從 JETP 到 Jamf Mobile Forensics
Jamf Mobile Forensics(前身為 Jamf Executive Threat Protection / JETP)大幅擴展了保護高風險使用者抵禦進階行動威脅的能力。先前的解決方案著重於高階主管的威脅防護,Jamf Mobile Forensics 則將範圍擴大,涵蓋針對行動裝置的所有精密攻擊類型。
為什麼需要進階行動裝置鑑識?
傭兵間諜軟體、零點擊漏洞、進階持續性威脅 (APT) 與國家級攻擊——這些精密攻擊不是隨機鎖定目標,而是根據使用者的身分、從事的工作類型,或能存取的資料來選擇攻擊對象。
Apple 與 Google 已主動通知使用者可能遭到間諜軟體攻擊,並針對高風險人士發布防護指引。根據英國 NCSC 的定義,如果你的工作或公共身分讓你能接觸或影響「對國家級行為者有興趣的敏感資訊」,你就屬於高風險人士。
但攻擊對象不只限於政府或政治相關人員。科技、物流運輸、天然資源、製造、金融服務等產業的組織,都因為使用者持有高價值資料或在特定地區進行業務而面臨風險。
問題在於:傳統端點管理與行動威脅防禦工具缺乏偵測這類精密威脅所需的深度資料分析能力。
Jamf Mobile Forensics 有什麼新功能?
自動化裝置掃描
Threat Protect 行動 App 依組織設定的間隔主動掃描裝置,收集並分析端點遙測資料——系統日誌、核心日誌、憑證、當機紀錄、軟體等——偵測已知與未知威脅。掃描只需數分鐘,而非數週。
針對地端版客戶,也提供有線掃描選項,將行動裝置直接連接到 Mac 等工作站進行掃描。
規則引擎
Jamf Mobile Forensics 規則引擎搭配 Jamf Threat Labs 專有行為分析技術,自動分析每次掃描結果,運用已知情報、異常行為與可疑訊號來偵測惡意活動與零日威脅。
資安團隊可以:
- 標記、設定允許清單或封鎖清單,管控不同類型的攻擊指標
- 基於 YARA 規則、bundle ID、程序名稱等屬性建立複雜規則
- 偵測繞過安全控制的未知漏洞與惡意載荷
AI 鑑識分析
AI 研究助理減少分析裝置當機紀錄與異常行為所需的人工研究。為資安團隊提供快速、專家級的洞察。例如,當裝置顯示針對某 App 的遠端攻擊跡象時,AI 鑑識分析會提供:
- 事件的完整摘要
- 異常 App 行為分析
- 判斷裝置是否遭駭或被執行程式碼
- 後續建議步驟
SOC(資安作業中心)事件管理
自動將事件分組為統一事件,簡化調查流程。資安團隊可監控整個裝置群組的進階攻擊狀態,包含不同時間區間的事件,以及特定事件的脈絡資訊。
系統整合
透過強大的 API 與 SIEM/SOAR、IdP、MDM 等系統整合,無縫融入現有的資安營運流程。
可偵測的進階威脅類型
| 威脅類型 | 說明 |
|---|---|
| 傭兵間諜軟體 | 如 Pegasus、Predator、Graphite、Spyrtacus 等商業監控工具,透過漏洞滲透 iOS 與 Android 裝置 |
| 進階持續性威脅 (APT) | 資源充足的精密攻擊,目標是長期入侵網路或系統,能規避初始防禦系統 |
| 國家級攻擊 | 政府行為者發動的攻擊,使用 APT 與傭兵間諜軟體 |
| 零點擊攻擊 | 不需要使用者互動即可感染行動裝置的漏洞利用——傭兵間諜軟體工具的常見策略 |
隱私優先設計
Jamf Mobile Forensics 的一個關鍵特點是它不會蒐集的內容。在日誌收集過程中,以下個人資料絕不會被存取:
- 密碼
- 照片與影片
- 簡訊(包含 iMessage)
- 聯絡人
- 通話紀錄
- 應用程式內的資料
這種隱私優先的設計讓組織能夠保護高風險使用者,同時不會侵犯他們的個人隱私。
常見使用場景
出差前後掃描
前往高間諜風險國家的員工,需要快速且深入的分析來評估風險、搜尋入侵指標 (IoC),並在損害擴散前回應威脅。需要保護世界各地高風險使用者的政府組織,在不同地區面臨不同類型的威脅。
數位鑑識與事件回應
分析裝置以快速評估完整性、發現異常,並實施圍堵措施——將調查時間從數週縮短至數分鐘。
主動威脅獵捕
主動掃描 iOS 與 Android 裝置,分析日誌(包含作業系統層級)、檢查裝置是否存在入侵指標,或撰寫規則來在惡意攻擊造成損害前偵測到它們。
Jamf Mobile Forensics 與 Jamf for Mobile 的差異
了解兩者的區別很重要:
Jamf for Mobile 是基礎行動平台,結合裝置管理與合規、行動安全(釣魚防護、App 風險監控、網頁內容過濾)與安全應用存取。組織導入它來規模化處理工作中的行動裝置使用情境。
Jamf Mobile Forensics 新增進階鑑識層,專門保護高風險使用者抵禦針對性攻擊。它的設計目的是調查基礎安全工具無法偵測的異常行為、可疑活動與進階威脅。
Jamf Threat Labs 支持
Jamf Mobile Forensics 由 Jamf Threat Labs 提供支持——這是一支由安全研究人員、分析師與工程師組成的內部團隊。該團隊定期發布進階行動惡意軟體與精密攻擊技術的研究,並持續改進 Jamf Mobile Forensics 的規則引擎。
可立可怎麼幫你
可立可是臺灣唯一同時具備 Jamf MSP 與 Elite Partner 雙重資格的夥伴,為 Jamf Mobile Forensics 提供完整的部署與支援服務:
- 專業部署與設定,針對高風險使用者群組
- 與現有 Jamf 基礎設施與安全流程整合
- 在地化支援,相同時區即時回應
- 持續的資安諮詢與威脅監控指導
無論您需要保護出差到高風險地區的高階主管、在疑似入侵後掃描裝置,或建立主動威脅獵捕能力,可立可的認證團隊都能協助您有效導入 Jamf Mobile Forensics。
歡迎聯繫我們,了解如何保護您的高風險使用者。
關於可立可 KlickKlack
可立可是臺灣唯一同時具備 Jamf MSP 與 Elite Partner 雙重資格的夥伴,提供 Apple 裝置完整的企業管理與資安解決方案。