Qué deben saber los equipos de seguridad



Las Mac han sido las favoritas de los consumidores durante años, pero no fue hasta hace poco que comenzaron a aparecer en los escritorios de ejecutivos, desarrolladores e investigadores. Ahora, Apple repara periódicamente las vulnerabilidades de macOS, mientras que los estados-nación y los ciberdelincuentes apuntan cada vez más a la plataforma, lo que lleva a los equipos de seguridad a evaluar: ¿Cómo deberían proteger los dispositivos macOS dentro de la empresa?

Las organizaciones se han ocupado durante mucho tiempo de la seguridad de Mac, pero históricamente ha jugado un papel menor que la seguridad de Windows porque menos personas usaban los productos de Apple en el lugar de trabajo. Con más personas que utilizan dispositivos Mac en el trabajo, el panorama de las amenazas ha cambiado.

«Definitivamente hay un gran aumento en el uso de Mac, especialmente en la empresa», dice Patrick Wardle, fundador de Objective-See y autor de «El arte del malware de Mac: la guía para analizar computer software malicioso».

No es sorprendente, dada la facilidad de uso de los productos Apple y el diseño de su ecosistema, que muchos empleados soliciten una Mac como máquina corporativa. Pero aumenta la superficie de ataque empresarial.

«Hemos visto, al mismo tiempo, este tipo de aumento de las amenazas de Mac», continúa Wardle. «Y siempre hay matices de causa y efecto, pero … en basic, a medida que una tecnología se vuelve más frecuente en la empresa, verá que los adversarios, tanto los ciberdelincuentes como los estados-nación, aumentan de manera related su interés en eso».

Los investigadores de seguridad también han mostrado un mayor interés en la plataforma Mac, agrega Jon Clay, vicepresidente de inteligencia de amenazas de Trend Micro, quien señala como ejemplo la iniciativa Zero-Working day de la compañía.

«Cuando tienes una plataforma mucho más well-liked, obtienes investigadores que se interesan más en esa plataforma y comenzarán a sumergirse, tratando de identificar y encontrar los errores».

Y lo que están descubriendo es que macOS, como cualquier otro sistema operativo, tiene vulnerabilidades, una plan que va en contra de la mentalidad que aún prevalece entre muchos usuarios de Mac de que las Mac son más seguras que Home windows y tienen menos probabilidades de ser atacadas.

A finales de la década de 1990 y principios de la de 2000, los sistemas de Windows estaban llenos de virus y gusanos. Una de las principales razones de esto, dice Wardle, es que Windows tenía varios servicios expuestos a World-wide-web, muchos de los cuales eran explotables. Las Mac tenían una base de usuarios mucho más pequeña y, como resultado, los adversarios no solían atacarlos. También, en términos relativos, estaba más bloqueado ya que el sistema operativo no tenía la misma cantidad de protocolos y servicios que escuchaban las conexiones que Windows.

«La analogía que me gusta usar, que mencionan otros investigadores de seguridad, es que Windows era como la casa en el barrio rudo de la ciudad, mientras que Mac period como la casa de campo en el campo», explica.

Con el tiempo, Microsoft agregó más mecanismos de seguridad a su sistema operativo para combatir las amenazas creó un programa de recompensas por errores y trabajó con la comunidad de seguridad. Pero Apple no hizo mucho. En ese momento, no period necesario: nadie estaba prestando atención y no había muchas amenazas centradas en Mac. Pero su verborrea de advertising que decía que las Mac no contraían los virus de Windows era «matizada y no era realmente cierta porque los virus multiplataforma pueden infectar a ambos», dice Wardle.

«Así que tienes este acertijo realmente interesante, esta paradoja en la que muchos usuarios de Mac están demasiado confiados en la seguridad de sus sistemas, tanto por el marketing de Apple como porque, en el pasado, las Mac eran posiblemente más seguras que Windows o al menos dirigidas a menos «, dice.

Esta mentalidad pone a los usuarios de Mac en mayor riesgo, ya que los atacantes pueden haberlos percibido como más propensos a hacer clic en un enlace o descargar un archivo sospechoso, señala Wardle. Ahora, sin embargo, esta mentalidad está cambiando a medida que las Mac se convierten en un foco de atención tanto para los investigadores como para los ciberdelincuentes. Se descubren y parchean más vulnerabilidades, y los ataques dirigidos a macOS son cada vez más sofisticados. ¿Cómo son las amenazas y qué está haciendo Apple para responder?

Mantenerse al día con los delincuentes: vulnerabilidades y amenazas llamativas
Hace cinco años, el malware para Mac «realmente no period tan interesante», dice Wardle. Ahora, los investigadores ven a los atacantes portar capacidades de Windows o Linux para ejecutarse de forma nativa en macOS, incluido el software package publicitario, así como herramientas criminales, puertas traseras e implantes de actores estatales como Lazarus Group, dice.

«Para mí, lo más interesante, además de que los adversarios portan sus capacidades de Windows y Linux para ejecutarse en macOS, es la sofisticación de estas amenazas», explica. «Vemos que los días cero se utilizan como vectores de infección vemos técnicas más sofisticadas». El malware de Mac aprovechará las fallas de día cero para aumentar los privilegios o eludir los mecanismos de seguridad integrados de Apple.

Los investigadores y atacantes han hecho innumerables agujeros en la plataforma en los últimos años. Ejemplos de errores notables incluyen CVE-2021-30657, un falla lógica recientemente descubierta
en macOS Major Sur 11.3 que permitió a los atacantes lanzar una carga útil que Gatekeeper, Cuarentena de archivos y Notarización de aplicaciones no verificaron y que se utilizó para desplegar
Distribuya el malware en las máquinas de destino.

Casi al mismo tiempo que se reveló esto, los investigadores de Pattern Micro informó
la campaña de malware XCSSET centrada en macOS se había adaptado para apuntar a macOS 11 y máquinas que ejecutan el M1, el propio procesador de Apple para sus Mac más nuevas. Si bien macOS 11 vino con nuevas funciones de seguridad para detectar mejor las modificaciones de código, los atacantes pronto encontraron una forma de evitar las medidas.

«El desafío que tenemos es que estos delincuentes están muy bien financiados en estos días, están muy motivados y tienen buenos expertos en codificación en el own», dice Clay de Pattern Micro. «La probabilidad de que sigamos viendo vulnerabilidades explotadas es probablemente bastante alta». También señala la información recientemente revelada. Defecto de AirTag como ejemplo de cómo los delincuentes innovan rápidamente.

El malware de Home windows todavía está por delante en términos de sofisticación, dice Wardle, por un par de razones. Los atacantes no tenían mucha experiencia en la escritura de malware para Mac hasta hace poco, y la escritura de malware complejo requiere una comprensión essential del sistema operativo y sus matices. Solo recientemente, los investigadores han visto a los atacantes encontrar formas creativas de persistir en Mac, por ejemplo.

Otra razón es que simplemente no había necesidad de software program malicioso sofisticado para Mac. La razón por la que los atacantes crean malware complejo es para que el usuario o las herramientas de seguridad no los detecten y, hasta hace poco, las herramientas de seguridad de Mac no eran muy sólidas.

«Los proveedores de seguridad no tenían un conocimiento muy profundo del sistema operativo, por lo que las herramientas de seguridad que estaban creando eran triviales de pasar por alto», dice Wardle. «El malware realmente no tenía que hacer nada hábil o sigiloso».

Apple ha mejorado su seguridad en nuevas versiones de macOS, lo que obliga a los delincuentes a trabajar más duro para violar las defensas de Mac. ¿Qué ha hecho en la última versión y qué lagunas quedan?

Respuesta de Apple: avances y dificultades en la seguridad de Mac
Apple comenzó a tomarse la seguridad «mucho más en serio» en macOS 10.15 (Catalina), dice T. College student, un desarrollador de Malwarebytes que recientemente escribió un publicación de website técnica sobre las nuevas herramientas de seguridad disponibles en macOS 11. Antes de eso, Apple proporcionaba principalmente a los proveedores funciones de observabilidad y «una oferta muy limitada de funciones de cumplimiento», señalan. Catalina trajo consigo Extensiones de pink, una función tomada de iOS, y Endpoint Security, un «marco impresionantemente completo y bien diseñado» para desarrollar aplicaciones de seguridad de terminales.

Una de las características de seguridad más notables en macOS 11 es el M1, el procesador propio de Apple para sus Mac más nuevas, dice College student. El M1 es rápido y energéticamente eficiente, explican, pero también fue diseñado para la seguridad: «Casi todas las mejoras de seguridad más importantes de macOS 11 se basan en características exclusivas del M1 y solo están disponibles en M1 (» Apple silicon «) Macs», dice Pupil. El M1 va más allá de abordar las llamadas fallas de microarquitectura en el código interno de la CPU, continúan. Las características como el código de autenticación de puntero también tienen como objetivo abordar problemas de software package.

Apple también ha revolucionado su política sobre software de terceros, dice Scholar, señalando que «prácticamente de la noche a la mañana, pasaron de considerarlos desperdicios obsoletos y cargas de mantenimiento a aplicaciones legítimas de primera clase».

El enfoque de la compañía con el program de terceros ha sido complicado durante mucho tiempo, dicen los expertos, pero Apple ha mejorado aquí. Wardle señala el lanzamiento de nuevos marcos creados para herramientas de seguridad de terceros que brindan capacidades de detección y conocimiento, así como la creación de herramientas de seguridad avanzadas de compañías de terceros. Apple introdujo la notarización en macOS 10.15, que requiere que los desarrolladores envíen su application para verificar si hay contenido malicioso antes de poder distribuirlo.

Los marcos de firma de código de Apple y las capacidades del sistema operativo son un área de mejora significativa. La compañía no tiene miedo de «romper» los programas y program heredados, que Wardle señala que está «un poco basado en la arrogancia, pero desde el punto de vista de la seguridad funciona bien». En Home windows, por ejemplo, muchos problemas se derivan de componentes heredados que Microsoft no ha estado dispuesto a desaprobar. Apple se desaprueba rápidamente, lo que dice que es bueno porque elimina una gran cantidad de código heredado, incluso si la empresa no siempre lo hace necesariamente por razones de seguridad.

«Una cosa acerca de todo esto es que hay que echar un vistazo a las motivaciones de por qué Apple está haciendo esto», señala. «Mucho es por seguridad, pero mucho también es para controlar lo que se ejecuta en sus sistemas». Si bien ha habido vulnerabilidades en el mecanismo de notarización que permiten a los adversarios ejecutar código no notariado, Wardle lo llama un paso en la dirección correcta.

Por supuesto, como ocurre con cualquier empresa, queda trabajo por hacer. Para Apple, gran parte de esto se relaciona con sus relaciones con empresas de application de terceros e investigadores de seguridad. Clay y Wardle señalan la falta de comunicación de Apple con la comunidad de investigación de seguridad externa y cuántos de sus miembros han tenido experiencias negativas con la empresa.

«En mi opinión, su mayor problema con la seguridad, como la mayoría de las empresas, es su cultura organizacional, que en el caso de Apple es de opacidad paranoica y ofuscación», dice Scholar. La compañía ha ignorado los informes de investigadores externos y hace cumplir el secreto a través de NDA y cese y desista. También solucionan problemas de seguridad, o no lo hacen, sin documentación.

¿Planeando Mac? Qué deben saber los equipos de seguridad
A medida que las organizaciones permiten que más empleados utilicen computadoras Mac, los equipos de seguridad deben tomar medidas para proteger estas máquinas.

«A medida que Apple crece y su presencia crece dentro de la comunidad empresarial, ese es un objetivo de alto perfil es un objetivo de gran valor para los delincuentes», dice Clay. «Si soy un atacante y analizo cómo ingresar a una organización o cómo moverme lateralmente a través de una organización, si el entorno de Home windows está bastante bien cuidado, es posible que pasen a otras aplicaciones [or] plataformas «.

Es importante no tratar a las Mac y Home windows de manera diferente, dice Wardle. Si bien muchas empresas tienen políticas distintas para cada sistema operativo, y muchas carecen de políticas de seguridad para Mac, es una buena concept tomar la política de seguridad de Windows, que en este momento es madura, reforzada y probada en batalla, y aplicar la misma metodología a macOS. . La concept de que las Mac necesitan una política de seguridad menos intensiva es «un pensamiento muy peligroso», señala.

Ambos sistemas deben tener un agente de seguridad de punto remaining, y las Mac deben tener uno que sea específico para Mac o que provenga de un proveedor que invierte por igual en productos Mac y Windows. Así como los investigadores ven que los autores de malware de Mac obtienen una comprensión más profunda de macOS y crean amenazas de macOS personalizadas, es importante que las herramientas de seguridad instaladas tengan la misma comprensión elementary del sistema operativo. Si bien Apple ha introducido más funciones de seguridad en su sistema operativo, los atacantes encontrarán una forma de evitarlo y ayuda a incorporar herramientas de terceros a un sistema.

«La actualización y el parcheo serán otra área», señala Clay. «Las organizaciones querrán asegurarse de tener esa capacidad y … si tiene capacidades de parcheo centralizadas en esa plataforma, incluso mejor».

Clay también aconseja implementar un programa educativo para los empleados para que sepan cómo estar atentos a los ataques. Ya sea que se trate de un correo electrónico de suplantación de identidad que suelta código de Mac en lugar de código de Windows o explota un mistake en la plataforma Mac, deben conocer los riesgos y las señales de alerta relacionados con ellos.



Enlace a la noticia primary