的，且多數(shù)都知道管理員賬戶的密碼，因?yàn)檫@樣便能允許他們安裝軟件。別有居心的攻擊者就可以利用這一點(diǎn)。攻擊者可能會(huì)想在受害者的設(shè)備上安裝任何幾種惡意軟件，其中包括遠(yuǎn)程桌面控制或是用于捕捉登陸和賬戶號(hào)碼的鍵盤記錄軟件等。若要誘使他人安裝這些軟件，攻擊者可以做如下操作：

l  給受害人發(fā)送惡意電子郵件，其內(nèi)容是偽裝成官方的安全更新下載鏈接。

l  給受害人發(fā)送惡意電子郵件，其中的惡意軟件被隱藏在一個(gè)文件中，它看起來(lái)可能像是一張照片或是一個(gè)有趣的視頻。

l  將惡意軟件隱藏在受害人已下載的另一個(gè)軟件中。這種做法通常是將惡意軟件打包在盜版軟件當(dāng)中，但有時(shí)候惡意軟件甚至可以嵌入到正版軟件里面。

事實(shí)上，當(dāng)操作系統(tǒng)提示用戶允許某個(gè)特定設(shè)置時(shí)，很多人會(huì)毫無(wú)疑問(wèn)地執(zhí)行它。其中部分原因是由習(xí)慣問(wèn)題而引起的，一整天里，只要我們進(jìn)行設(shè)置，電腦總會(huì)不停地進(jìn)行提示。利用這種習(xí)慣的攻擊者才不關(guān)心受害人用的是Windows還是Mac。在OS X或其他任何操作系統(tǒng)中，很少有防止陷入社會(huì)工程陷阱的安全防護(hù)設(shè)計(jì)。而對(duì)于企業(yè)來(lái)說(shuō)，則有兩道防線。

其中之一是對(duì)用戶進(jìn)行安全教育。面對(duì)可疑的電子郵件鏈接和系統(tǒng)提示，你可能會(huì)覺得：這不是明擺著的嗎？但有證據(jù)表明，很多人都不會(huì)那么謹(jǐn)慎。持續(xù)的提醒是非常有必要的，以確保人們?cè)诿鎸?duì)郵件鏈接和系統(tǒng)提示時(shí)能夠崩緊那根“安全的弦”。

另一道防線則是掃描工具，它可以在用戶授權(quán)階段之前捕捉到網(wǎng)絡(luò)釣魚和惡意軟件。所以很多人認(rèn)為Mac電腦不需要?dú)⒍拒浖?。?yán)格地說(shuō)這類攻擊并不是病毒，但以業(yè)內(nèi)市場(chǎng)術(shù)語(yǔ)來(lái)講，他已經(jīng)囊括了無(wú)數(shù)種攻擊向量。邁克菲、卡巴斯基和賽門鐵克等大多數(shù)廠商都具備Mac掃描器-病毒先撇開不談-他們都可以對(duì)那些墜入社會(huì)工程學(xué)攻擊的用戶施以幫助。

出站防火墻

說(shuō)到操作系統(tǒng)本身，需要注意的是，OS X僅內(nèi)置了入站防火墻。所以需要運(yùn)行一個(gè)特別的鎖定器，管理員應(yīng)該考慮增加出站防火墻，類似Little Snitch或TCPBlock這種產(chǎn)品。這些軟件可以被用于白名單操作，設(shè)置哪些應(yīng)用程序可以將數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)，或是幫助管理員找到那些不必要的數(shù)據(jù)發(fā)送程序。