Perlindungan dari malware di macOS
Apple mengoperasikan proses kepintaran ancaman untuk mengidentifikasi dan memblokir malware dengan cepat.
Tiga lapisan pertahanan
Perlindungan malware terdiri dari tiga lapisan:
1. Mencegah peluncuran atau eksekusi malware: App Store, atau Gatekeeper yang digabungkan dengan Notarization
2. Memblokir malware agar tidak dijalankan di sistem pelanggan: Gatekeeper, Notarization, dan XProtect
3. Menghilangkan malware yang telah dieksekusi: XProtect
Lapisan pertama pertahanan dirancang untuk menghalangi penyebaran malware, dan mencegahnya diluncurkan sama sekali—ini adalah tujuan dari App Store, dan Gatekeeper yang digabungkan dengan Notarization.
Lapisan pertahanan berikutnya ditujukan untuk membantu memastikan bahwa jika malware muncul di Mac, malware diidentifikasi dan diblokir dengan cepat, untuk menghentikan penyebaran dan untuk memperbaiki sistem Mac yang telah dimasuki malware. XProtect menguatkan pertahanan ini, bersama dengan Gatekeeper dan Notarization.
Terakhir, XProtect bertindak untuk menghilangkan malware yang telah berhasil dieksekusi.
Perlindungan ini, dijelaskan lebih jauh di bawah, digabung untuk mendukung perlindungan terbaik dari virus dan malware. Terdapat juga perlindungan tambahan, khususnya di Mac dengan Apple silicon untuk membatasi kemungkinan kerusakan dari malware yang berhasil dieksekusi. Lihat Melindungi akses app ke data pengguna untuk cara macOS dapat membantu melindungi data pengguna dari malware, dan Integritas sistem operasi untuk cara macOS dapat membatasi tindakan yang dapat dilakukan malware di sistem.
Notarization
Notarization adalah layanan pemindaian malware yang disediakan oleh Apple. Pengembang yang ingin mendistribusikan app untuk macOS di luar App Store mengirimkan app-nya untuk dipindai sebagai bagian dari proses distribusi. Apple memindai perangkat lunak ini untuk malware yang diketahui, dan jika tidak ditemukan, akan menerbitkan tiket Notarization. Biasanya, pengembang mencantumkan tiket ini ke app-nya agar Gatekeeper dapat memverifikasi dan meluncurkan app, bahkan saat offline.
Apple juga dapat menerbitkan tiket pencabutan untuk app yang diketahui berbahaya—walaupun app tersebut telah dinotarisasi. macOS secara berkala memeriksa tiket pencabutan baru agar Gatekeeper memiliki informasi terbaru dan dapat memblokir peluncuran file seperti itu. Proses ini dapat memblokir app berbahaya dengan cepat karena pembaruan terjadi pada latar belakang lebih sering dibandingkan pembaruan latar belakang yang memberikan tanda tangan XProtect baru. Selain itu, perlindungan ini dapat diterapkan ke app yang sebelumnya telah dan yang belum dinotarisasi.
XProtect
macOS disertai dengan teknologi antivirus internal yang disebut XProtect untuk deteksi berbasis tanda tangan dan penghapusan malware. Sistem menggunakan tanda tangan YARA, alat yang digunakan untuk melakukan deteksi berbasis tanda tangan terhadap malware, yang diperbarui secara berkala oleh Apple. Apple memonitor infeksi dan jenis malware baru, dan memperbarui tanda tangan secara otomatis—terpisah dari pembaruan sistem—untuk membantu melindungi Mac dari infeksi Malware. XProtect secara otomatis mendeteksi dan memblokir eksekusi malware yang diketahui. Di macOS 10.15 atau lebih baru, XProtect memeriksa konten berbahaya yang diketahui setiap kali:
App pertama kali diluncurkan
App telah diubah (di sistem file)
Tanda tangan XProtect diperbarui
Jika XProtect mendeteksi malware yang diketahui, perangkat lunak tersebut diblokir dan pengguna akan diberi tahu dan diberi pilihan untuk memindahkan perangkat lunak ke Tong Sampah.
Catatan: Notarization efektif untuk file yang diketahui (atau hash file) dan dapat digunakan di app yang sebelumnya telah diluncurkan. Aturan berbasis tanda tangan XProtect bersifat lebih umum dibandingkan hash file sehingga dapat menemukan varian yang belum pernah Apple lihat. XProtect memindai hanya app yang telah diubah atau app yang pertama kali diluncurkan.
Jika malware masuk ke Mac, XProtect juga disertai dengan teknologi untuk menangani infeksi. Misalnya, XProtect disertai dengan adalah mesin yang memulihkan infeksi berdasarkan pembaruan yang secara otomatis dikirim dari Apple (sebagai bagian dari pembaruan file data sistem dan keamanan otomatis). Sistem ini menghapus malware saat menerima informasi yang diperbarui, dan akan terus memeriksa infeksi secara berkala. Namun, XProtect tidak memulai ulang Mac secara otomatis. Selain itu, XProtect berisi mesin lanjutan untuk mendeteksi malware yang tidak diketahui berdasarkan analisis perilaku. Informasi mengenai malware yang terdeteksi oleh mesin ini, termasuk perangkat lunak apa yang bertanggung jawab karena telah mengunduhnya, digunakan untuk meningkatkan tanda tangan XProtect dan keamanan macOS.
Pembaruan keamanan XProtect otomatis
Apple mengeluarkan pembaruan untuk XProtect secara otomatis berdasarkan informasi ancaman terbaru yang tersedia. Secara default, macOS memeriksa pembaruan ini setiap hari. Pembaruan Notarization, yang didistribusikan menggunakan penyelarasan CloudKit, yang lebih sering.
Cara Apple merespons saat malware baru ditemukan
Saat malware baru ditemukan, sejumlah langkah dapat dilakukan:
Sertifikat ID Pengembang yang terkait dengan malware akan dicabut.
Tiket pencabutan Notarization diterbitkan untuk semua file (app dan file terkait).
Tanda tangan XProtect dikembangkan dan dirilis.
Tanda tangan ini juga diterapkan secara retroaktif ke perangkat lunak yang sebelumnya dinotarisasi, dan hasil deteksi baru apa pun di satu atau beberapa tindakan sebelumnya yang terjadi.
Akhirnya, deteksi malware meluncurkan serangkaian langkah pada detik, jam, dan hari berikutnya untuk menyebarluaskan perlindungan terbaik ke pengguna Mac.