Третий закон движения Ньютона утверждает, что на каждое действие есть равное и противоположное противодействие. Имея это в виду, неудивительно, что экосистема Apple активно сопротивляется компаниям-наемникам-шпионам, которые недавно попали в заголовки газет.
Содержание статьи
Повышение ситуационной осведомленности
Немногие люди в области технологий спокойно относятся к NSO Group и другим в их атаках против журналистов, правозащитников и важных целей от имени репрессивных правительств. Они знают, что эти технологии имеют тенденцию к распространению, поэтому большинство фирм сейчас заняты поиском новых способов дать отпор.
Apple, возможно, уже развернула одну сверхнадежную защиту от атак в виде режима блокировки, но можно сделать больше, чтобы улучшить ситуационную осведомленность. В конце концов, хотя режим блокировки и защитит вас, если вы считаете, что вас могут атаковать, он дает мало информации о том, являетесь ли вы такой мишенью или были ли вы ею. Эту информацию чрезвычайно трудно получить, когда речь идет об атаках нулевого дня, таких как те, которые использует NSO Group; выявление этих эксплойтов обычно требует понимания того, что делают ваши системы.
Телематические данные — это один из способов, с помощью которого эксперты по безопасности могут определить, когда предпринимаются попытки или когда удалось взломать систему безопасности устройства. Они следят за сигналами подрывной деятельности, такими как неожиданные связи с серверами, необъяснимые загрузки программного обеспечения или странные пакеты исходящих данных, которыми обмениваются в необычное время дня. Это одни из типичных признаков эксплойта, но большинство пользователей не в состоянии обнаружить эту информацию.
Природа атак шпионского ПО заключается в том, что они нацелены на наиболее ценных пользователей. Имея это в виду, Jamf представила решение Executive Threat Protection, которое собирает и анализирует системные журналы и информацию об устройствах для выявления угроз. Решение предназначено для таких пользователей, как государственные чиновники, руководители высшего звена, журналисты и т.п. Компания называет его «расширенным инструментом обнаружения и реагирования, разработанным для мобильных устройств», и говорит, что он основан на технологии, которую она приобрела при покупке ZecOps в 2022 году.
Как работает Executive Threat Protection
Система работает так. У конечного пользователя на устройстве установлено приложение для сбора системных журналов и информации об устройстве. Эти данные постоянно изучаются для выявления индикаторов потенциальной компрометации (IOC). Если обнаружена угроза, система включает в себя инструменты исправления для создания временной шкалы событий, помогающей определить, когда устройство было поражено, а также инструменты для его стерилизации после того, как оно было.
Что важно, так это то, что такого рода глубокое исследование и анализ намного лучше выявляют изощренные атаки нулевого дня, которые новое поколение наемников, предлагающих наблюдение как услугу, использует в своих атаках на цели такого высокого уровня.
Генеральный директор Jamf Дин Хагер говорит, что это «выходит за рамки безопасности конечных точек, предоставляя расширенные возможности обнаружения и реагирования, позволяя организациям опережать целевые атаки и защищать своих сотрудников с наиболее высоким уровнем риска».
Какие функции он предоставляет?
Функции Executive Threat Protection включают в себя:
- Сборщик, который выборочно собирает информацию, относящуюся к расследованию мобильных киберугроз, исключая личные данные, такие как сообщения, электронная почта и фотографии.
- Расширенные возможности поиска угроз, которые позволяют аналитикам исследовать телеметрию на уровне устройства.
- Комплексная структура анализа, которая обнаруживает мобильные индикаторы компрометации (IOC) для улучшения поиска угроз и анализа мобильных угроз.
- Автоматическое создание временной шкалы подозрительных событий с указанием того, как и когда устройство было скомпрометировано.
Jamf также объявила о присоединении к Microsoft Intelligent Security Association (MISA). Последнее означает, что предприятия, использующие устройства Apple, могут интегрировать свою защиту конечных точек Jamf Protect с Microsoft Sentinel, сотрудничество, которое также помогает заблаговременно предупреждать об атаках.
Что будет дальше?
Jamf, очевидно, нацелен на то, что, как ожидается, станет рынком кибербезопасности в 183 миллиарда долларов в 2023 году. Компания не одинока (большинство в сфере MDM, ориентированной на Apple, похоже, работают над своими собственными подходами к повышению безопасности устройств), и спрос на них совершенно очевиден. среди целей высокого уровня для решений такого рода.
Для большинства пользователей есть небольшое утешение в том, что решения имеют тенденцию распространяться с течением времени, что говорит о том, что мы можем ожидать, что все более сложная защита безопасности станет стандартной для потребительских устройств.
Безопасность — это, конечно, танец, и по мере устранения одного набора недостатков преступники будут искать альтернативные слабости. Вот почему для каждого пользователя становится все более важным заботиться о безопасности. Именно поэтому каждый должен обязательно защитить домашние и личные устройства от того, чтобы они стали проводниками для латеральных атак против работодателей или деловых партнеров.
Пожалуйста, следуйте за мной на Mastodon или присоединяйтесь ко мне в баре и гриле AppleHolic и Яблоко Обсуждения группы на MeWe.
Авторское право © 2023 IDG Communications, Inc.
