Jamf Mobile Forensics 详解

保护高风险用户

诸如雇佣间谍软件、零点击漏洞利用、高级持续性威胁（APT）及国家支持攻击等复杂攻击手段，会根据用户身份、工作性质或其可访问的数据类型实施定向攻击。由于此类攻击需要充足的资源和资金才能实施，它们更常针对高风险用户和组织。

Apple 和 Google 均会向用户发出潜在间谍软件攻击的警告，并为收到威胁通知的用户群体（如记者、活动人士、政界人士及外交官）发布防护指南。美国网络安全与基础设施安全局指出，政府官员和政治人物等群体常成为攻击目标。英国国家网络安全中心则表示，若因工作或公众身份而接触或影响到可能引起国家行为体兴趣的敏感信息，则被视为高风险个人。

但这不仅适用于与政府、媒体或政治有联系的员工。诸如科技、物流与运输、自然资源与石油天然气、制造业、金融服务等行业的组织机构面临风险，因为其用户持有高价值数据或业务开展地存在安全隐患。

为发现复杂攻击并确保其设备群中移动设备的完整性，安全团队（例如安全运营中心、取证团队、信息安全团队或IT团队）需要通过更深入的数据分析来获取设备洞察。

这就是 Jamf Mobile Forensics 发挥作用的地方。

Jamf Mobile Forensics

Jamf Mobile Forensics 填补了针对移动设备的高级攻击在高级检测、取证和分析方面的空白。其威胁情报与自动化分析能力为安全团队减轻了繁重工作，既能提升数字取证调查效率，又能帮助团队加速实施缓解与修复措施。

Jamf Mobile Forensics 如何运作？

深度自动化日志收集与自然用户体验的结合，简化了分析流程，助力安全团队快速理解并应对复杂攻击。Jamf Mobile Forensics 规则引擎搭载 Jamf 威胁实验室专有行为分析技术，通过已知情报、异常情况及可疑行为自动分析每次扫描结果，从而检测恶意活动与零日威胁。

这使安全团队能够：

• 在零点击攻击、单次点击攻击和高级持续性威胁入侵网络之前就将其识别出来

• 检测规避安全控制的未知漏洞利用和有效载荷

• 分析入侵迹象（IoCs）以识别恶意活动

• 检测并应对雇佣间谍软件和高级威胁，同时不泄露个人身份信息

扫描终端用户设备

设备扫描使团队能够检测设备是否遭受攻击、何时遭受攻击、攻击如何发生以及其影响程度。使用 Jamf Mobile Forensics 进行扫描只需几分钟，而非数周。

对于最终用户，Jamf Mobile Forensics 包含一款名为 Threat Protect 的移动应用程序，该程序会根据组织设定的间隔主动扫描设备。该应用程序可帮助安全团队持续分析设备完整性，同时不会干扰用户操作或泄露个人身份信息。该应用程序通过收集并分析终端遥测数据（如系统日志、内核日志、证书、崩溃信息、软件等）来执行检测任务，从而识别已知与未知的威胁。

基于组织工作流程和最佳实践，它还提供了一种基于有线扫描的选项（通常适用于本地部署客户）。这些扫描操作是通过将移动设备直接连接到工作站（如 Mac）计算机来完成的。

在日志收集过程中，不会收集密码、照片和视频、短信（包括 iMessage）、联系人、通话数据、应用程序数据等个人身份信息。

专家指导与情报

Jamf Mobile Forensics 由 Jamf 威胁实验室提供支持，该实验室由我们的内部安全研究员、分析师和工程师团队组成。该团队定期发布关于高级移动恶意软件和复杂攻击技术的研究报告。他们还负责开发并推动 Jamf Mobile Forensics 规则引擎的持续改进。

简化取证分析流程

使用 Jamf Mobile Forensics 的安全团队具备多种能力，可协助威胁检测和取证分析：

• 安全运营中心：通过自动将事件分组为统一事件，简化调查工作流程。团队能够监控并管理整个机群以应对高级攻击，包括不同时间段发生的事件，以及特定事件的附加上下文信息。

• 规则引擎：通过标签、允许列表或阻止列表来识别不同类型的攻击和入侵指标。基于多种属性（包括 YARA 规则、软件包标识符和进程名称）可构建复杂规则。

• AI分析：一款 AI 研究助手，可减少分析设备崩溃和异常现象所需的手动研究工作。它为团队提供快速、专家级别的潜在设备安全漏洞洞察。例如，当设备显示针对应用程序的定向远程攻击时，AI 分析将提供完整的事件摘要，包括异常应用行为、设备是否遭入侵或发生代码执行，并给出后续处理建议。

• MDM 部署：为企业自有或自带设备的 iOS、iPadOS 和 Android 设备简化移动应用部署流程。

• 集成：利用强大的 API 与 SIEM/SOAR 系统、身份提供商、移动设备管理等进行集成。

Jamf Mobile Forensics 的常见应用场景

出行前与出行后
前往间谍活动风险较高的国家的员工，需要快速、深入的分析来确定风险，搜索入侵指标（IoCs），并在损害扩散前应对威胁。例如，需要保护在全球各地工作的高风险员工的政府机构面临着不同类型的威胁。

数字取证与事件响应
通过分析设备快速评估设备完整性，发现异常情况，并将隔离措施的响应时间从数周缩短至数分钟。

移动威胁狩猎
主动扫描 iOS 和 Android 设备以分析日志（包括操作系统层级），检查设备是否存在指标（IoC），或编写规则在恶意攻击造成损害前将其拦截。

Jamf Mobile Forensics 与 Jamf for Mobile 有何区别？

Jamf for Mobile 是我们的基础移动平台，集设备管理与合规性、移动安全（例如钓鱼防护、应用风险监控、网络内容过滤等）以及安全应用访问功能于一体。企业部署 Jamf for Mobile 解决方案，旨在应对工作中日益增长的移动应用场景。该方案以用户体验为核心，实现 IT 系统集成，并扩展业务工作流程。

Jamf Mobile Forensics 为高风险用户增添了高级取证防护层，使其免受定向攻击的威胁。该系统旨在调查移动设备上的异常行为、可疑活动及高级威胁。

Jamf Mobile Forensics 能防范哪些类型的先进威胁？

• 雇佣间谍软件：这类商业监控工具（如 Predator、Pegasus、Graphite、Spyrtacus 等）专为定向攻击设计，通过漏洞渗透 iOS 和 Android 设备。

• 高级持续性威胁（APT）：根据美国网络安全与基础设施安全局（CISA）的定义，“APT行为体资源雄厚，从事复杂的恶意网络活动，其目标是针对性地实施长期网络/系统入侵。” 此类攻击往往能绕过初始防御系统，并在设备上长期潜伏。

• 国家行为体攻击：由政府行为体实施，此类攻击同时采用 APT（高级持续威胁）和雇佣间谍软件。

• 零点击攻击：威胁行为者利用此类攻击在无需用户任何交互的情况下感染移动设备。零点击漏洞利用和基于网络的攻击是雇佣间谍软件工具的常见策略

移动取证挑战

• 设备可见性：基础安全能力如终端管理、移动威胁防御和 VPN/零信任访问（ZTNA）虽能防范常见攻击，但缺乏检测高级威胁所需的深度数据和威胁分析能力。

• 人工取证：聘请外部取证顾问需要专业知识，成本更高，耗时更长，且存在泄露个人身份信息的风险。

• “临时设备”：不仅带来糟糕的用户体验和额外硬件负担，更滋生了影子 IT。

在 Jamf，我们始终以用户为中心——包括那些面临最高定向攻击风险的用户。