Jamf Protect – antywirus zaprojektowany z myślą o komputerach Mac

Wzrost popularności urządzeń Apple ma związek między innymi z postrzeganiem ich jako bezpieczniejsze. Aż 77% organizacji uważa, że Maki są lepiej zabezpieczone w porównaniu do innych platform. Jednak urządzenia z systemem iOS i macOS stają się wyborem nie tylko użytkowników, ale także cyberprzestępców. Według badania przeprowadzonego przez Atlas VPN w 2020 roku wykryto aż 674 273 nowe zagrożenia! Na szczęście rok później było ich już mniej, bo 2474, co wcale nie oznacza, że problem należy zignorować. Firma Malewarebytes w swoim raporcie podaje, że w 2020 roku wykryto 111 milionów ataków maleware na platformie Windows, z kolei na Makach, tego typu ataków odnotowano niewiele ponad 1,1 milionów incydentów. Choć złośliwego oprogramowania, które atakuje urządzenia Apple jest mniej niż na platformę Windows, nie da się zignorować faktu, że użytkownicy Maków i iPhone’ów także mogą stać się ofiarą cyberataku.

Czy Mac potrzebuje aplikacji antywirusowej?

W kwestii ochrony urządzeń firma Apple wyposażyła każdy swój komputer Mac między innymi w programy XProtect, Gatekeeper i MRT.

• XProtect – wbudowana ochrona przed złośliwym oprogramowaniem. Po otwarciu pobranej aplikacji sprawdza, czy pasuje ona do którejkolwiek z definicji złośliwego oprogramowania w bazie. Jeśli tak, wyświetla się komunikat ostrzegawczy, który mówi, że uruchomienie pliku spowoduje uszkodzenie komputera i informuje, do której definicji złośliwego oprogramowania pasuje.
• Gatekeeper – funkcja bezpieczeństwa weryfikująca, czy uruchamiana aplikacja pochodzi z zaufanego źródła – czy jest zweryfikowana i pobrana z AppStore lub czy posiada poświadczenie dla komputerów Mac. Jeśli aplikacja zostanie uznana za niezaufaną, będzie wyświetlony alert (nie jest on jednak równoznaczny z uznaniem oprogramowania za szkodliwe).
• Malware Removal Tool (MRT) – to narzędzie do wykrywania i usuwania złośliwego oprogramowania na podstawie automatycznie aktualizowanej bazy Apple.

Powyższe narzędzia stanowią solidną podstawę do budowy bezpiecznych narzędzi pracy. Jak pokazują jednak wspomniane wcześniej dane dotyczące ataków na urządzenia Apple, mogą być niewystarczające dla ochrony prywatności użytkowników oraz danych sieciowych firmy.

Co to jest ransomware oraz jakie inne rodzaje złośliwego oprogramowania można spotkać na Mac?

Ransomware

Ataki ransomware są jednym z typów cyberataków, o których w ostatnich latach dużo się mówi, ponieważ ich celem jest wyłudzenie od ofiary pieniędzy – i to nie małych. W 2021 roku próbowano wyłudzić 50 mln dolarów od Apple w zamian za wykradzione schematy nowych urządzeń.

Ransomware to rodzaj złośliwego oprogramowania, które stopniowo szyfruje dane na komputerze, odcinając dostęp do plików. Aby odszyfrować dane, potrzebny jest kod, który można odkupić od hackerów.

Spyware

Celem oprogramowania typu Spyware jest zdobycie poufnych danych. Gromadzone są różne informacje, np. aktywność na komputerze w ciągu dnia, historia przeglądania, zapisane dane i hasła, czy nawet obraz z kamery internetowej. Do tej grupy złośliwego oprogramowania zalicza się także oprogramowanie typu Keyloggers, które monitoruje sekwencje klawiszy i wysyła je na serwer atakującego.

Cryptojacker

Dzięki złośliwemu oprogramowaniu tego typu atakujący zyskuje dostęp do zasobów komputera takich jak pamięć i procesor, które następnie wykorzystuje do wykonywania skomplikowanych obliczeń i rozwiązywania problemów matematycznych, potocznie zwanych „kopaniem kryptowalut”. Podczas dużego obciążenia urządzeń wykorzystuje się sporo energii elektrycznej, co w rezultacie generuje duże koszty dla właściciela urządzeń.

Trojan

To rodzaj złośliwego kodu zaszytego w pliku instalacyjnym pozornie legalnej aplikacji. Programy trojańskie są wykorzystywane przez hakerów do różnego rodzaju aktywności, od kopiowania plików po ataki DDOS.

Botnet

Oprogramowanie botnet zmienia urządzenia w zdalnie sterowane maszyny do wysyłania spamu. Za pomocą botnetów realizowane są kampanie dezinformacyjne, a nawet podejmowane są próby wpłynięcia na politykę krajową. Urządzenia z oprogramowaniem botnet mogą tworzyć wielomilionowe sieci, które pozostają w uśpieniu do czasu aktywacji.

Worm

Robak to rodzaj złośliwego oprogramowania, który wykorzystuje zasoby urządzenia do replikacji i rozprzestrzeniania się w sieci. Przez jakiś czas proces ten jest niewidoczny dla użytkownika i staje się jawny dopiero wtedy, gdy procesy replikowania się zużywają znaczną część zasobów systemowych i wpływają na szybkość działania urządzeń. Oprócz replikacji robaki mogą także niszczyć pliki, dystrybuować spam, pełnić rolę backdoora czy konia trojańskiego.

Rootkit

Rootkit to zbiór narzędzi zaprojektowanych w celu zapewnienia nieautoryzowanego dostępu do konta root komputera. Dostęp do głównego katalogu systemu wymaga wyrafinowanych technik, ale po uzyskaniu dostępu hackerzy są w stanie zainstalować dowolne oprogramowanie, zarządzać plikami systemu operacyjnego lub uzyskać dostęp do wybranych danych.

Backdoor

Backdoor to nic innego jak luka we fragmencie kodu, która umożliwia nieautoryzowany dostęp do systemu. Nie jest to co prawda rodzaj złośliwego oprogramowania, jej wystąpienie jest dla systemu niebezpieczne. Backdoory są często wykorzystywane przez hakerów w celu uzyskania dostępu do danych lub umieszczenia plików na komputerze lub urządzeniu mobilnym. Wbrew pozorom błędy tego rodzaju są powszechne, nawet w iOS czy macOS. Informacje o backdoorach są często rozpowszechniane przez etycznych hakerów, tzw. white hats, którzy zanim upublicznią dane o błędzie, ostrzegają dostawcę oprogramowania, aby dać czas na naprawę.

Jaka jest najlepsza aplikacja antywirusowa na Maca?

Ochrona użytkowników jest podstawowym wymogiem każdej organizacji. Niestety dobór odpowiedniego narzędzia, zwłaszcza na Makach, stanowi nie lada wyzwanie, gdyż poza aspektami związanymi z bezpieczeństwem, trzeba koniecznie zwrócić uwagę także na wygodę użytkownika.

Najważniejsze cechy, które posiadają dobre aplikacje antywirusowe to:

• funkcje skanowania i monitorowania,
• minimalny wpływ na funkcjonowanie systemu operacyjnego, nieodczuwalny dla użytkownika,
• dodatkowa ochrona tożsamości i poufnych danych,
• częste i automatyczne aktualizacje.

Antywirus na Maca zaprojektowany z myślą o użytkownikach urządzeń Apple

Platforma Apple jest uważana za jedną z najbezpieczniejszych środowisk do pracy. Nie jest jednak niezawodna, a cyberprzestępcy stale opracowują nowe i coraz bardziej przebiegłe sposoby przełamywania zabezpieczeń systemu macOS. W odpowiedzi powstało oprogramowanie Jamf Protect, stworzone z myślą o zachowaniu specyficznego dla urządzeń Apple User Experience.

Jamf Protect chroni platformę macOS przed złośliwym oprogramowaniem. Wykrywa i pomaga w usuwaniu zagrożeń typowych dla komputerów Mac, kontroluje aplikacje w organizacji oraz monitoruje punkty końcowe pod kątem zgodności z polityką bezpieczeństwa.

Jamf Protect bazuje na Endpoint Security Framework, podstawowym podejściu Apple do bezpieczeństwa systemu macOS, i wzmacnia je poprzez lepsze narzędzia do zapobiegania, kontroli i monitoringu. Dzięki dostosowaniu do bazowego rozwiązania, oprogramowanie obsługuje najnowsze urządzenia i wersje OS już w dniu premiery, w tym komputery Mac z systemem Monterey i procesorami z rodziny M1.

Oto najważniejsze możliwości, jakie daje administratorom Jamf Protect:

• Monitorowanie i alerty o każdej niepożądanej aktywności,
• Eksport logów zdarzeń do systemów typu SIEM (Security Information and Event Management),
• Proaktywne blokowanie znanych złośliwych aplikacji i innych programów nieznanego pochodzenia,
• Odcięcie urządzenia od krytycznych zasobów firmy,
• Raportowanie o usuniętych złośliwych plikach z urządzenia (MRT),
• Skanowanie plików pobieranych z Internetu.

Jamf Protect – najważniejsze zalety

• Łatwe i szybkie wdrożenie,
• Wsparcie dla nowych systemów operacyjnych od pierwszego dnia,
• Integracja z systemem Jamf Pro,
• Oprogramowanie typu lite, które nie obciąża systemu operacyjnego i dba o żywotność baterii,
• Minimalne zaangażowanie użytkowników końcowych,
• Możliwość wykorzystania z różnymi rozwiązaniami typu MDM.

Dla kogo Jamf Protect?

Udział urządzeń Mac w rynku rośnie, rośnie więc zapotrzebowanie na dedykowane rozwiązania, które zapewnią firmom najwyższe standardy bezpieczeństwa. A do takich zalicza się certyfikacja CIS Benchmark. CIS wyznacza najlepsze praktyki dla organizacji i standardy konfiguracji urządzeń, a Jamf Protect stoi na ich straży – weryfikuje, czy dane urządzenie je spełnia.

Jamf Protect sprawdzi się więc w każdej firmie, w której bezpieczeństwo infrastruktury jest kluczowe. Sprawność wdrożenia i bezpieczeństwo mają szczególne znaczenie w przypadku banków, organizacji fintechowych czy startupów. Cyberbezpieczeństwo dla sektora finansowego jest strategicznym obszarem działania, dlatego firmy z branży inwestują coraz bardziej w rozwój rozwiązań zapewniających operacyjność i bezpieczeństwo w sieci. Firmy z branży finansowej, które korzystają z Maków, powinny mieć na celowniku dedykowane rozwiązania, takie jak Jamf Protect.

Monitoring bezpieczeństwa urządzeń może być także oparty o zdefiniowane Benchmarki CIS, a każde odstępstwo od bazowej konfiguracji natychmiast zostanie zgłoszone administratorowi.

Zadbaj o bezpieczeństwo firmowych komputerów Mac pracowników zdalnych

Home office to dla wielu osób synonim wygody i bezpieczeństwa. Pracownicy w domu czują się bezpiecznie i mogą sięgać w Internecie po zasoby, do których nie mieliby dostępu w firmowe sieci Wi-Fi. To sprawia, że wystarczy sprawdzić prywatną pocztę, czy pozwolić dziecku na grę na stronie internetowej, aby na komputerze pojawiło się złośliwe oprogramowanie (np. malware lub adware). Dla administratorów IT praca zdalna nie jest więc wcale synonimem bezpieczeństwa – wprost przeciwnie. Dla zespołów ds. security to dodatkowe wyzwanie: jak najszybciej wykryć zagrożenie i zareagować.

Najważniejsze funkcje ochrony Jamf Protect

Threat Intelligence

Oprogramowanie zabezpieczające Jamf Protect posiada obszerną bazę danych, która obejmuje kompleksową wiedzę na temat złośliwego oprogramowania. W oparciu o nią oprogramowanie pełni rolę antywirusa dla komputerów Mac poprzez zapobieganie uruchamianiu aplikacji nieznanego pochodzenia, znanego złośliwego oprogramowania, trojanów, programów typu adware, ransomware, a także potencjalnie niechcianych programów (PUP). Jamf Protect może zablokować niechciane oprogramowanie i ograniczyć jego działanie, konfigurując ograniczenia w oparciu o różne czynniki. Wykryte zagrożenie może także zostać poddawane kwarantannie w celu późniejszej analizy.

Threat Hunting

Aplikacja firmy Jamf zapewnia dostęp do informacji o stanie i aktywności floty komputerów Mac, przy minimalnym wpływie na użytkownika końcowego. Dzięki alertom administrator na czas otrzymuje informacje o tym, kiedy ustawienia urządzenia odbiegają od konfiguracji zabezpieczającej system operacyjny. System umożliwia administratorowi zdefiniowanie własnych analityk, które pozwalają na detekcję zagrożeń charakterystycznych dla danego środowiska. Na przykład, administrator Jamf Protect może utworzyć analitykę, która będzie wykrywać użycie polecenia 'sudo’ służącego do uruchamiania aplikacji zarezerwowanych dla administratora zwanego rootem.

Analiza behawioralna

Wykrywanie znanego złośliwego oprogramowania to jedno. Jeśli jednak chodzi o znajdowanie nowych ataków, identyfikowanie złośliwych użytkowników lub podejrzanych procesów, sprawa staje się trudniejsza. Jamf Protect wykorzystuje specjalnie zaprojektowaną analizę behawioralną do identyfikacji złośliwych i podejrzanych zachowań na urządzeniach Mac. Ułatwia ona zrozumienie kontekstu, w jakim znajdowało się urządzenie w momencie wszczęcia alarmu, oraz logiki, która do tego doprowadziła – dzięki temu administrator może szybko i pewnie rozwiązywać problemy.

MITRE ATT&CK dla komputerów Mac

Mechanizmy analityczne zaprojektowane na potrzeby Jamf Protect są wzorowane na bazie MITRE ATT&CK®. To globalnie dostępna baza wiedzy o taktykach i technikach cyberprzestępców, oparta na rzeczywistych obserwacjach. Dzięki wykorzystaniu informacji zgromadzonych w bazie zostały opracowane dedykowane dla środowiska Apple modele zagrożeń.

Ujednolicone przekazywanie logów

Wiele branż podlega dodatkowym regulacjom prawnym także w obszarze infrastruktury informatycznej. Przykładami są wymogi przeprowadzania kontroli zgodności z przepisami oraz audyty przetwarzania danych osobowych i przechowywania poufnych informacji. Niezgodność z przepisami może skutkować procesami sądowymi, postępowaniami dyscyplinarnymi, a także wysokimi karami pieniężnymi. Aby zachować zgodność z przepisami, konieczne jest zapewnienie pełnego nadzoru nad działaniami na komputerach Mac z jednego centralnego systemu ewidencji. Takie rozwiązanie umożliwia właśnie Jamf Protect, który w czasie rzeczywistym przekazuje wszystkie dane Unified Log z systemu macOS przechwycone przez Compliance Reporter, do głównego systemu ewidencji (SIEM) lub innego narzędzia do analizy danych.

Dostęp do API

Dzięki zastosowaniu nowoczesnego interfejsu programowania aplikacji (API), Jamf Protect pozwala na zarządzanie za pomocą terminala, co ułatwia pracę z bardzo złożonymi skryptami. Dostęp do API umożliwia również bezprecedensową integrację z wieloma rozwiązaniami zabezpieczającymi innych firm, co jeszcze bardziej zwiększa ochronę dostępną dla komputerów z macOS.

Platforma zarządzania bezpieczeństwem i urządzeniami Apple

Administratorzy Apple chętnie wykorzystują rozwiązanie Jamf Pro do zarządzania infrastrukturą IT. Produkty Jamf współpracują ze sobą, łącząc mocne strony każdego z programów w większą platformę, znaną jako Apple Enterprise Management (AEM). Dzięki AEM, analiza Jamf Protect może być skonfigurowana do skanowania urządzeń, na których działają nieaktualne aplikacje i programy, co stanowi dodatkową warstwę ochrony. Dzięki płynnej integracji z Jamf Pro, możliwe jest namierzanie urządzeń, którym brakuje kluczowych aktualizacji. Następnie, dzięki odpowiednim politykom działającym w Jamf Pro, wymuszane są automatyczne aktualizacje urządzeń, co przywraca zgodność ze zdefiniowanymi politykami.

Co jeszcze warto wiedzieć o Jamf Protect – najczęściej zadawane pytania

Dlaczego Jamf Protect jest właściwym wyborem dla komputerów Mac?

Ścisła integracja między macOS i Jamf Protect jest gwarancją tego, że użytkownicy będą mieli takie same, bezproblemowe doświadczenia, do jakich przywykli w rozwiązaniach Apple. Jednocześnie zostanie utrzymana optymalna wydajność urządzeń.

Jak długo trwa dostosowanie Jamf Protect do nowszych wersji systemu macOS?

Zgodnie z filozofią, którą Jamf kieruje się przy tworzeniu wszystkich produktów, producent zobowiązuje się do zapewnienia wsparcia w dniu premiery nowej wersji systemu. Jamf Protect nie opiera się na rozszerzeniach jądra (KEXT: Kernel Extensions), które wymagają rekompilacji lub każdorazowego ponownego opracowania przy każdej aktualizacji macOS. Bazuje na nowoczesnym rozwiązaniu rekomendowanym przez Apple, tzw. System Extensions. To pozwala na przeprowadzanie aktualizacji zgodnie z przygotowanym harmonogramem.

Jamf Protect wykrywa znane złośliwe oprogramowanie na Maka, ale czy potrafi wykryć zagrożenia 0-day i inne nieznane zagrożenia?

Dzięki zespołowi specjalistów ds. bezpieczeństwa i partnerów, Jamf zajmuje się wykrywaniem i testowaniem problemów związanych z systemem operacyjnym macOS. Obejmuje to również bezpośrednią współpracę z Apple w zakresie usuwania nieznanych zagrożeń. Dodatkowo, Jamf Protect posiada funkcję analizy behawioralnej, która ocenia zachowanie aplikacji i alarmuje dział IT w momencie, gdy coś wydaje się nie działać. Dzięku temu zespół administratorów może natychmiast podjąć działania w celu zbadania sprawy.

Czy Jamf Protect zabezpiecza urządzenia zapisane w moim systemie MDM innej firmy?

Oczywiście. Możesz oczekiwać takiego samego poziomu wydajności Jamf Protect, niezależnie od systemu MDM używanego do zarządzania urządzeniami. Jednak dzięki integracji z innymi produktami Jamf, takimi jak Jamf Pro, można tworzyć rozszerzone przepływy pracy, aby szybko wykrywać infekcje. Dodatkowo, dzięki współpracy Apple i Jamf, możliwe jest automatyczne usuwanie skutków infekcji.

Czy Jamf Protect jest objęty wsparciem?

Tak, a zaczyna się ono od dedykowanego zespołu pracowników obsługi klienta, inżynierów i pracowników działu bezpieczeństwa, którzy skupiają się na jednym celu: pomóc ci uzyskać maksymalną wydajność produktów Apple.

Jak sprawdzić, czy Mac jest zainfekowany?

Po zgłoszeniu alertu bezpieczeństwa pierwsze pytania są często takie same. Co się stało, komu, kiedy i gdzie? Wszystkie te podstawowe dane znajdują się w alercie Jamf Protect. Kiedy zaczynasz badać, czy dany alarm jest rzeczywiście powodem do niepokoju, często zaczynasz od uzyskania większej ilości danych z urządzenia. Niezależnie od tego, czy potrzebujesz plików, ustawień konfiguracyjnych czy logów z urządzenia, Jamf Protect i Jamf Pro mogą pomóc w uzyskaniu potrzebnych informacji, bez względu na to, gdzie na świecie urządzenie może się aktualnie znajdować.

Jak usunąć wirusa z Maca?

Usuwanie skutków incydentów bezpieczeństwa to obszar, w którym najczęściej dochodzi do interakcji, a czasami nawet do konfliktów między działami bezpieczeństwa i IT. Zespoły ds. bezpieczeństwa potrzebują informacji o incydencie, muszą zbadać maszynę, a nawet manipulować plikami i ustawieniami na maszynie. Informatycy często muszą reagować na skargi użytkowników końcowych, gdy na ich urządzeniach zaczynają się “dziać dziwne rzeczy” w wyniku działań naprawczych. Jamf Protect i Jamf Pro umożliwiają ręczne lub automatyczne reagowanie na incydenty przy użyciu narzędzi, których informatycy już używają do zarządzania komputerami Mac. Użytkownicy końcowi z kolei nie są już zaskakiwani tym, co dzieje się na ich urządzeniach, ponieważ sposób reagowania na incydenty jest dostosowany do znanych im standardów organizacyjnych.

Minimalizowanie ryzyka

Kluczową informacją niezbędną do zabezpieczenia komputerów Mac są dane o stanie urządzeń i systemów operacyjnych. Wiedza o tym, co i w jakim stopniu jest uruchomione na danym urządzeniu, ma kluczowe znaczenie. Dzięki nim dział IT jest w stanie podejmować szybkie decyzje w celu administrowania działaniami naprawczymi i przepływami pracy ograniczającymi ryzyko, zapewniając tym samym zgodność z zasadami i/lub regulacjami korporacyjnymi.

Indywidualne środki zaradcze

Niezależnie od tego, jak bardzo ryzyko zostanie zminimalizowane, czasami dochodzi do naruszenia i do środowiska zostaje wprowadzone niezaufane urządzenie lub nawet niezaufany użytkownik. Zablokowanie takiego użytkownika lub przywrócenie urządzenia do stanu zaufanego może być trudne nawet dla najbardziej zaawansowanych zespołów ds. security. Jednak wiele aktywności związanych z tego typu incydentami można zautomatyzować. W Jamf istnieje wiele możliwości automatyzacji typowych działań naprawczych takich jak blokowanie urządzenia, usuwanie plików, resetowanie ustawień, a nawet zdalne ponowne wdrażanie systemu macOS w sposób, który współgra z tym już istniejącym w zarządzaniu flotą Apple.

Edukacja użytkowników końcowych

Żaden najlepszy program antywirusowy nie zabezpieczy w pełni urządzenia przed wszelkimi zagrożeniami, np. przed phishingiem – atakiem polegającym na kradzieży tożsamości cyfrowej. Edukacja użytkowników jest często uważana za najważniejszą, pierwszą linię obrony przed cyberatakami. Po usunięciu zagrożenia, zamiast informować, że złośliwe oprogramowanie zostało zablokowane na urządzeniu, można zaplanować serię działań wymagających zaangażowania użytkownika. Jedną z możliwości jest wywołanie okna dialogowego z filmem instruktażowym, z którego dowie się, jak bezpiecznie korzystać z urządzenia i jakich działań unikać.

Podsumowanie

Infrastruktura, wraz z nią urządzenia, wykorzystywane oprogramowanie oraz użytkownicy, jest unikalna dla każdej organizacji. W dobie przyspieszonej transformacji cyfrowej to właśnie w infrastrukturze znajdują się kluczowe dla funkcjonowania firmy dane. Niezależnie od wykorzystywanej platformy, konieczne jest podjęcie wszelkich środków zaradczych, które pozwolą zapewnić płynność działania i wysoką dostępność zasobów. W przypadku urządzeń z systemem iOS i macOS ważne jest znalezienie narzędzi, które pozwolą w pełni wykorzystać potencjał urządzeń, ale także zapewnić odpowiednie doświadczenia i spełnić oczekiwania użytkowników. Pod tym kątem Jamf Protect z całą pewnością rozszerza ochronę komputerów Mac, czyniąc infrastrukturę o wiele bardziej bezpieczną i w pełni kontrolowaną.