人們普遍認為macOS比Windows更安全，于是乎很多中小企業就利用macOS來追求安全性，但對于完全依賴macOS來保證安全的中小型企業來說，這是非常危險的。比如，用戶將找不到macOS中內置的類似Defender的安全中心。

在這篇文章中，我們將從三方面介紹macOS安全性，這對于目前沒有在macOS設備上部署額外終端保護的企業來說是至關重要的。

蘋果的平臺安全策略

蘋果關于在macOS上防范惡意軟件介紹的最近一次更新是在2022年5月，最新公開文件指出，其惡意軟件防御分為三方面：

防止惡意軟件啟動或執行：App Store或Gatekeeper與Notarisation的結合；

阻止惡意軟件在客戶系統上運行：Gatekeeper、Notarisation和XProtect；

修復已執行的惡意軟件：XProtect，macOS 內建了稱為 XProtect 的防病毒技術，可基于簽名檢測和移除惡意軟件。系統使用由 Apple 定期更新的 YARA 簽名，YARA 是一款用來基于簽名檢測惡意軟件的工具。你可以認為它是 macOS 系統中的“Defender”。

不過這些技術的透明性和可做作性都不是太好，例如，不可能允許或排除用戶或設備之間的特定應用程序或代碼。在單個設備上，用戶可以制定非常廣泛的系統策略決策，例如允許或拒絕來自App Store外部的所有應用程序，但即便如此，除非系統由移動設備管理平臺(MDM)解決方案管理，否則本地用戶在沒有管理員權限的情況下也可以覆蓋該策略。

從企業安全的角度來看，更令人擔憂的是，幾乎看不到哪些代碼被阻止，何時以及為什么被阻止，也不清楚這些掃描是何時執行的，也不知道它們的有效性。另外就是惡意軟件修復會在后臺悄無聲息地發生，而不會向用戶發出提示或警告。在企業環境中，這些遠遠不夠的，因為安全維護人員無法掌握信息。如果要充分保護企業，安全團隊需要了解惡意軟件是何時出現在系統的，存在了多長時間以及惡意軟件的攻擊源在哪里等。

1. XProtect簽名經常會忽略一些最新的惡意軟件

根據蘋果的說法，macOS內置了名為XProtect的防病毒技術，用于基于簽名的惡意軟件檢測和刪除。該系統使用YARA簽名，這是一種用于進行基于簽名的惡意軟件檢測的工具，蘋果會定期更新。

蘋果XProtect的最后一次更新，包含這些YARA簽名的bundle是在6月29日開發的，但根據設備的位置，更新可能要幾天后才能發布。

為什么蘋果所謂的沉默式安防策略并不能讓用戶覺得安全？

不幸的是，這次更新沒有包括對文件簽名的任何更改，蘋果稱這些更改增強了XProtect的阻止能力。YARA文件具有與去年2月更新的版本2166相同的哈希。

為什么蘋果所謂的沉默式安防策略并不能讓用戶覺得安全？

如果從版本號來看，在過去的12個月里，XProtect的YARA規則應該有7次更新，但實際上在網絡安全公司SentinelOne的測試設備中只觀察到3次。此外，去年11月發布的2165版本與最近發布的版本之間的區別僅僅是增加了針對兩個惡意軟件家族的規則：一個針對Keysteal，2019年2月7日。德國安全研究人員 Linus Henze 發現了 macOS 零日漏洞,名為“KeySteal”,它可以用來獲取 Mac 用戶在鑰匙串訪問應用中存儲的所有敏感數據；另兩個是Honkbox。

由于在過去的幾個月里，SentinelOne和許多其他供應商都報告了多種新的macOS惡意軟件，因此完全依賴XProtect規則的用戶和管理員應該提高防護意識。

2. XProtectRemediator會隱藏攻擊痕跡

XProtect Remediator 是對現有 XProtect 系統工具的補充。去年九月，在 macOS 12.3 Monterey 發布前后，蘋果悄悄為其 XProtect 服務推出了一種新的 XProtect Remediator 工具，該工具可在后臺檢查惡意軟件。XProtect Remediator 會更頻繁地查找惡意軟件并在檢測到惡意軟件時對其進行修復。盡管蘋果的主要惡意軟件攔截工具缺乏更新，但其一直在定期地更新其MRT替代工具XProtectRemeditor。XProtectRemeditor每天每隔6小時運行一次，查找已知惡意軟件家族。

對于信息竊取者來說，6個小時的時間太長了，尤其是他們只需要幾秒鐘就可以完成工作。會話cookie是攻擊者進一步潛入組織的主要目標，并將單個Mac的攻擊轉化為嚴重的漏洞，例如最近在CircleCI發生的情況。CircleCI是一個非常流行的CI/CD持續集成開發平臺，號稱向超過一百萬軟件工程師用戶提供“快速可靠的”開發服務。

如上所述，macOS上沒有用戶界面來讓用戶了解哪些惡意軟件已被修復，何時以及如何被引入系統。然而，從macOS Ventura開始，沒有第三方可見性工具的系統管理員可以嘗試利用macOS 13引入的eslogger工具。Apple 并不經常為我們提供專門針對安全性的新工具，但 ESLogger 看起來對安全從業人員、惡意軟件分析師和威脅檢測工程師來說可能非常有用。根據發布的該工具的手冊頁，ESLogger 與 Endpoint Security 框架共同記錄 ES 事件，這些事件可以輸出到文件、標準輸出或統一的日志系統。Apple 還通過向 ES 框架添加更多 NOTIFY 事件來重申其對第三方安全產品的承諾，并且 ESLogger 支持現在在 macOS Ventura 中可用的所有 80 個 NOTIFY 事件。 ESLogger 為研究人員提供了對安全相關事件的急需且方便的可見性，而無需部署完整的 ES 客戶端。

不幸的是，eslogger并沒有考慮到企業規模。這將需要一些基礎設施和外部工具，以便將整個檢測結果帶入一個可以監控和挖掘數據的中央數據庫。在這兩種情況下，除非安全團隊積極主動，否則蘋果的XProtectRemediator將會在發現惡意軟件時悄悄地將其刪除，而不會提醒用戶或管理員曾經發生過攻擊。類似地，該工具既不會警告也不會記錄可疑惡意活動，因為它沒有明確地編程工具來檢測。

對企業和蘋果來說，依靠這種補救方式來提高自身安全是一種高風險的策略。在這種情況下，誤報的風險可能會對用戶和企業造成嚴重傷害，所以蘋果很可能在檢測和默默刪除方面設計了非常保守的工具。

對于企業來說，無法接收警報和難以檢查日志意味著，XProtectRemeditor幾乎不可能發現遺漏的感染，也不可能追蹤其刪除的感染的根本原因，也不太可能進一步調查事件及其對組織的影響。

3.XProtectBehaviorService：隱藏檢測活動

蘋果公司最近增加了一項惡意軟件檢測技術，該技術尚未公開發布，名稱為XProtectBehaviorService。

為什么蘋果所謂的沉默式安防策略并不能讓用戶覺得安全？

目前，該服務只是靜默地記錄違反某些預編程行為規則的應用程序的詳細信息，這些規則目前在/usr/libexec/syspolicyd中定義。

為什么蘋果所謂的沉默式安防策略并不能讓用戶覺得安全？

這些規則(內部稱為“堡壘規則”)在位于/var/protected/xprotect/ xpdb的隱藏sqlite數據庫中記錄違規行為。值得稱贊的是，蘋果正在記錄對Slack和Teams等企業應用程序以及各種瀏覽器和聊天應用程序中數據的訪問。然而，問題仍然存在，蘋果打算為用戶，特別是管理、IT和安全團隊提供什么訪問權限，以及在進一步操作過程中收集的信息。例如，這些日志最近被用于調查APT攻擊，該攻擊感染了四個macOS Ventura系統，XProtect既沒有成功阻止該攻擊，XProtectRemediator也沒有將其刪除。

盡管這些數據現在可以由事件響應人員找到，但收集這些數據并學習如何使用這些數據卻落在了負責安全的人員的肩上。上述示例說明那些完全依賴蘋果提供保護的It團隊，必須主動分析他們的macOS設備，并挖掘蘋果隱藏的日志和監測數據。

總結

如上所述，蘋果在安全方面的做法與其他操作系統供應商不同，這本身并無好壞之分，重要的是管理員要清楚地知道他們的操作系統是如何處理安全事件的。一個好的、安靜的系統并不一定意味著一個安全可靠的系統。

了解公司終端上發生的事情是保護設備的第一步，在macOS后端發生的與安全相關的事件比面上看到的要多得多。

本文翻譯自：https://www.sentinelone.com/blog/mac-admins-why-apples-silent-approach-to-endpoint-security-should-be-a-wake-up-call/如若轉載，請注明原文地址