Що Apple робить зі шкідливим програмним забезпеченням?
Apple не залишає вас наодинці зі шкідливим програмним забезпеченням, оскільки вона багато чого робить за лаштунками macOS, щоб запобігти проникненню шкідливого програмного забезпечення. Apple має протокол розвідки загроз для виявлення та нейтралізації загроз шкідливого програмного забезпечення. Система захисту від шкідливого програмного забезпечення Apple побудована на трьох основних рівнях:
- Запобігання запуску або виконанню шкідливого програмного забезпечення: Використовує App Store, Gatekeeper та нотаріальне посвідчення для запобігання запуску шкідливого програмного забезпечення.
- Переривання роботи шкідливого програмного забезпечення на системах користувачів: Використовує Gatekeeper, Notarization та XProtect, щоб зупинити шкідливе програмне забезпечення на його шляху.
- Усунення наслідків запущеного шкідливого програмного забезпечення: Використовує XProtect для усунення шкідливого програмного забезпечення після його виконання.
Початковий рівень захисту спрямований на припинення розповсюдження шкідливого програмного забезпечення та запобігання активації через App Store, Gatekeeper і Notarization. Наступний рівень захисту забезпечує швидке виявлення та припинення роботи шкідливого програмного забезпечення в будь-якій системі Mac, використовуючи XProtect, Gatekeeper і Notarization для зупинки поширення та усунення інфекції. XProtect призначений для усунення шкідливого програмного забезпечення, яке встигло запуститися, забезпечуючи цілісність системи.
Існують додаткові засоби захисту, особливо на комп’ютерах Mac з кремнієвими процесорами Apple, щоб мінімізувати вплив будь-якого шкідливого програмного забезпечення, яке може запуститися. macOS також включає функції для захисту даних користувача від шкідливого програмного забезпечення та підтримки цілісності операційної системи.
Пояснення щодо нотаріального засвідчення
Нотаріальне засвідчення слугує для перевірки на шкідливе програмне забезпечення від Apple. Розробники, які поширюють додатки для macOS за межами App Store, повинні надсилати свої додатки на перевірку на наявність шкідливого програмного забезпечення. Якщо шкідливе програмне забезпечення не виявлено, видається квиток Notarization, який розробники прикріплюють до свого додатка, що дозволяє Gatekeeper перевіряти і запускати додаток навіть без підключення до Інтернету.
Apple може відкликати Notarization для додатків, визнаних шкідливими, забезпечуючи Gatekeeper найсвіжішою інформацією для оперативного блокування таких додатків. Ця система дозволяє швидко реагувати на нові загрози, охоплюючи як нотаріально завірені, так і не нотаріально завірені додатки.
Інформація про XProtect
XProtect, вбудований антивірус macOS, використовує сигнатури YARA для виявлення та видалення шкідливого програмного забезпечення. Щоб захистити комп’ютери Mac від шкідливого програмного забезпечення, Apple постійно оновлює ці сигнатури незалежно від оновлень системи. XProtect активно блокує відоме шкідливе програмне забезпечення та попереджає користувачів, пропонуючи їм можливість видалити шкідливе програмне забезпечення.
XProtect має широкі можливості виявлення на основі сигнатур, здатні ідентифікувати різновиди відомих шкідливих програм. Він сканує програми під час запуску, після внесення змін і при оновленні сигнатур. XProtect також включає механізми усунення шкідливого програмного забезпечення, надаючи оновлення від Apple для видалення інфекцій без перезавантаження системи.
Автоматичні оновлення системи безпеки XProtect
Apple автоматично оновлює XProtect на основі найсвіжіших даних про загрози, а macOS перевіряє наявність оновлень щодня. Оновлення для нотаріального посвідчення відбуваються ще частіше завдяки синхронізації через CloudKit.
Реакція Apple на виявлення шкідливого програмного забезпечення
Виявивши нове шкідливе програмне забезпечення, компанія Apple робить кілька кроків, зокрема відкликає сертифікати Developer ID, видає квитки на відкликання Notarization, а також розробляє та випускає підписи XProtect. Ці дії застосовуються заднім числом і до нових виявлень, забезпечуючи швидкий і всебічний захист користувачів Mac від нових загроз.
Чи достатньо XProtect?
XProtect від Apple – це ключова частина зобов’язань компанії щодо безпеки користувачів, яка працює безперебійно у фоновому режимі без втручання користувача і не уповільнює роботу пристрою. I XProtect – це потужний інструмент в арсеналі безпеки macOS, що забезпечує рівень захисту, на який багато користувачів звикли покладатися, навіть не усвідомлюючи цього.
Однак, коли справа доходить до корпоративних ІТ та світу безпеки, вимоги до безпеки часто виходять за межі можливостей XProtect. Хоча XProtect створює надійну основу для виявлення та усунення загроз, сьогодні компанії стикаються з різними складними загрозами, які вимагають більш комплексної стратегії безпеки та розгортання. Саме тут у гру вступають фреймворки Endpoint Security від Apple, які дають змогу компаніям, що займаються безпекою, розробляти інструменти виявлення та реагування на загрози для кінцевих точок (EDR), які посилюють і розширюють базовий захист, що забезпечується XProtect, і роблять це так, щоб не впливати на роботу кінцевого користувача (що є ключовим моментом!).
Інструменти EDR, розроблені на базі фреймворків Apple, пропонують розширені функції, які особливо важливі для підприємств, зокрема такі
- Моніторинг усіх файлів і додатків
- Можливості управління процесами
- Сканування файлів у реальному часі та можливості карантину
- Налаштовувані оповіщення та сповіщення для ІТ-спеціалістів
- Застосування користувацьких списків дозволів/блокування
- Додаткові засоби контролю безпеки та захисту від втрати даних або конфіденційних даних компанії, включаючи заходи для захисту USB-портів та інших зовнішніх точок підключення.
TL;DR: хоча комп’ютери Mac є безпечними за своєю суттю, а XProtect забезпечує надійний рівень захисту, динамічний і складний ландшафт загроз, з яким сьогодні стикаються ІТ-команди підприємств, вимагає додаткових інструментів. Ці інструменти забезпечують відповідність галузевим нормам і внутрішнім політикам, а також надають розширені можливості ведення журналів, створення звітів і управління політиками, необхідні для налаштування методів безпеки відповідно до унікальних потреб кожної організації.
Для підприємств використання рішень EDR, які інтегруються з системою Endpoint Security від Apple, є ключовим елементом захисту користувачів та забезпечення їхньої безпеки.
Підсумки
Хоча XProtect є ключовою частиною системи безпеки macOS, спеціалізовані потреби підприємств в управлінні та зниженні ризиків у сучасному середовищі кібербезпеки є вагомим аргументом на користь впровадження додаткових, більш досконалих інструментів захисту електронного документообігу. Ці інструменти доповнюють вбудовані можливості XProtect, надаючи компаніям комплексний захист, необхідний для забезпечення безпеки в 2024 році.
Оригінал статті ви можете переглянути на сайті 9to5mac.com
