การป้องกันมัลแวร์ใน macOS
Apple ดำเนินกระบวนการข้อมูลภัยคุกคามเพื่อระบุและปิดกั้นมัลแวร์อย่างรวดเร็ว
การป้องกันสามชั้น
โครงสร้างการป้องกันมัลแวร์มีสามชั้น:
1. ป้องกันการเปิดใช้หรือการเรียกใช้มัลแวร์: App Store หรือ Gatekeeper ร่วมกับการรับรอง
2. ปิดกั้นมัลแวร์ไม่ให้ทำงานบนระบบของลูกค้า: Gatekeeper, การรับรองและ XProtect
3. เยียวยามัลแวร์ที่ถูกเรียกใช้แล้ว: XProtect
การป้องกันชั้นแรกออกแบบมาเพื่อยับยั้งการแพร่กระจายของมัลแวร์ และป้องกันไม่ให้มัลแวร์เปิดใช้งานได้แม้แต่ครั้งเดียว นี่คือเป้าหมายของ App Store และ Gatekeeper ที่ทำงานร่วมกับการรับรอง
ชั้นถัดไปของการป้องกันคือการช่วยทำให้แน่ใจว่าหากมัลแวร์แสดงขึ้นบน Mac เครื่องใดก็ตาม มัลแวร์จะถูกระบุและปิดกั้นอย่างรวดเร็ว ทั้งเพื่อหยุดการแพร่กระจายและเพื่อเยียวยาระบบ Mac ที่มัลแวร์ได้ปักหลักแล้ว XProtect พร้อมด้วย Gatekeeper และการรับรองจะเพิ่มเข้ามาในการป้องกันชั้นนี้
ในขั้นสุดท้าย XProtect จะทำหน้าที่แก้ไขมัลแวร์ที่สามารถดำเนินการได้สำเร็จ
การป้องกันเหล่านี้จะรวมกันเพื่อรองรับแนวปฏิบัติที่ดีที่สุดในการป้องกันไวรัสและมัลแวร์ ด้านล่างคือคำอธิบายเพิ่มเติมสำหรับการป้องกันเหล่านี้ Mac ที่มี Apple Silicon มีการปกป้องเพิ่มเติมเพื่อจำกัดความเสียหายจากมัลแวร์ที่อาจเกิดขึ้นเมื่อมีการเรียกใช้มัลแวร์สำเร็จ ให้ดูที่ การปกป้องการเข้าถึงข้อมูลผู้ใช้ของแอป สำหรับวิธีที่ macOS สามารถช่วยปกป้องข้อมูลผู้ใช้จากมัลแวร์ได้ และ ความสมบูรณ์ของระบบปฏิบัติการ สำหรับวิธีที่ macOS สามารถจำกัดการทำงานของมัลแวร์บนระบบได้
การรับรอง
การรับรองเป็นบริการการสแกนมัลแวร์ที่ Apple ให้บริการ นักพัฒนาที่ต้องการเผยแพร่แอปสำหรับ macOS ภายนอก App Store จะส่งแอปของตนเพื่อสแกน ซึ่งเป็นส่วนหนึ่งของกระบวนการเผยแพร่ Apple จะสแกนซอฟต์แวร์นี้เพื่อตรวจหามัลแวร์ที่รู้จัก และหากไม่พบ ก็จะออกตั๋วรับรองให้ ปกตินักพัฒนาจะแนบตั๋วนี้รวมกับแอปของตนเพื่อให้ Gatekeeper สามารถตรวจสอบยืนยันและเปิดใช้แอปได้แม้จะออฟไลน์
Apple ยังสามารถออกตั๋วเพิกถอนให้กับแอปที่ประสงค์ร้ายได้เช่นกัน แม้ว่าก่อนหน้านี้จะมีการรับรองไปแล้วก็ตาม macOS จะตรวจสอบตั๋วเพิกถอนใหม่ๆ เป็นประจำเพื่อให้ Gatekeeper มีข้อมูลล่าสุดและสามารถปิดกั้นการเปิดใช้ไฟล์เหล่านั้นได้ กระบวนการนี้สามารถปิดกั้นแอปที่ประสงค์ร้ายได้อย่างรวดเร็วมากเนื่องจากมีการอัปเดตในเบื้องหลังบ่อยกว่ามากเมื่อเทียบกับรายการอัปเดตในเบื้องหลังที่ผลักข้อมูลลายเซ็น XProtect ใหม่ๆ นอกจากนี้ การปกป้องนี้ยังสามารถปรับใช้กับทั้งแอปที่มีการปรับใช้ไปก่อนหน้านี้และแอปที่ยังไม่มีการปรับใช้อีกด้วย
XProtect
macOS มีเทคโนโลยีป้องกันไวรัสในตัวที่เรียกว่า XProtect สำหรับการตรวจจับและกำจัดมัลแวร์ด้วยลายเซ็น ระบบจะใช้ลายเซ็น YARA ซึ่งเป็นเครื่องมือที่ใช้ตรวจจับมัลแวร์โดยอิงจากลายเซ็น และเป็นเครื่องมือที่ Apple อัปเดตอย่างสม่ำเสมอ Apple จะตรวจสอบการติดมัลแวร์และสเตรน แล้วอัปเดตลายเซ็นโดยอัตโนมัติโดยไม่เกี่ยวข้องกับรายการอัปเดตของระบบ ทั้งนี้เพื่อช่วยป้องกัน Mac ไม่ให้ติดมัลแวร์ XProtect จะตรวจจับและปิดกั้นการดำเนินการของมัลแวร์ที่รู้จักโดยอัตโนมัติ ใน macOS 10.15 ขึ้นไป XProtect จะตรวจสอบหาเนื้อหาที่ทราบว่าประสงค์ร้ายเมื่อใดก็ตามที่:
แอปเปิดใช้เป็นครั้งแรก
มีการเปลี่ยนแปลงแอป (ในระบบไฟล์)
ลายเซ็น XProtect อัปเดตแล้ว
เมื่อ XProtect ตรวจจับมัลแวร์ที่รู้จัก ซอฟต์แวร์จะถูกปิดกั้นและผู้ใช้จะได้รับการแจ้งเตือนและได้รับตัวเลือกสำหรับย้ายซอฟต์แวร์ไปยังถังขยะ
หมายเหตุ: การรับรองมีประสิทธิภาพกับไฟล์ที่รู้จัก (หรือแฮชไฟล์) และสามารถใช้กับแอปที่เปิดใช้ไปแล้วก่อนหน้านี้ได้ กฎเกณฑ์ที่อิงจากลายเซ็นของ XProtect เป็นกฎเกณฑ์ที่ครอบคลุมมากกว่าแฮชไฟล์แบบเฉพาะ จึงสามารถค้นหารูปแบบต่างๆ ที่ Apple ยังไม่เคยเห็นได้ XProtect จะสแกนเฉพาะแอปที่มีการเปลี่ยนแปลงหรือสแกนการเปิดใช้แอปครั้งแรก
XProtect ยังมีเทคโนโลยีในการแก้ไขการติดไวรัสหากมัลแวร์เข้าสู่ Mac แล้วอีกด้วย ตัวอย่างเช่น มีกลไกที่แก้ไขการติดไวรัสตามการอัปเดตที่ส่งจาก Apple โดยอัตโนมัติ (ซึ่งเป็นส่วนหนึ่งของการอัปเดตอัตโนมัติของไฟล์ข้อมูลระบบและการอัปเดตความปลอดภัย) ระบบนี้จะเอามัลแวร์ออกเมื่อได้รับข้อมูลที่อัปเดต และจะตรวจสอบหาการติดไวรัสต่อไปเป็นระยะ อย่างไรก็ตาม XProtect จะไม่เริ่มการทำงาน Mac ใหม่โดยอัตโนมัติ นอกจากนี้ XProtect ยังมีกลไกขั้นสูงเพื่อตรวจหามัลแวร์ที่ไม่รู้จักโดยอิงจากการวิเคราะห์พฤติกรรมอีกด้วย ข้อมูลเกี่ยวกับมัลแวร์ที่ตรวจพบโดยกลไกนี้ รวมถึงซอฟต์แวร์ที่ทำหน้าที่ดาวน์โหลดมัลแวร์มาในท้ายที่สุด จะถูกใช้เพื่อปรับปรุงลายเซ็น XProtect และความปลอดภัยของ macOS
รายการอัปเดตความปลอดภัยอัตโนมัติของ XProtect
Apple จะออกรายการอัปเดตสำหรับ XProtect โดยอัตโนมัติ โดยอิงตามข้อมูลภัยคุกคามล่าสุดที่มี ตามค่าเริ่มต้น macOS จะตรวจสอบรายการอัปเดตเหล่าโดยอัตโนมัติทุกวัน รายการอัปเดตการรับรอง ซึ่งเผยแพร่โดยใช้การเชื่อมข้อมูล CloudKit นั้นเกิดขึ้นบ่อยกว่ามาก
Apple จะตอบสนองอย่างไรเมื่อพบมัลแวร์ใหม่
เมื่อพบมัลแวร์ตัวใหม่ อาจมีการดำเนินการต่างๆ ในหลายขั้นตอน:
ใบรับรอง ID ของนักพัฒนาทุกใบที่เกี่ยวข้องจะถูกเพิกถอน
มีการออกตั๋วเพิกถอนการรับรองให้กับทุกไฟล์ (แอปและไฟล์ที่เกี่ยวข้อง)
มีการพัฒนาและเผยแพร่ลายเซ็น XProtect
ลายเซ็นเหล่านี้ยังถูกปรับใช้แบบย้อนหลังกับซอฟต์แวร์ที่ได้รับการรับรองไปแล้วอีกด้วย และการตรวจจับใดๆ ที่เป็นการตรวจจับใหม่อาจส่งผลให้การทำงานอย่างน้อยหนึ่งรายการที่เกิดขึ้นไปแล้วเกิดขึ้นอีกครั้ง
ท้ายที่สุดแล้ว การตรวจพบมัลแวร์จะนำไปสู่ชุดขั้นตอนต่างๆ ที่ใช้เวลาเป็นวินาที ชั่วโมง และวันตามมา เพื่อมอบการปกป้องที่ดีที่สุดกับผู้ใช้ Mac