随着苹果在企业市场上持续地增长,瞄准Mac用户的恶意黑客数量也水涨船高。尽管早在2002年苹果已正式地建议Mac用户下载防病毒软件,但苹果公司所谓的“Mac产品是安全的”的市场消息经久不衰,以至于许多企业才刚刚开始启动基于Mac网络上的防病毒扫描。
令人欣慰的是,现在所有主流的防病毒厂商诸如赛门铁克公司、McAfee公司、ESET和Avast软件公司都为企业提供了针对Mac系统定制的防病毒产品,这些产品是集中化的管理方式,采用主动式的保护方法,如启发式分析、一般性防护和按照访问的扫描技术来侦测和移除威胁。不幸的是,有许多安全问题是Mac恶意软件扫描工具无法独自修补的。在本文中,我们会涉及一些企业的Mac安全问题,以及如何减轻一些更容易的Mac终端威胁。
可以肯定的是MacOS系统的许多方面阻止了黑客的成功攻击。MacOSX操作系统是基于UNIX发展而来,所以底层代码的安全性已经随着时间得到彻底地证明。它还使用沙箱技术来隔离应用和进程,以限制文件访问和程序能执行的操作。这使得恶意软件要访问其它应用程序创建和使用的数据更加困难。
然而,相比于Windows环境,Mac系统的架构使得攻击者更容易在现有被信任的应用中附带可执行代码,该架构是捆绑式的结构用于存储应用及用户文档。捆绑是一种特殊的文件夹,对用户显示为单个的可执行文件,但是事实上它能存储多个资源。尽管这让程序员能在一个位置保存应用所需的多个文件,例如图像文件、帮助文件和其它资源,但因此黑客们也能在该文件夹内安装多个恶意的可执行文件。当用户执行该捆绑文件时,执行的是病毒代码而不是真正的应用程序。
尽管应用存储问题是令人焦虑的,但以我的经验看来,Mac攻击者寻找利用的主要弱点还是Mac用户自身,后者比起Windows用户往往更缺少安全意识。虽然现在要运行任何下载自因特网的新程序会弹出要求权限的对话框,但该对话框内容的重要性或相关性没有得到大多数Mac用户的重视。在防病毒厂商Sophos发布用于MacHome版的AV(防病毒)产品两周后,其公布的数据显示:大量Mac用户运行Sophos软件后已经发现感染了恶意软件。这些恶意软件包括Mac系统固有的威胁,包括OS层面和来自第三方的,以及基于Java的恶意软件。还有众所周知的Mac木马程序,它们经常在BitTorrent站点上被黑客们伪装成种子,或是植入Web站点作为要观看某个诱人视频需要的下载链接或插件。
定期地使用防恶意软件产品(这些产品来自已确定的厂商并且是更新过的)进行Mac恶意软件扫描,毫无疑问将有助于防范那些较低级的恶意软件攻击。不过事实上任何终端防范策略,都需要技术和培训两者相结合。
除了上面讨论的防病毒技术以外,管理员们应部署在Windows网络中已成为标准的那些安全控制,包括网络准入控制(NAC)、Web安全网关、数据防泄漏(DLP),以及安全信息和事件管理(SIEM)产品,所有这一切都有助于提供实时的威胁分析和防护。随着Mac用户们不断地遭受攻击,重新评估对新威胁的暴露情况是必不可少的。显然,更多像上述提到的强健安全控制需要到位,以减少不断增加的风险,达到一个可接受的水平。
除了部署上面提到的防病毒软件和其它技术以外,企业还应该考虑白名单或黑名单应用技术,从而确保用户只拥有经过批准和必要的程序,减少总体的攻击面。Mac应用商店(AppStore)可使得比起在Windows机器上控制应用更加容易。企业还可考虑进行数据或是整个磁盘的加密。
使用Mac产品的企业需要加强任何诸如此类的Mac安全技术,并且从对用户的安全意识培训做起,否则一样会失掉这场战斗。培训会议应该打破Mac系统恶意软件免疫的神话,用户要像他们的Windows伙伴一样具有安全意识。必须清楚地解释路过式攻击的危险和自动化,以便用户理解日益发展和手段熟练的当代黑客们会给他们带来影响。为用户服务的支持服务台要报告任何不寻常的Mac系统行为,例如缓慢的响应时间和预料外的弹出窗口。恶意软件所有常见的迹象能帮助网络管理员快速地隔离和控制感染主机。
除非拥有Mac用户的企业们实施更具针对性、深思熟虑的步骤来防范Mac终端日益严重的威胁,否则他们会越来越被电子罪犯们看作是“软柿子”。这也是较充分的理由,企业应确保自己的策略范畴超越Mac恶意软件扫描,要包括更多尖端的技术和培训手段。
