Passer au contenu principal

Le nouveau Endpoint Security Framework d’Apple

Publié dans: Education, Enterprise

La plupart des outils de sécurité contiennent un moniteur de processus et de fichiers. Comme leur nom l'indique, ces derniers surveillent les différents événements de processus (démarrer, terminer, etc.) et de fichiers (créer, ouvrir, supprimer). Ces moniteurs extraient souvent des méta-informations telles que le chemin du processus ou fichier, les arguments du processus et les informations relatives à la signature du code de processus.

Armés d'un moniteur de processus et de fichiers, les outils de sécurité peuvent détecter des activités anormales ou malveillantes telles que :

  • Un document malveillant qui installe un logiciel malveillant à son ouverture.
  • Un site Web malveillant qui infecte le système d'un utilisateur qui le visite.
  • Une application cheval de Troie qui installe un logiciel publicitaire lorsqu'un utilisateur est poussé à l'ouvrir.
  • Une porte dérobée persistante qui recueille les secrets d’un trousseau d’un système infecté.

Sur les versions précédentes de macOS, il était assez difficile de créer un moniteur de processus ou de fichiers exhaustif (et précis). La façon la plus simple d'effectuer ces actions était de faire appel au kernel.

Étant donné la volonté d’Apple de déprécier rapidement les extensions de noyau tierce partie (y compris celles créées par des fournisseurs de sécurité externes), il est nécessaire de s’orienter vers une autre solution !

Bonne nouvelle ! Avec la sortie de macOS 10.15 (Catalina), Apple a introduit un nouveau framework de mode utilisateur nommé « Endpoint Security ». Avec l'introduction de cette nouvelle fonctionnalité, Apple reconnaît à la fois la nécessité de disposer de mécanismes de sécurité supplémentaires (permettant une défense en profondeur) ainsi que l’importance de faire appel à des fournisseurs de sécurité tiers pour répondre à ce besoin.

Bien que le système et le framework « Endpoint Security » d'Apple soient tous les deux une nouveauté (et toujours en version bêta), nous reconnaissons leur potentiel et leur alignement avec l'engagement de Jamf en faveur des outils de sécurité macOS de type kextless et day-zero. Nous avons d’ailleurs adopté cette technologie et nous développons déjà en interne des moniteurs complets de processus et de fichiers basés exclusivement sur le nouveau « Endpoint Security Framework » d'Apple. Ces moniteurs sont en cours d'intégration dans notre prochain outil de sécurité macOS, dont la sortie est prévue prochainement. Restez à l'écoute pour plus de détails.

Entre-temps, j'ai publié une analyse approfondie en plusieurs parties des détails techniques du "Endpoint Security Framework", incluant des guides pour créer un processus et un moniteur de fichiers.

Cette analyse se trouve sur mon site personnel de sécurité macOS, Objective-See (en anglais) :