人們普遍認(rèn)為macOS比Windows更安全，于是乎很多中小企業(yè)就利用macOS來追求安全性，但對(duì)于完全依賴macOS來保證安全的中小型企業(yè)來說，這是非常危險(xiǎn)的。比如，用戶將找不到macOS中內(nèi)置的類似Defender的安全中心。

在這篇文章中，我們將從三方面介紹macOS安全性，這對(duì)于目前沒有在macOS設(shè)備上部署額外終端保護(hù)的企業(yè)來說是至關(guān)重要的。

蘋果的平臺(tái)安全策略

蘋果關(guān)于在macOS上防范惡意軟件介紹的最近一次更新是在2022年5月，最新公開文件指出，其惡意軟件防御分為三方面：

防止惡意軟件啟動(dòng)或執(zhí)行：App Store或Gatekeeper與Notarisation的結(jié)合；

阻止惡意軟件在客戶系統(tǒng)上運(yùn)行：Gatekeeper、Notarisation和XProtect；

修復(fù)已執(zhí)行的惡意軟件：XProtect，macOS 內(nèi)建了稱為 XProtect 的防病毒技術(shù)，可基于簽名檢測和移除惡意軟件。系統(tǒng)使用由 Apple 定期更新的 YARA 簽名，YARA 是一款用來基于簽名檢測惡意軟件的工具。你可以認(rèn)為它是 macOS 系統(tǒng)中的“Defender”。

不過這些技術(shù)的透明性和可做作性都不是太好，例如，不可能允許或排除用戶或設(shè)備之間的特定應(yīng)用程序或代碼。在單個(gè)設(shè)備上，用戶可以制定非常廣泛的系統(tǒng)策略決策，例如允許或拒絕來自App Store外部的所有應(yīng)用程序，但即便如此，除非系統(tǒng)由移動(dòng)設(shè)備管理平臺(tái)(MDM)解決方案管理，否則本地用戶在沒有管理員權(quán)限的情況下也可以覆蓋該策略。

從企業(yè)安全的角度來看，更令人擔(dān)憂的是，幾乎看不到哪些代碼被阻止，何時(shí)以及為什么被阻止，也不清楚這些掃描是何時(shí)執(zhí)行的，也不知道它們的有效性。另外就是惡意軟件修復(fù)會(huì)在后臺(tái)悄無聲息地發(fā)生，而不會(huì)向用戶發(fā)出提示或警告。在企業(yè)環(huán)境中，這些遠(yuǎn)遠(yuǎn)不夠的，因?yàn)榘踩S護(hù)人員無法掌握信息。如果要充分保護(hù)企業(yè)，安全團(tuán)隊(duì)需要了解惡意軟件是何時(shí)出現(xiàn)在系統(tǒng)的，存在了多長時(shí)間以及惡意軟件的攻擊源在哪里等。

1. XProtect簽名經(jīng)常會(huì)忽略一些最新的惡意軟件

根據(jù)蘋果的說法，macOS內(nèi)置了名為XProtect的防病毒技術(shù)，用于基于簽名的惡意軟件檢測和刪除。該系統(tǒng)使用YARA簽名，這是一種用于進(jìn)行基于簽名的惡意軟件檢測的工具，蘋果會(huì)定期更新。

蘋果XProtect的最后一次更新，包含這些YARA簽名的bundle是在6月29日開發(fā)的，但根據(jù)設(shè)備的位置，更新可能要幾天后才能發(fā)布。

為什么蘋果所謂的沉默式安防策略并不能讓用戶覺得安全？

不幸的是，這次更新沒有包括對(duì)文件簽名的任何更改，蘋果稱這些更改增強(qiáng)了XProtect的阻止能力。YARA文件具有與去年2月更新的版本2166相同的哈希。

為什么蘋果所謂的沉默式安防策略并不能讓用戶覺得安全？

如果從版本號(hào)來看，在過去的12個(gè)月里，XProtect的YARA規(guī)則應(yīng)該有7次更新，但實(shí)際上在網(wǎng)絡(luò)安全公司SentinelOne的測試設(shè)備中只觀察到3次。此外，去年11月發(fā)布的2165版本與最近發(fā)布的版本之間的區(qū)別僅僅是增加了針對(duì)兩個(gè)惡意軟件家族的規(guī)則：一個(gè)針對(duì)Keysteal，2019年2月7日。德國安全研究人員 Linus Henze 發(fā)現(xiàn)了 macOS 零日漏洞,名為“KeySteal”,它可以用來獲取 Mac 用戶在鑰匙串訪問應(yīng)用中存儲(chǔ)的所有敏感數(shù)據(jù)；另兩個(gè)是Honkbox。

由于在過去的幾個(gè)月里，SentinelOne和許多其他供應(yīng)商都報(bào)告了多種新的macOS惡意軟件，因此完全依賴XProtect規(guī)則的用戶和管理員應(yīng)該提高防護(hù)意識(shí)。

2. XProtectRemediator會(huì)隱藏攻擊痕跡

XProtect Remediator 是對(duì)現(xiàn)有 XProtect 系統(tǒng)工具的補(bǔ)充。去年九月，在 macOS 12.3 Monterey 發(fā)布前后，蘋果悄悄為其 XProtect 服務(wù)推出了一種新的 XProtect Remediator 工具，該工具可在后臺(tái)檢查惡意軟件。XProtect Remediator 會(huì)更頻繁地查找惡意軟件并在檢測到惡意軟件時(shí)對(duì)其進(jìn)行修復(fù)。盡管蘋果的主要惡意軟件攔截工具缺乏更新，但其一直在定期地更新其MRT替代工具XProtectRemeditor。XProtectRemeditor每天每隔6小時(shí)運(yùn)行一次，查找已知惡意軟件家族。

對(duì)于信息竊取者來說，6個(gè)小時(shí)的時(shí)間太長了，尤其是他們只需要幾秒鐘就可以完成工作。會(huì)話cookie是攻擊者進(jìn)一步潛入組織的主要目標(biāo)，并將單個(gè)Mac的攻擊轉(zhuǎn)化為嚴(yán)重的漏洞，例如最近在CircleCI發(fā)生的情況。CircleCI是一個(gè)非常流行的CI/CD持續(xù)集成開發(fā)平臺(tái)，號(hào)稱向超過一百萬軟件工程師用戶提供“快速可靠的”開發(fā)服務(wù)。

如上所述，macOS上沒有用戶界面來讓用戶了解哪些惡意軟件已被修復(fù)，何時(shí)以及如何被引入系統(tǒng)。然而，從macOS Ventura開始，沒有第三方可見性工具的系統(tǒng)管理員可以嘗試?yán)胢acOS 13引入的eslogger工具。Apple 并不經(jīng)常為我們提供專門針對(duì)安全性的新工具，但 ESLogger 看起來對(duì)安全從業(yè)人員、惡意軟件分析師和威脅檢測工程師來說可能非常有用。根據(jù)發(fā)布的該工具的手冊(cè)頁，ESLogger 與 Endpoint Security 框架共同記錄 ES 事件，這些事件可以輸出到文件、標(biāo)準(zhǔn)輸出或統(tǒng)一的日志系統(tǒng)。Apple 還通過向 ES 框架添加更多 NOTIFY 事件來重申其對(duì)第三方安全產(chǎn)品的承諾，并且 ESLogger 支持現(xiàn)在在 macOS Ventura 中可用的所有 80 個(gè) NOTIFY 事件。 ESLogger 為研究人員提供了對(duì)安全相關(guān)事件的急需且方便的可見性，而無需部署完整的 ES 客戶端。

不幸的是，eslogger并沒有考慮到企業(yè)規(guī)模。這將需要一些基礎(chǔ)設(shè)施和外部工具，以便將整個(gè)檢測結(jié)果帶入一個(gè)可以監(jiān)控和挖掘數(shù)據(jù)的中央數(shù)據(jù)庫。在這兩種情況下，除非安全團(tuán)隊(duì)積極主動(dòng)，否則蘋果的XProtectRemediator將會(huì)在發(fā)現(xiàn)惡意軟件時(shí)悄悄地將其刪除，而不會(huì)提醒用戶或管理員曾經(jīng)發(fā)生過攻擊。類似地，該工具既不會(huì)警告也不會(huì)記錄可疑惡意活動(dòng)，因?yàn)樗鼪]有明確地編程工具來檢測。

對(duì)企業(yè)和蘋果來說，依靠這種補(bǔ)救方式來提高自身安全是一種高風(fēng)險(xiǎn)的策略。在這種情況下，誤報(bào)的風(fēng)險(xiǎn)可能會(huì)對(duì)用戶和企業(yè)造成嚴(yán)重傷害，所以蘋果很可能在檢測和默默刪除方面設(shè)計(jì)了非常保守的工具。

對(duì)于企業(yè)來說，無法接收警報(bào)和難以檢查日志意味著，XProtectRemeditor幾乎不可能發(fā)現(xiàn)遺漏的感染，也不可能追蹤其刪除的感染的根本原因，也不太可能進(jìn)一步調(diào)查事件及其對(duì)組織的影響。

3.XProtectBehaviorService：隱藏檢測活動(dòng)

蘋果公司最近增加了一項(xiàng)惡意軟件檢測技術(shù)，該技術(shù)尚未公開發(fā)布，名稱為XProtectBehaviorService。

為什么蘋果所謂的沉默式安防策略并不能讓用戶覺得安全？

目前，該服務(wù)只是靜默地記錄違反某些預(yù)編程行為規(guī)則的應(yīng)用程序的詳細(xì)信息，這些規(guī)則目前在/usr/libexec/syspolicyd中定義。

為什么蘋果所謂的沉默式安防策略并不能讓用戶覺得安全？

這些規(guī)則(內(nèi)部稱為“堡壘規(guī)則”)在位于/var/protected/xprotect/ xpdb的隱藏sqlite數(shù)據(jù)庫中記錄違規(guī)行為。值得稱贊的是，蘋果正在記錄對(duì)Slack和Teams等企業(yè)應(yīng)用程序以及各種瀏覽器和聊天應(yīng)用程序中數(shù)據(jù)的訪問。然而，問題仍然存在，蘋果打算為用戶，特別是管理、IT和安全團(tuán)隊(duì)提供什么訪問權(quán)限，以及在進(jìn)一步操作過程中收集的信息。例如，這些日志最近被用于調(diào)查APT攻擊，該攻擊感染了四個(gè)macOS Ventura系統(tǒng)，XProtect既沒有成功阻止該攻擊，XProtectRemediator也沒有將其刪除。

盡管這些數(shù)據(jù)現(xiàn)在可以由事件響應(yīng)人員找到，但收集這些數(shù)據(jù)并學(xué)習(xí)如何使用這些數(shù)據(jù)卻落在了負(fù)責(zé)安全的人員的肩上。上述示例說明那些完全依賴蘋果提供保護(hù)的It團(tuán)隊(duì)，必須主動(dòng)分析他們的macOS設(shè)備，并挖掘蘋果隱藏的日志和監(jiān)測數(shù)據(jù)。

總結(jié)

如上所述，蘋果在安全方面的做法與其他操作系統(tǒng)供應(yīng)商不同，這本身并無好壞之分，重要的是管理員要清楚地知道他們的操作系統(tǒng)是如何處理安全事件的。一個(gè)好的、安靜的系統(tǒng)并不一定意味著一個(gè)安全可靠的系統(tǒng)。

了解公司終端上發(fā)生的事情是保護(hù)設(shè)備的第一步，在macOS后端發(fā)生的與安全相關(guān)的事件比面上看到的要多得多。

本文翻譯自：https://www.sentinelone.com/blog/mac-admins-why-apples-silent-approach-to-endpoint-security-should-be-a-wake-up-call/如若轉(zhuǎn)載，請(qǐng)注明原文地址