什麼是遙測技術?

遙測技術在主動監測 Mac 設備中為何扮演著重要的角色?這些精細資料如何協助 IT 及安全性團隊確定工作流程,以可用數據識別、搜捕、預防、遏止並修補威脅?現在就與我們一起探索遙測技術與它的運作原理吧。

January 9 2023 作者

Airplane cockpit with all the meters and gauges lit up.

即便在資安世界中,這個主題不一定最受矚目,遙測技術依然在裝置健康度,甚至是確保設備安全性上,具舉足輕重的地位,能與此相提並論的技術仍在少數。

在本文中,我們將介紹這位無名英雄,了解遙測技術如何實現各種需求、用途及功能。此系列的後續文章將更詳細介紹遙測技術的:

  • 資料蒐集及儲存
  • 自動提示及回報
  • 完全自動化和相互關聯

什麼是遙測技術?

可以把它想成是一份詳情日誌,即每次經過驗證的登入、已執行的命令與程序等,皆被記載下來。簡而言之,設備上絕大多數的變更,都將匯集成這份詳細的遙測數據:

  • 執行過的操作
  • 受影響的程式
  • 診斷資訊
  • 使用到的系統服務
  • 日期及時間戳記

這些數據與其他實用數據為伍,提供了透視 Mac 設備的方法,可藉此驗證當前裝置的健康度與關鍵徵象,並可直接與 Mac 上的 App 及資料溝通,了解其運行、功能、技術及安全面的狀態。

為什麼遙測技術如此重要?

為了說明遙測技術的重要性,或許把它比擬為我們的生命徵象,會更容易好懂。例如,當我們去看診時,醫護人員會替我們抽血,再透過血液檢查我們是否有任何健康問題。某些特定形式的疾病,或是維生素與礦物質含量過多或過少,這些因素都可能是由體內傳出的健康警訊,要在問題演變成重大疾病前,便採取醫療措施來改善。

遙測數據也是如此,只是它代表的是您 Mac 設備的整體健康度。從不同來源與子系統蒐集而來,這些完善的 Mac 數據可描繪出設備健康度的輪廓,並以此為依據,通知及改善工作流程,矯正已識別的問題,才能夠:

  • 降低風險
  • 確保資料安全
  • 維護用戶隱私
  • 維持合規性

「無法衡量的事物,就不會知道該如何改進它。」——物理界巨擘,開爾文男爵

遙測是如何運作的?

這些「what什麼」與「why為什麼」等引人省思的提問,使我們希望能進一步強調下列功能,幫助您理解遙測數據蒐集與分析的重要性:

  • 識別安全性威脅
  • 解決安全性事件
  • 法規遵循

反之,您任職機構的所屬產業可能因此淪為受害目標,更因此而受到政府監督。

威脅防禦及調查

如上所述,裝置健康度這樣的遙測數據,可為 IT 與安全性團隊提供精闢見解,找出保護端點的最佳方式,並可得知系統哪裡出了問題。這些問題輕則像是 App 尚未更新至最新版本,重則譬如修補高危險漏洞這樣的關鍵 macOS 安全性版本更新。

如果沒有這些詳細的遙測數據,管理者將無法透視設備資訊,更無法主動修復這些漏洞,這將導致裝置暴露在危險之中,並可能遭到有心人士濫用,甚至可能釀成更嚴重的問題。

現在假設上述未修補漏洞真的釀成了問題,裝置不幸被滲入,以致裝置遭到濫用,使用者可能會回報 Mac 上的異常活動,但管理者很難確切了解當下發生的事情以及為什麼會發生。了解原因與當下的狀況是十分關鍵的資訊,否則無法確定後續步驟。

此時便是遙測數據登場的時候了。有了它,管理者才有辦法回答這些問題,並且可以追蹤防護層是如何被攻破,又或者是系統目前被入侵得多嚴重。這些數據可以幫助我們執行修復工作,將 Mac 功能恢復至正常,降低威脅的傷害,並迅速做出回應——而速度正是任何修復工作中的要點。

法規遵循性

稍早我們提到了合規性,更具體地說是政府對高度管控行業的監督,舉凡像是醫療、金融科技及教育等,實際將依據貴公司所在位置的地方、州、聯邦和/或區域法律而定。此外,與不同國家/地區往來的機構,也可能受到往來地區的監管法規所約束,例如《一般資料保護規範》(GDPR) 與它對使用者隱私的保護,對從歐洲公民蒐集個人識別資訊 (PII) 的任何機構都具法律效力——且不論該機構是否在歐洲設有公司行號。

實際上,許多由政府頒布與監管監察相關的安全性政策,都要求採用遙測技術來為機構佐證,以示意他們有積極為合規遵循採取行動。基本的大原則為:如果您無法證明您的數據已受到保護,那麼幾乎可以算是沒有。

不過遙測數據本身並不等於合規性,要避免混為一談。反之,若您的機構已實施適當的控制與政策來確保合規數據類型的安全性,並維護合規性的必要檢查和平衡,則詳細的遙測數據將可把這件事反映出來,並在稽核期間驗證監管機構的合規性。

資安險

隨著安全性威脅及風險日益漸增,資安險在選擇風險延期作為其安全策略一部分的機構中,儼然成了熱門的選擇。據 CNBC 報導,近期保險公司因擔憂而收緊政策「部分便是依據網路攻擊的頻率、嚴重程度及成本」。這意味著機構取得資安保險可能愈加困難,或者承保範圍可能在承保過程中,會要求更多的審查。

後者便暗示了這項可能的趨勢轉變,即保險公司將要求機構具備並積極維護驗證風險緩解的策略,才可獲得和/或維持承保身分。這也與其他產業的保險差異不大,譬如汽車與居家險皆要求主人透過盡職調查來維護他們的汽車和房屋的條款,若不這麼做,可能會導致保險失效。在這種情況下,遙測技術便可代表機構作為此類型的盡職調查,證明已根據保險要求執行了必要的安全控制與策略。

再更進一步來說,假設您的機構已承保資安險,且不幸成為網路攻擊的受害者。這時您可能會想,傷害已造成,遙測技術哪還幫得上忙?

但就前面所述的一樣,遙測技術對內部與刑事調查仍至關重要。此外,蒐集證據以確定事件的詳細經過、找出緣由及過失者,仍在索賠時扮演著舉足輕重的角色,尤其是近期對內部威脅的意識提升,以及這類攻擊可能帶來的龐大傷害這樣的節骨眼上。最後,遙測數據可幫助專業數位鑑識人員從看似微不足道的資料中,蒐集對調查很重要的詳細資訊。

Jamf Protect 即是遙測技術的代名詞 (當然還有更多功能)

Jamf Protect 是專為 Mac 打造的端點防護平台,這您早已知道。

但您是否知道,它為 Mac 設備所提供的高可見度、支援與通知,是直接從每台受管裝置匯出的龐大遙測數據擷取得來?

沒錯,由於 Jamf Protect 持續不斷地監視 Mac 端點是否存在威脅,此活動與其他活動皆會在日誌 (遙測數據) 中生成條目,並透過 Jamf Protect 代理程式傳送到雲端型控制台,或者您偏好的 SIEM 解決方案 (本系列的第二篇部落格將對此進行詳細介紹)。

收到此數據後,IT 和安全性團隊便可利用這些資訊,主動監控和檢測其環境中 macOS 裝置上的未知威脅。隨著代理程式版本 3.6.0.727 的發佈,Jamf Protect 將提供遙測技術與離線部署模式等新功能。

本文已提及了新功能,並將在本系列其他篇文章中繼續解說。雖然後者結合了 Jamf 先前收購公司的大部分數據流功能,所有 Jamf Protect 的客戶依然能享有附贈的 Compliance Reporter。

您知道您擁有的 Mac 裝置現在在哪嗎?

讓 Jamf Protect 的遙測數據告訴您,外加裝置目前的狀態

訂閱 Jamf 部落格

將市場走向資訊、Apple 最新消息、Jamf 新聞等,直接發送到你的收件匣。

若要進一步了解我們如何蒐集、使用、揭露、傳輸及儲存您的資訊,請前往我們的隱私權政策頁面。