人們普遍認為macOS比Windows更安全，于是乎很多中小企業(yè)就利用macOS來追求安全性，但對于完全依賴macOS來保證安全的中小型企業(yè)來說，這是非常危險的。比如，用戶將找不到macOS中內(nèi)置的類似Defender的安全中心。

在這篇文章中，我們將從三方面介紹macOS安全性，這對于目前沒有在macOS設(shè)備上部署額外終端保護的企業(yè)來說是至關(guān)重要的。

蘋果的平臺安全策略

蘋果關(guān)于在macOS上防范惡意軟件介紹的最近一次更新是在2022年5月，最新公開文件指出，其惡意軟件防御分為三方面：

防止惡意軟件啟動或執(zhí)行：App Store或Gatekeeper與Notarisation的結(jié)合；

阻止惡意軟件在客戶系統(tǒng)上運行：Gatekeeper、Notarisation和XProtect；

修復已執(zhí)行的惡意軟件：XProtect，macOS 內(nèi)建了稱為 XProtect 的防病毒技術(shù)，可基于簽名檢測和移除惡意軟件。系統(tǒng)使用由 Apple 定期更新的 YARA 簽名，YARA 是一款用來基于簽名檢測惡意軟件的工具。你可以認為它是 macOS 系統(tǒng)中的“Defender”。

不過這些技術(shù)的透明性和可做作性都不是太好，例如，不可能允許或排除用戶或設(shè)備之間的特定應(yīng)用程序或代碼。在單個設(shè)備上，用戶可以制定非常廣泛的系統(tǒng)策略決策，例如允許或拒絕來自App Store外部的所有應(yīng)用程序，但即便如此，除非系統(tǒng)由移動設(shè)備管理平臺(MDM)解決方案管理，否則本地用戶在沒有管理員權(quán)限的情況下也可以覆蓋該策略。

從企業(yè)安全的角度來看，更令人擔憂的是，幾乎看不到哪些代碼被阻止，何時以及為什么被阻止，也不清楚這些掃描是何時執(zhí)行的，也不知道它們的有效性。另外就是惡意軟件修復會在后臺悄無聲息地發(fā)生，而不會向用戶發(fā)出提示或警告。在企業(yè)環(huán)境中，這些遠遠不夠的，因為安全維護人員無法掌握信息。如果要充分保護企業(yè)，安全團隊需要了解惡意軟件是何時出現(xiàn)在系統(tǒng)的，存在了多長時間以及惡意軟件的攻擊源在哪里等。

1. XProtect簽名經(jīng)常會忽略一些最新的惡意軟件

根據(jù)蘋果的說法，macOS內(nèi)置了名為XProtect的防病毒技術(shù)，用于基于簽名的惡意軟件檢測和刪除。該系統(tǒng)使用YARA簽名，這是一種用于進行基于簽名的惡意軟件檢測的工具，蘋果會定期更新。

蘋果XProtect的最后一次更新，包含這些YARA簽名的bundle是在6月29日開發(fā)的，但根據(jù)設(shè)備的位置，更新可能要幾天后才能發(fā)布。

為什么蘋果所謂的沉默式安防策略并不能讓用戶覺得安全？

不幸的是，這次更新沒有包括對文件簽名的任何更改，蘋果稱這些更改增強了XProtect的阻止能力。YARA文件具有與去年2月更新的版本2166相同的哈希。

為什么蘋果所謂的沉默式安防策略并不能讓用戶覺得安全？

如果從版本號來看，在過去的12個月里，XProtect的YARA規(guī)則應(yīng)該有7次更新，但實際上在網(wǎng)絡(luò)安全公司SentinelOne的測試設(shè)備中只觀察到3次。此外，去年11月發(fā)布的2165版本與最近發(fā)布的版本之間的區(qū)別僅僅是增加了針對兩個惡意軟件家族的規(guī)則：一個針對Keysteal，2019年2月7日。德國安全研究人員 Linus Henze 發(fā)現(xiàn)了 macOS 零日漏洞,名為“KeySteal”,它可以用來獲取 Mac 用戶在鑰匙串訪問應(yīng)用中存儲的所有敏感數(shù)據(jù)；另兩個是Honkbox。

由于在過去的幾個月里，SentinelOne和許多其他供應(yīng)商都報告了多種新的macOS惡意軟件，因此完全依賴XProtect規(guī)則的用戶和管理員應(yīng)該提高防護意識。

2. XProtectRemediator會隱藏攻擊痕跡

XProtect Remediator 是對現(xiàn)有 XProtect 系統(tǒng)工具的補充。去年九月，在 macOS 12.3 Monterey 發(fā)布前后，蘋果悄悄為其 XProtect 服務(wù)推出了一種新的 XProtect Remediator 工具，該工具可在后臺檢查惡意軟件。XProtect Remediator 會更頻繁地查找惡意軟件并在檢測到惡意軟件時對其進行修復。盡管蘋果的主要惡意軟件攔截工具缺乏更新，但其一直在定期地更新其MRT替代工具XProtectRemeditor。XProtectRemeditor每天每隔6小時運行一次，查找已知惡意軟件家族。

對于信息竊取者來說，6個小時的時間太長了，尤其是他們只需要幾秒鐘就可以完成工作。會話cookie是攻擊者進一步潛入組織的主要目標，并將單個Mac的攻擊轉(zhuǎn)化為嚴重的漏洞，例如最近在CircleCI發(fā)生的情況。CircleCI是一個非常流行的CI/CD持續(xù)集成開發(fā)平臺，號稱向超過一百萬軟件工程師用戶提供“快速可靠的”開發(fā)服務(wù)。

如上所述，macOS上沒有用戶界面來讓用戶了解哪些惡意軟件已被修復，何時以及如何被引入系統(tǒng)。然而，從macOS Ventura開始，沒有第三方可見性工具的系統(tǒng)管理員可以嘗試利用macOS 13引入的eslogger工具。Apple 并不經(jīng)常為我們提供專門針對安全性的新工具，但 ESLogger 看起來對安全從業(yè)人員、惡意軟件分析師和威脅檢測工程師來說可能非常有用。根據(jù)發(fā)布的該工具的手冊頁，ESLogger 與 Endpoint Security 框架共同記錄 ES 事件，這些事件可以輸出到文件、標準輸出或統(tǒng)一的日志系統(tǒng)。Apple 還通過向 ES 框架添加更多 NOTIFY 事件來重申其對第三方安全產(chǎn)品的承諾，并且 ESLogger 支持現(xiàn)在在 macOS Ventura 中可用的所有 80 個 NOTIFY 事件。 ESLogger 為研究人員提供了對安全相關(guān)事件的急需且方便的可見性，而無需部署完整的 ES 客戶端。

不幸的是，eslogger并沒有考慮到企業(yè)規(guī)模。這將需要一些基礎(chǔ)設(shè)施和外部工具，以便將整個檢測結(jié)果帶入一個可以監(jiān)控和挖掘數(shù)據(jù)的中央數(shù)據(jù)庫。在這兩種情況下，除非安全團隊積極主動，否則蘋果的XProtectRemediator將會在發(fā)現(xiàn)惡意軟件時悄悄地將其刪除，而不會提醒用戶或管理員曾經(jīng)發(fā)生過攻擊。類似地，該工具既不會警告也不會記錄可疑惡意活動，因為它沒有明確地編程工具來檢測。

對企業(yè)和蘋果來說，依靠這種補救方式來提高自身安全是一種高風險的策略。在這種情況下，誤報的風險可能會對用戶和企業(yè)造成嚴重傷害，所以蘋果很可能在檢測和默默刪除方面設(shè)計了非常保守的工具。

對于企業(yè)來說，無法接收警報和難以檢查日志意味著，XProtectRemeditor幾乎不可能發(fā)現(xiàn)遺漏的感染，也不可能追蹤其刪除的感染的根本原因，也不太可能進一步調(diào)查事件及其對組織的影響。

3.XProtectBehaviorService：隱藏檢測活動

蘋果公司最近增加了一項惡意軟件檢測技術(shù)，該技術(shù)尚未公開發(fā)布，名稱為XProtectBehaviorService。

為什么蘋果所謂的沉默式安防策略并不能讓用戶覺得安全？

目前，該服務(wù)只是靜默地記錄違反某些預編程行為規(guī)則的應(yīng)用程序的詳細信息，這些規(guī)則目前在/usr/libexec/syspolicyd中定義。

為什么蘋果所謂的沉默式安防策略并不能讓用戶覺得安全？

這些規(guī)則(內(nèi)部稱為“堡壘規(guī)則”)在位于/var/protected/xprotect/ xpdb的隱藏sqlite數(shù)據(jù)庫中記錄違規(guī)行為。值得稱贊的是，蘋果正在記錄對Slack和Teams等企業(yè)應(yīng)用程序以及各種瀏覽器和聊天應(yīng)用程序中數(shù)據(jù)的訪問。然而，問題仍然存在，蘋果打算為用戶，特別是管理、IT和安全團隊提供什么訪問權(quán)限，以及在進一步操作過程中收集的信息。例如，這些日志最近被用于調(diào)查APT攻擊，該攻擊感染了四個macOS Ventura系統(tǒng)，XProtect既沒有成功阻止該攻擊，XProtectRemediator也沒有將其刪除。

盡管這些數(shù)據(jù)現(xiàn)在可以由事件響應(yīng)人員找到，但收集這些數(shù)據(jù)并學習如何使用這些數(shù)據(jù)卻落在了負責安全的人員的肩上。上述示例說明那些完全依賴蘋果提供保護的It團隊，必須主動分析他們的macOS設(shè)備，并挖掘蘋果隱藏的日志和監(jiān)測數(shù)據(jù)。

總結(jié)

如上所述，蘋果在安全方面的做法與其他操作系統(tǒng)供應(yīng)商不同，這本身并無好壞之分，重要的是管理員要清楚地知道他們的操作系統(tǒng)是如何處理安全事件的。一個好的、安靜的系統(tǒng)并不一定意味著一個安全可靠的系統(tǒng)。

了解公司終端上發(fā)生的事情是保護設(shè)備的第一步，在macOS后端發(fā)生的與安全相關(guān)的事件比面上看到的要多得多。

本文翻譯自：https://www.sentinelone.com/blog/mac-admins-why-apples-silent-approach-to-endpoint-security-should-be-a-wake-up-call/如若轉(zhuǎn)載，請注明原文地址