De discussie rond de security van de Mac begin aan te trekken. Een ontwikkeling die mede wordt veroorzaakt door het feit dat steeds meer bedrijven Macs gebruiken. Dit betekent dat er bij veel organisaties nu in feite twee teams zijn die zich bezighouden met het beheer van Apple devices: zowel Mac-beheerders als Windows-beheerders worden gevraagd om Macs op een goede manier binnen de organisatie uit te rollen en te beheren.
Er zijn ook steeds meer integratiemogelijkheden tussen Mac en Windows en ook de relaties tussen Mac-partijen en Microsoft worden steeds beter. Dit zorgt ervoor dat de traditionele scheidslijnen tussen Apple- en Windows-beheer snel vervagen. Het is inmiddels mogelijk om Mac-gebruikers op een security- en beschermingsniveau te krijgen dat voorheen alleen mogelijk was op Windows. Maar dan wel met behoud van de Mac-ervaring die gebruikers verwachten.
Hoe gaat een aanval in zijn werk
Een van de zaken waar organisaties nog tegenaan lopen, is dat Mac-beheerders misschien niet altijd goed op de hoogte zijn van de manieren waarop malware wordt verspreid. Securityteams weten vaak wel hoe Windows-machines worden aangevallen, maar zijn ze niet zeker of en zo ja hoe die dreigingen zich vertalen naar de Mac.
Een bekende methode is (spear)phishing, waarbij een gebruiker een mail ontvangt met een link die hem of haar naar een kwaadaardige site lokt. Vervolgens wordt – soms zonder dat de gebruiker dat merkt – malware gedownload en is het apparaat geïnfecteerd . Dit is natuurlijk slechts een van de vele aanvalsmethoden die cybercriminelen inzetten. Er zijn veel complexere aanvallen, waarbij malware wordt verspreid via andere computers, websites met malwarecode of file sharing tools.
Is een Mac eenmaal met succes geïnfecteerd is, zijn er meerdere mogelijkheden om de malware verder binnen de organisatie te verspreiden. Een van de grootste risico’s daarbij – zeker nu – is dat de apparaten waarmee werknemers thuiswerken verbinding maken met een netwerk en zo de malware verder verspreiden. Dit is een potentieel risico voor zowel de gebruiker als voor uw organisatie.
Verschillende aanvalstechnieken voor Windows en Mac
Voor Windows zijn verschillende technieken die veel worden gebruikt voor aanvallen, waaronder:
- Registersleutels
- Het draaien van een service
- BIOS-aanvallen
- PowerShell
- DLL’s
- Het manipuleren van access tokens
- WMI (Windows Management Instrumentation)
Met deze technieken en tools kan een cybercrimineel zich verder door een omgeving verspreiden, met als doel om uiteindelijk toegang te krijgen tot systemen die waardevoller en interessanter zijn dan de computer van de eindgebruiker. Er zijn dus veel mogelijkheden om een Windows-systeem aan te vallen. Dit is belangrijk omdat Windows-malware heel anders werkt dan Mac-malware.
Andere aanvalstechnieken
Op de Mac worden andere aanvalstechnieken gebruikt, zoals:
- Launch Agents / Daemons
- Misbruik van sudo / pam.d / scripts / cron
- Phishing / masking
Maar macOS kent een aantal unieke kenmerken die het bestrijden van malware bemoeilijken. Daardoor kan een malwareinfectie op de Mac bijzonder hardnekkig zijn. Dit komt onder andere door de Launch Agents, die alleen op de Mac voorkomen. Phishing komt natuurlijk veel voor op zowel Mac als Windows, maar is voor de Mac de laatste tijd sterk toegenomen vanwege alle nieuwe beveiligingsmaatregelen Apple introduceerde.
Zo dwingt macOS een gebruiker nu om ieder onderdeel van een nieuw component goed te keuren, om zo te controleren of die gebruiker inderdaad toegang moet hebben tot dat component. Dit heeft ertoe geleid dat criminelen heel creatief zijn geworden in het bedenken van nieuwe phishingmails voor Mac-gebruikers, in een poging die controle te omzeilen.
Ingebouwd security voor Mac
Maar er is ook goed nieuws. Apple-hardware en macOS worden geleverd met de volgende ingebouwde tools:
- T1 / T2-chip
- App Signing / Notarization
- SIP – System Integrity Protection
- Firewall / packetfilter
Naast deze tools wordt macOS ook geleverd met:
- Xprotect
- MRT – Hulpprogramma voor het verwijderen van malware
- GateKeeper
Beveiligingstools
macOS biedt verschillende methoden om endpoint securitytools te bouwen. Lange tijd waren de meest voorkomende tools kernelextensies, omdat deze ongehinderd toegang hebben tot de macOS-kernel. Maar de meeste beveiligingstools zijn ooit als tools voor Windows ontwikkeld en vervolgens overgezet naar de Mac. Dit betekende dat ze vaak een sterke impact hebben op de systeemprestaties van Macs, wat vervolgens resulteert in kernelpanics.
Op dit moment bevinden veel macOS-tools voor endpoint security zich in een overgangsfase, omdat Apple bezig is om de kernel-aanpak achter zich te laten. De verdor kondigde dit aan tijdens WWDC in 2019, toen Apple verklaarde dat kernelextensies niet langer zijn toegestaan. Ze zorgden voor nieuwe frameworks: de system extensions. Een aantal securityleveranciers begon inmiddels om op de juiste wijze tools te bouwen op basis van deze system extensions, met behulp van de nieuwe frameworks.
Omdat Apple op de WWDC van dit jaar echter aankondigde dat de mogelijkheden van kernelextensies al vanaf de release van Big Sur beperkt gaan worden, kunnen gebruikers van een securityproduct dat afhankelijk is van die extensies mogelijk een flink beveiligingsrisico lopen. Daarom is het essentieel om snel een securityproduct te vinden dat compatibel is met deze nieuwe maatregelen.
Een baseline voor security
Wie verantwoordelijk is voor data security raakt misschien overweldigd door alle verschillende mogelijkheden en configuratie-instellingen. Dan is een security baseline een goed startpunt. Zo’n security baseline biedt nuttige richtlijnen voor het beveiligen van data, op basis van industriestandaards en security benchmarks. Dergelijke baselines zijn bijvoorbeeld te vinden op CIS Benchmarks.
Jeroen Bremmer, Buisness Development Engineer, Jamf
