如何保護企業中的Mac電腦
如果你曾經與計算機安全專家進行過咨詢,你可能會認為他們對于安全問題似乎有點偏執,但這并非不是一件好事。偏執是有效安全防護的一個重要組成部分。相反,偏執的缺乏則會是一個危險因素,這一弱點尤其體現在企業Mac電腦的安全問題方面。
Mac OS X系統在安全方面贏得了良好的口碑,尤其是與Windows相比,它更為安全。造成這種現象的主要原因是由于針對Mac平臺的病毒和惡意軟件相對來說會比較少。若經常重復斷言蘋果是不容易被攻擊的話,則是一種過度自信的危險信號。
不斷變化的安全前景
Mac電腦的病毒和惡意軟件不太容易出現,這并非是神話。其原因有很多,部分原因在于系統的設計。OS X在安裝特權代碼時被要求輸入管理員密碼,從而抵御了大部分各種猖獗的“偷渡式”惡意軟件的安裝,盡管微軟努力控制事態的發展,但這類惡意軟件依然長期困擾著Windows XP,Windows Vista感染程度較輕。
此外,根據統計結果顯示,蘋果電腦一直是惡意軟件開發者的弱勢目標。操作系統市場中,85%以上的用戶都運行著Windows,惡意軟件開發者自然投入到資源更大的市場中,以便能夠從中獲益。
然而,在OS X發布的十年以來,網絡安全形勢已經變得相當復雜。病毒已經過時,近代最新的Windows機器也已經能夠很好地抵御它們。那些“壞家伙”正在開發新的載體,Mac恐難幸免。
超越OS為中心的安全問題
我們只是強調Mac依然存在著安全隱患,而非是針對OS X進行抨擊。但不管底層操作系統的安全性如何,越來越多的攻擊者運用的是第三方渠道。
今年1月,我們從一份重大的安全新聞中獲知:可允許攻擊者執行任意代碼且能夠擊敗沙箱的Java 7漏洞已被發現。由Oracle開發的Java并沒有捆綁在OS X上面,但其用途十分廣泛,因為許多網站和獨立的應用程序均用Java所編寫。在得知Java 7存有漏洞的消息后,蘋果封鎖了Java 7瀏覽器插件,但這只是一個折中的辦法,用戶仍然可以在Mac電腦上安裝Java 7,若這種狀態一直持續下去,他們則依然有很大的可能性遭受外部攻擊。
Java只是其安全隱患當中的一種。此外,還有被廣泛安裝在Mac和Windws機器上的Flash,它更為受歡迎。近期,我們發現一系列最新的Flash安全漏洞,攻擊者可利用Falsh在受害者的電腦上安裝未經授權的軟件,這些系統中包括了Mac。由于Flash和Java是第三方平臺,除了要進行OS X系統更新之外,還必須進行第三方平臺的單獨更新,也就是說,這為IT管理員添加了兩個額外的工作,與此同時,更新工作的延遲也為攻擊者增添了更多的機會。
Java和Flash只是兩個例子,我們只想以此來說明如今Mac安全的一個關鍵點。要么在第三方軟件運行時關機,要么就選擇其它安全策略,總之,無論在何種安全維護計劃中你都必須保持它們是最新的。
網絡釣魚和社會工程學
OS X內置的安全防御措施其背后的理念是防止沒有明確授權的軟件進行特權操作。但是,如果攻擊者能夠通過誘騙用戶的惡意行為而得到授權呢?這也是許多嘗試網絡釣魚和其它形式社會工程學攻擊的人背后的想法。
許多Mac用戶都是自行管理設備的,且多數都知道管理員賬戶的密碼,因為這樣便能允許他們安裝軟件。別有居心的攻擊者就可以利用這一點。攻擊者可能會想在受害者的設備上安裝任何幾種惡意軟件,其中包括遠程桌面控制或是用于捕捉登陸和賬戶號碼的鍵盤記錄軟件等。若要誘使他人安裝這些軟件,攻擊者可以做如下操作:
l 給受害人發送惡意電子郵件,其內容是偽裝成官方的安全更新下載鏈接。
l 給受害人發送惡意電子郵件,其中的惡意軟件被隱藏在一個文件中,它看起來可能像是一張照片或是一個有趣的視頻。
l 將惡意軟件隱藏在受害人已下載的另一個軟件中。這種做法通常是將惡意軟件打包在盜版軟件當中,但有時候惡意軟件甚至可以嵌入到正版軟件里面。
事實上,當操作系統提示用戶允許某個特定設置時,很多人會毫無疑問地執行它。其中部分原因是由習慣問題而引起的,一整天里,只要我們進行設置,電腦總會不停地進行提示。利用這種習慣的攻擊者才不關心受害人用的是Windows還是Mac。在OS X或其他任何操作系統中,很少有防止陷入社會工程陷阱的安全防護設計。而對于企業來說,則有兩道防線。
其中之一是對用戶進行安全教育。面對可疑的電子郵件鏈接和系統提示,你可能會覺得:這不是明擺著的嗎?但有證據表明,很多人都不會那么謹慎。持續的提醒是非常有必要的,以確保人們在面對郵件鏈接和系統提示時能夠崩緊那根“安全的弦”。
另一道防線則是掃描工具,它可以在用戶授權階段之前捕捉到網絡釣魚和惡意軟件。所以很多人認為Mac電腦不需要殺毒軟件。嚴格地說這類攻擊并不是病毒,但以業內市場術語來講,他已經囊括了無數種攻擊向量。邁克菲、卡巴斯基和賽門鐵克等大多數廠商都具備Mac掃描器-病毒先撇開不談-他們都可以對那些墜入社會工程學攻擊的用戶施以幫助。
出站防火墻
說到操作系統本身,需要注意的是,OS X僅內置了入站防火墻。所以需要運行一個特別的鎖定器,管理員應該考慮增加出站防火墻,類似Little Snitch或TCPBlock這種產品。這些軟件可以被用于白名單操作,設置哪些應用程序可以將數據發送到網絡,或是幫助管理員找到那些不必要的數據發送程序。
