如果你曾经与计算机安全专家进行过咨询,你可能会认为他们对于安全问题似乎有点偏执,但这并非不是一件好事。偏执是有效安全防护的一个重要组成部分。相反,偏执的缺乏则会是一个危险因素,这一弱点尤其体现在企业Mac电脑的安全问题方面。
Mac OS X系统在安全方面赢得了良好的口碑,尤其是与Windows相比,它更为安全。造成这种现象的主要原因是由于针对Mac平台的病毒和恶意软件相对来说会比较少。若经常重复断言苹果是不容易被攻击的话,则是一种过度自信的危险信号。
不断变化的安全前景
Mac电脑的病毒和恶意软件不太容易出现,这并非是神话。其原因有很多,部分原因在于系统的设计。OS X在安装特权代码时被要求输入管理员密码,从而抵御了大部分各种猖獗的“偷渡式”恶意软件的安装,尽管微软努力控制事态的发展,但这类恶意软件依然长期困扰着Windows XP,Windows Vista感染程度较轻。
此外,根据统计结果显示,苹果电脑一直是恶意软件开发者的弱势目标。操作系统市场中,85%以上的用户都运行着Windows,恶意软件开发者自然投入到资源更大的市场中,以便能够从中获益。
然而,在OS X发布的十年以来,网络安全形势已经变得相当复杂。病毒已经过时,近代最新的Windows机器也已经能够很好地抵御它们。那些“坏家伙”正在开发新的载体,Mac恐难幸免。
超越OS为中心的安全问题
我们只是强调Mac依然存在着安全隐患,而非是针对OS X进行抨击。但不管底层操作系统的安全性如何,越来越多的攻击者运用的是第三方渠道。
今年1月,我们从一份重大的安全新闻中获知:可允许攻击者执行任意代码且能够击败沙箱的Java 7漏洞已被发现。由Oracle开发的Java并没有捆绑在OS X上面,但其用途十分广泛,因为许多网站和独立的应用程序均用Java所编写。在得知Java 7存有漏洞的消息后,苹果封锁了Java 7浏览器插件,但这只是一个折中的办法,用户仍然可以在Mac电脑上安装Java 7,若这种状态一直持续下去,他们则依然有很大的可能性遭受外部攻击。
Java只是其安全隐患当中的一种。此外,还有被广泛安装在Mac和Windws机器上的Flash,它更为受欢迎。近期,我们发现一系列最新的Flash安全漏洞,攻击者可利用Falsh在受害者的电脑上安装未经授权的软件,这些系统中包括了Mac。由于Flash和Java是第三方平台,除了要进行OS X系统更新之外,还必须进行第三方平台的单独更新,也就是说,这为IT管理员添加了两个额外的工作,与此同时,更新工作的延迟也为攻击者增添了更多的机会。
Java和Flash只是两个例子,我们只想以此来说明如今Mac安全的一个关键点。要么在第三方软件运行时关机,要么就选择其它安全策略,总之,无论在何种安全维护计划中你都必须保持它们是最新的。
网络钓鱼和社会工程学
OS X内置的安全防御措施其背后的理念是防止没有明确授权的软件进行特权操作。但是,如果攻击者能够通过诱骗用户的恶意行为而得到授权呢?这也是许多尝试网络钓鱼和其它形式社会工程学攻击的人背后的想法。
许多Mac用户都是自行管理设备的,且多数都知道管理员账户的密码,因为这样便能允许他们安装软件。别有居心的攻击者就可以利用这一点。攻击者可能会想在受害者的设备上安装任何几种恶意软件,其中包括远程桌面控制或是用于捕捉登陆和账户号码的键盘记录软件等。若要诱使他人安装这些软件,攻击者可以做如下操作:
l 给受害人发送恶意电子邮件,其内容是伪装成官方的安全更新下载链接。
l 给受害人发送恶意电子邮件,其中的恶意软件被隐藏在一个文件中,它看起来可能像是一张照片或是一个有趣的视频。
l 将恶意软件隐藏在受害人已下载的另一个软件中。这种做法通常是将恶意软件打包在盗版软件当中,但有时候恶意软件甚至可以嵌入到正版软件里面。
事实上,当操作系统提示用户允许某个特定设置时,很多人会毫无疑问地执行它。其中部分原因是由习惯问题而引起的,一整天里,只要我们进行设置,电脑总会不停地进行提示。利用这种习惯的攻击者才不关心受害人用的是Windows还是Mac。在OS X或其他任何操作系统中,很少有防止陷入社会工程陷阱的安全防护设计。而对于企业来说,则有两道防线。
其中之一是对用户进行安全教育。面对可疑的电子邮件链接和系统提示,你可能会觉得:这不是明摆着的吗?但有证据表明,很多人都不会那么谨慎。持续的提醒是非常有必要的,以确保人们在面对邮件链接和系统提示时能够崩紧那根“安全的弦”。
另一道防线则是扫描工具,它可以在用户授权阶段之前捕捉到网络钓鱼和恶意软件。所以很多人认为Mac电脑不需要杀毒软件。严格地说这类攻击并不是病毒,但以业内市场术语来讲,他已经囊括了无数种攻击向量。迈克菲、卡巴斯基和赛门铁克等大多数厂商都具备Mac扫描器-病毒先撇开不谈-他们都可以对那些坠入社会工程学攻击的用户施以帮助。
出站防火墙
说到操作系统本身,需要注意的是,OS X仅内置了入站防火墙。所以需要运行一个特别的锁定器,管理员应该考虑增加出站防火墙,类似Little Snitch或TCPBlock这种产品。这些软件可以被用于白名单操作,设置哪些应用程序可以将数据发送到网络,或是帮助管理员找到那些不必要的数据发送程序。