الحماية ضد البرامج الضارة في macOS
تُشغّل Apple عملية تحليل التهديدات لتحديد البرامج الضارة وحظرها بسرعة.
ثلاث طبقات للحماية
ويتم تنظيم وسائل الحماية من البرامج الضارة في ثلاث طبقات:
1. منع تشغيل البرامج الضارة أو تنفيذها: App Store أو الحارس الرقمي إلى جانب التوثيق
2. حظر تشغيل البرامج الضارة على أنظمة العملاء: الحارس الرقمي والتوثيق و XProtect
3. معالجة البرامج الضارة التي تم تنفيذها: XProtect
تم تصميم الطبقة الأولى من الحماية لإعاقة توزيع البرامج الضارة ومنع بدء تشغيلها حتى ولو لمرة واحدة—يُعد هذا هدف App Store والحارس الرقمي إلى جانب وظيفة التوثيق.
تهدف طبقة الحماية التالية إلى المساعدة على ضمان أنه في حال ظهور برامج ضارة على أي Mac، يتم التعرّف عليها وحظرها بسرعة، وذلك لإيقاف الانتشار وإصلاح أنظمة Mac التي نجحت في التسلل إليها بالفعل. تتم إضافة XProtect إلى طبقة الحماية هذه، إلى جانب الحارس الرقمي والتوثيق.
وأخيرًا، تعمل XProtect على معالجة البرامج الضارة التي نجحت في التسلل إلى النظام.
تجتمع وسائل الحماية هذه، التي تم تناولها بالتفصيل أدناه، لدعم أفضل ممارسات الحماية من الفيروسات والبرامج الضارة. وتوجد وسائل حماية إضافية، خاصةً على أجهزة كمبيوتر Mac المزودة بسيليكون Apple للحد من الضرر المحتمل للبرامج الضارة التي تنجح في التسلل إلى النظام. انظر حماية وصول التطبيقات إلى بيانات المستخدم للاطلاع على الطرق التي يمكن أن يساعد بها macOS في حماية بيانات المستخدم من البرامج الضارة، وكذلك تكامل نظام التشغيل لمعرفة الطرق التي يستطيع بها macOS الحد من الإجراءات التي يمكن أن تُجريها البرامج الضارة على النظام.
التوثيق
التوثيق عبارة عن خدمة للبحث عن البرامج الضارة تقدمها Apple. يقوم المطورون الذين يرغبون في توزيع تطبيقات macOS خارج App Store بإرسال تطبيقاتهم لإجراء الفحص كجزء من عملية التوزيع. تفحص Apple هذا البرنامج بحثًا عن برامج ضارة معروفة، وإذا لم يتم العثور على أي منها، فإنها تُصدر تذكرة توثيق. ويقوم المطورون عادةً بإرفاق هذه التذكرة في تطبيقاتهم حتى يتمكن الحارس الرقمي من التحقق من التطبيق وبدء تشغيله، حتى دون اتصال بالإنترنت.
بإمكان Apple أيضًا إصدار تذكرة إلغاء للتطبيقات المعروفة بأنها ضارة، حتى لو كانت قد تم توثيقها سابقًا. ويقوم macOS بانتظام بالتحقق من وجود تذاكر إلغاء جديدة بحيث يكون لدى الحارس الرقمي أحدث المعلومات ويمكنه حظر تشغيل مثل هذه الملفات. يمكن لهذه العملية حظر التطبيقات الضارة بسرعة كبيرة لأن التحديثات تجري في الخلفية بشكل أكثر تكرارًا من تحديثات الخلفية التي تدفع توقيعات XProtect الجديدة. بالإضافة إلى ذلك، يمكن تطبيق هذه الحماية على التطبيقات التي تم توثيقها سابقًا، والتي لم يتم توثيقها.
XProtect
يتضمن macOS تقنية حماية من الفيروسات مضمنة تسمى XProtect للكشف عن البرامج الضارة وإزالتها استنادًا إلى التوقيع. يستخدم النظام تواقيع Yara، وهي أداة تُستخدم لإجراء الكشف عن البرامج الضارة استنادًا إلى التوقيعات، والتي تحرص Apple على تحديثها بشكل منتظم. تراقب Apple حالات العدوى والإصابة بالبرامج الضارة الجديدة وتُحدّث التوقيعات تلقائيًا — بشكل مستقل عن تحديثات النظام — للمساعدة في حماية أجهزة كمبيوتر Mac ضد الإصابات بالبرامج الضارة. ويقوم XProtect تلقائيًا باكتشاف البرامج الضارة المعروفة ومنع تنفيذها. في macOS 10.15 أو أحدث، يتحقق XProtect من المحتوى الضار المعروف عند:
تشغيل تطبيق لأول مرة
تغيير تطبيق (في نظام الملفات)
تحديث توقيعات XProtect
عندما يكتشف XProtect برامج ضارة معروفة، يتم حظر البرنامج وإعلام المستخدم ومنحه خيار نقل البرنامج إلى سلة المهملات.
ملاحظة: تكون عملية التوثيق فعالة ضد الملفات المعروفة (أو تجزئات الملفات) ويمكن استخدامها على التطبيقات التي تم تشغيلها سابقًا. وتُعدّ قواعد XProtect المستندة إلى التوقيعات أكثر عمومية من تجزئة ملف معين حيث يمكنها العثور على متغيرات لم تعرفها Apple. تفحص XProtect التطبيقات التي تم تغييرها أو التطبيقات عند تشغيلها لأول مرة فقط.
في حال وصول برنامج ضار إلى أي Mac، فإن XProtect تتضمن كذلك تقنية لمعالجة حالات الإصابة. على سبيل المثال، تتضمن محركًا يعمل على معالجة الإصابات بالبرامج الضارة بناءً على التحديثات التي يتم توفيرها تلقائيًا من Apple (كجزء من التحديثات التلقائية لملفات بيانات النظام وتحديثات الأمن). يزيل هذا النظام البرامج الضارة عند تلقي معلومات مُحدَّثة، ويستمر في البحث بشكل دوري عن الإصابات بالبرامج الضارة؛ ومع ذلك، لا يعيد XProtect تشغيل Mac تلقائيًا. بالإضافة إلى ذلك، يحتوي XProtect على محرك متقدم لاكتشاف البرامج الضارة غير المعروفة بناءً على التحليل السلوكي. تُستخدَم المعلومات حول البرامج الضارة التي اكتشفها هذا المحرك، بما في ذلك البرنامج المسؤول في النهاية عن تنزيلها، لتحسين توقيعات XProtect وأمن macOS.
التحديثات الأمنية التلقائية لـ XProtect
تُصدر Apple تحديثات لـ XProtect تلقائيًا استنادًا إلى أحدث معلومات متوفرة عن التهديدات. وبشكل افتراضي، يتحقق macOS من هذه التحديثات يوميًا. تكون تحديثات التوثيق التي يتم توزيعها باستخدام مزامنة CloudKit أكثر تكرارًا.
كيف تستجيب Apple عند اكتشاف برامج ضارة جديدة
عند اكتشاف برامج ضارة جديدة، يمكن تنفيذ عدد من الخطوات:
يتم إلغاء أي شهادات مرتبطة بمعرّف المطور.
يتم إصدار تذاكر إلغاء التوثيق لكل الملفات (التطبيقات والملفات ذات الصلة).
يتم تطوير توقيعات XProtect وإصدارها.
يتم تطبيق هذه التوقيعات أيضًا بأثر رجعي على البرامج التي تم توثيقها سابقًا، ويمكن أن تؤدي أي اكتشافات جديدة إلى حدوث إجراء أو أكثر من الإجراءات السابقة.
في النهاية، تُطلق عملية الكشف عن البرامج الضارة سلسلة من الخطوات على مدار الثواني والساعات والأيام التالية لنشر أفضل وسائل حماية ممكنة لمستخدمي الـ Mac.