Jamf Protect : Conformité, détection des menaces et prévention des logiciels malveillants pour Apple macOS
Le marché de l'EDR (Endpoint Detection and Response) évolue rapidement et certains éditeurs innovent en s'appuyant sur le contexte de sécurité nativement proposé par macOS. En particulier, Jamf propose depuis quelques mois sa solution Jamf Protect, qui, à la différence des autres éditeurs ne nécessite pas d'extensions noyau (ou kext pour les intimes). Les performances et la compatibilité ascendante en sont améliorées ! Dans cet article, nous allons vous présenter les avantages et limites de cette solution.
Dans cette vidéo, l'éditeur présente succinctement (en anglais) les fonctionnalités du projet et son interface. Nous vous recommandons de jeter un coup d’œil pour compléter nos propos.
Pourquoi déployer une solution EDR ?
Les pirates informatiques utilisent des techniques qui permettent de passer outre les antivirus historiques. En effet, ces derniers comparent les signatures des fichiers malveillants connus à celles calculées localement sur les postes de travail. De manière assez logique, il est possible qu'un nouveau virus puisse s’exécuter sur votre ordinateur avant même que sa signature soit connue et diffusée dans votre logiciel antivirus. C'est dans ce contexte qu'une solution EDR (Endpoint Detection and Response) trouve son intérêt.
Les avantages d'un EDR
L’EDR est un outil de sécurité complémentaire à l’antivirus. Il permet, entres autres, de se prémunir des nouvelles menaces (vulnérabilité zero-day) ou celles qui sont extérieures au poste de travail (communication réseau, clef USB, etc.). Après installation de l'outil sur votre poste, ce dernier va analyser les entrées / sorties ainsi que le comportement de la machine dans son environnement.
La solution proposée par Jamf est capable de surveiller les appels noyau et les programmes habituellement ciblés par un attaquant sur macOS. Le logiciel corrèle les événements et identifie des signatures d'attaques. Cette approche permet de bloquer des exploitations de failles dont on ignore l'existence et pour lesquelles il serait impossible de se protéger avec un simple antivirus.
Jamf Protect permet, en particulier, de :
- détecter : protéger contre les logiciels malveillants et détecter les menaces spécifiques sur macOS
- investiguer : surveiller la conformité du poste de travail avec un impact minimal pour les utilisateurs
- remédier : identifier les incidents de sécurité et, dans la mesure du possible, les résoudre
Détecter une menace ou attaque
La solution Jamf Protect travaille de concert avec les outils de sécurité natifs proposés par Apple sur macOS. Il s'agit, entre autres, de :
- XProtect : anti-malware natif depuis Snow Leopard (10.6)
- GateKeeper : vérifie qu'un logiciel est issu d'un développeur de confiance
- System Integrity Protection (SIP) : empêche la modification des fichiers et dossiers systèmes par les logiciels malveillants
- Endpoint Security Framework : framework de sécurité natif sur macOS qui permet d'intéragir avec les composants mentionnés ci-dessus
Ces outils natifs, bien qu'efficaces pour le grand public, ne fournissent pas ou peu d'informations aux entreprises dans le cadre de l'administration de leurs postes de travail. C'est sur ce plan que Jamf Protect apporte toute sa valeur aux entreprises : l'outil consolide toutes les informations des outils natifs et offre une vision professionnelle du parc d'ordinateurs (versions, conformité, alertes et logs).
Pour le déploiement, vous pouvez vous appuyer sur les outils proposés par Jamf et/ou alimenter votre SIEM d'entreprise (Security Information and Event Management).
Investiguer et configurer Jamf Protect
La console d'administration propose de nombreuses sections, dont voici les principales :
- DashBoards : interface totalement paramétrable où vous pouvez définir les indicateurs essentiels à votre organisation
- Insights : permet d'afficher et activer les informations remontées par les postes de travail (bluetooth activé, service NTP actif, accès distant autorisé, version d'XProtect, etc.) et ainsi connaître le niveau de conformité du parc
- Computers : cette section permet de visualiser les informations pour chaque ordinateur et de manière détaillée
- Alerts : les alertes peuvent être filtrées par période de temps, tags, type et bien d'autres critères
- Logs : l'ensemble des logs collectés sur les ordinateurs
- Analytics : techniques connues et consolidés par les experts sécurité de Jamf. Ces dernières peuvent être complétées et ajustées pour les besoins de votre entreprise
Remédiation et incidents de sécurité
En fonction de votre organisation et de vos populations d'employés, il est possible de choisir différents plans d'analyses ou de remédiation. Le déploiement de la solution peut se faire avec n'importe quelle solution EMM (Enterprise Mobility Management) compatible avec macOS. Cependant, l'association de Jamf Pro avec Jamf Protect offre la meilleure couverture fonctionnelle. Par exemple, lorsqu'un incident de sécurité est détecté, l'usage des groupes intelligents (Smart Group) côté Jamf Pro permet d'établir une stratégie de sécurité dynamique pour les postes de travail.
Voici quelques exemples possibles :
- isoler un Mac attaqué via des groupes intelligents (Smart Groups)
- nettoyer un Mac automatiquement après une attaques qualifiée
- réinstaller à distance macOS et redéployer des applications
- bloquer les communications réseau tant que le poste n'a pas été restitué à un administrateur de l'entreprise
- supprimer les applications critiques de l'entreprise
Pourquoi choisir Jamf ?
Jamf Protect est la seule solution du marché à utiliser le framework de sécurité natif à macOS au lieu des extensions de noyau. Ceci a un impact direct sur les performances de la machine qui est, de fait, moins impactée pour les opérations de sécurité. De plus, les mises à jour du système d'exploitation ne seront qu'une formalité pour Jamf Protect quand les autres éditeurs devront adapter leurs programmes.
Jamf édite depuis plus de 10 ans des solutions pour l'administration des technologies Apple. Lorsqu'on veut le meilleur de la plateforme macOS, c'est la solution à privilégier. Jamf Pro et Jamf Protect s'interconnectent parfaitement pour une administration simplifiée. Vos équipes auront ainsi plus de temps pour améliorer l'expérience de vos utilisateurs et supporter les activités de votre entreprise.
Et la cerise sur le gateau : depuis le 21 Mai 2020, Jamf Protect intégre une solution Antivirus !
Voici, pour information, un aperçu des logiciels disponibles auprès de l'éditeur :
Besoin d'un expert Apple et Jamf ?
Les solutions proposées par Jamf vont au delà de Jamf Protect. Nous sommes en mesure de vous accompagner dans le déploiement et l'expertise de ces produits. Par ailleurs, les équipes Netopie (deuxième intégrateur en Europe de Jamf Protect) vous proposent la vidéo de démonstration ci-après :
Pour en savoir plus, il vous suffit de prendre contact avec les auteurs ci-dessous (Etineo en collaboration avec Netopie).