Suojaaminen haittaohjelmistoilta macOS:ssä
Apple tunnistaa ja estää haittaohjelmistoja käyttäen uhkatietojen analysointiprosessia.
Kolme suojauskerrosta
Haittaohjelmistosuojaukset on jaettu kolmeen kerrokseen:
1. Haittaohjelmiston käynnistämisen tai suorittamisen estäminen: App Store tai Gatekeeper yhdessä oikeaksi todistamisen kanssa
2. Haittaohjelmiston suorittamisen estäminen asiakasjärjestelmissä: Gatekeeper, oikeaksi todistaminen ja XProtect
3. Suoritetun haittaohjelmiston korjaaminen: XProtect
Ensimmäinen suojauskerros on suunniteltu ehkäisemään haittaohjelmistojen jakelua ja estämään niitä käynnistymästä kertaakaan. Tämä on sekä App Storen että Gatekeeperin ja oikeaksi todistamisen tavoite.
Seuraava suojauskerros auttaa varmistamaan, että jos haittaohjelmisto pääsee Maciin, se tunnistetaan ja estetään nopeasti. Tämän tavoitteena on estää leviäminen ja korjata Mac-järjestelmät, jos haittaohjelmisto on jo saanut siellä jalansijaa. XProtect täydentää tätä suojausta yhdessä Gatekeeperin ja oikeaksi todistamisen kanssa.
Lopuksi XProtect toimii korjatakseen haittaohjelmiston, joka on onnistunut käynnistymään.
Yhdessä nämä suojaukset, joista kerrotaan tarkemmin jäljempänä, tukevat parhaiden käytäntöjen mukaista suojausta viruksilta ja haittaohjelmistoilta. Erityisesti Apple siliconilla varustetussa Macissa on lisäsuojauksia, joilla rajoitetaan mahdollisia haittaohjelmiston aiheuttamia vahinkoja, jos se on onnistunut käynnistymään. Katso ohjeesta Appien pääsyoikeuden estäminen käyttäjätietoihin tapoja, joilla macOS voi auttaa suojaamaan käyttäjän tietoja haittaohjelmistoilta, ja ohjeesta Käyttöjärjestelmän eheys tapoja, joilla macOS voi rajoittaa toimintoja, joita haittaohjelmisto voi suorittaa järjestelmässä.
Notarisointi
Notarisointi on Applen tarjoama haittaohjelmistojen tunnistuspalvelu. Kehittäjät, jotka haluavat jaella macOS-appeja App Storen ulkopuolella, lähettävät appinsa tarkistettaviksi osana jakeluprosessia. Apple tarkistaa ohjelmiston tunnettujen haittaohjelmistojen varalta, ja jos niitä ei löydetä, se luo oikeaksi todistamisen tiketin. Yleensä kehittäjät liittävät tämän tiketin appiinsa, jotta Gatekeeper voi tarkistaa ja käynnistää apin myös offline-tilassa.
Apple voi myös luoda kumoamistiketin apeille, jotka ovat tunnetusti haitallisia, vaikka ne olisi todistettu aiemmin oikeiksi. macOS tarkistaa säännöllisesti uudet kumoamistiketit, jotta Gatekeeperillä on uusimmat tiedot ja jotta se voi estää sellaisten tiedostojen käynnistyksen. Tämä prosessi voi estää haittaohjelmia erittäin nopeasti, sillä taustalla tehtäviä päivityksiä tehdään paljon useammin kuin uusia XProtect-allekirjoituksia lähettäviä taustalla tehtäviä päivityksiä. Lisäksi tätä suojausta voidaan käyttää sekä appeihin, jotka on aiemmin todistettu oikeiksi, että appeihin, joita ei ole aiemmin todistettu oikeiksi.
XProtect
macOS:ssä on sisäänrakennettuna virustorjuntateknologia nimeltä XProtect tunnistepohjaista haittaohjelmistojen tunnistusta ja poistamista varten. Järjestelmä käyttää YARA-tunnisteita. Ne ovat työkalu haittaohjelmistojen tunnistamiseen tunnisteen perusteella, ja Apple päivittää allekirjoituksia säännöllisesti. Apple tarkkailee uusien haittaohjelmistojen tartuntoja ja leviämistä ja päivittää tunnisteita automaattisesti riippumatta järjestelmän päivityksistä auttaakseen suojelemaan Macia haittaohjelmistoilta. XProtect tunnistaa ja estää automaattisesti tunnetun haittaohjelmiston suorittamisen. macOS 10.15:ssä ja uudemmissa XProtect tarkistaa tunnetun haittasisällön varalta aina, kun:
Appi käynnistetään ensimmäistä kertaa
Appi on muuttunut (tiedostojärjestelmässä)
Xprotect-tunnisteita päivitetään
Kun XProtect havaitsee tunnetun haittaohjelmiston, ohjelmisto estetään, käyttäjälle ilmoitetaan ja hänelle annetaan mahdollisuus siirtää ohjelmisto roskakoriin.
Huomaa: Notarisointi toimii tunnetuille tiedostoille (tai tiedostotiivisteille), ja sitä voidaan käyttää apeissa, jotka on jo aiemmin käynnistetty. XProtectin tunnistepohjaiset säännöt ovat yleisluontoisempia kuin tietty tiedostotiiviste, joten se voi löytää versioita, joita Apple ei ole huomannut. XProtect tarkistaa vain apit, jotka ovat muuttuneet tai jotka käynnistetään ensimmäistä kertaa.
XProtect sisältää myös haitat korjaavaa teknologiaa siltä varalta, että haittaohjelma pääsisi Maciin saakka. Se esimerkiksi korjaa haittaohjelmistotartuntoja Applen automaattisesti toimittamien päivitysten perusteella (toimitetaan osana automaattisia järjestelmän datatiedostojen päivityksiä ja suojauspäivityksiä). Järjestelmä poistaa haittaohjelmiston saadessaan päivitettyä tietoa ja tekee määräajoin tarkistuksia tartuntojen varalta. XProtect ei kuitenkaan käynnistä Macia automaattisesti uudelleen. Lisäksi XProtect sisältää edistyksellisen moottorin tuntemattoman haittaohjelmiston havaitsemista varten toimintatavan analyysin perusteella. Tämän moottorin havaitseman haittaohjelmiston tietoja, mukaan lukien tietoa haittahjelmiston lataamiseen viime kädessä vastuussa olleesta ohjelmistosta, käytetään Xprotect-tunnisteiden ja macOS:n tietoturvan parantamiseen.
XProtectin automaattiset suojauspäivitykset
Apple julkistaa päivitykset XProtectille automaattisesti uusimpien uhkatietojen perusteella. Oletuksena macOS tarkistaa nämä päivitykset päivittäin. Oikeaksi todistamisen päivitykset, jotka toimitetaan CloudKit-synkronoinnilla, tapahtuvat paljon useammin.
Miten Apple toimii, kun uusi haittaohjelmisto havaitaan
Kun haittaohjelmisto havaitaan, voidaan tehdä useita toimenpiteitä:
Siihen liittyvät kehittäjävarmenteet perutaan.
Oikeaksi todistamisen kumoustiketit luodaan kaikille tiedostoille (apeille ja siihen liittyville tiedostoille).
Xprotect-tunnisteita kehitetään ja julkaistaan.
Näitä tunnisteita käytetään myös takautuvasti aiemmin oikeiksi todistettuihin ohjelmistoihin. Jos tehdään uusia havaintoja, voidaan tehdä yksi tai useampi edellä kerrotuista toiminnoista.
Haittaohjelmiston havaitseminen laukaisee toimenpidesarjan seuraavien sekuntien, tuntien ja päivien aikana, jotta Mac-käyttäjillä on käytössään paras mahdollinen suojaus.