Echipa de securitate a unui furnizor de servicii de procesare a plăților semnalează un atașament PDF pentru verificare. Acesta provine de la un furnizor cunoscut, nu prezintă nicio semnătură suspectă în baza de date a antivirusului și este livrat în căsuța de e-mail a departamentului financiar fără a fi verificat mai atent. În interiorul acelui PDF se află o încărcătură creată special pentru a evita detectarea: nicio semnătură cunoscută, niciun comportament suspect, nimic din ceea ce motorul antivirus a fost antrenat vreodată să detecteze. Până când cineva își dă seama, fișierul și-a îndeplinit deja misiunea.
Nu este vorba de o ipoteză. Macro-urile încorporate, obiectele OLE, codul JavaScript din fișierele PDF și scripturile ofuscate din fișierele Office reprezintă vectori standard de transmitere în atacurile îndreptate împotriva serviciilor financiare. Iar formatele de fișiere preferate de atacatori (PDF, Excel, Word) sunt aceleași formate prin care datele deținătorilor de carduri circulă zilnic într-un mediu de plăți. Rapoartele, extrasele de cont, cererile de deschidere a conturilor și corespondența cu furnizorii circulă toate sub formă de fișiere, ceea ce înseamnă că fiecare dintre aceste formate reprezintă, de asemenea, un potențial punct de intrare în mediul în care se află datele deținătorilor de carduri.
Dacă ați marcat Cerința 5 din PCI DSS 4.0.1 ca fiind „acoperită” deoarece aveți implementat un program antivirus pe toate terminalele, merită să vă întrebați ce acoperă de fapt această măsură. Antivirusul și EDR (Endpoint and Response) sunt instrumente puternice și necesare. De asemenea, ele se bazează pe o presupunere specifică: aceea că o amenințare trebuie recunoscută pentru a putea fi oprită. Primul nostru articol din această serie a analizat modul în care PCI DSS 4.0.1 ridică standardele în ceea ce privește protecția împotriva malware-ului în general. Acest articol aprofundează o lacună specifică: modul în care amenințările transmise prin fișiere trec neobservate de antivirus din cauza modului în care sunt concepute și ce anume poate elimina această lacună într-un mediu de plăți.
Ce face de fapt un program antivirus și unde își are limitele
Programele antivirus și EDR sunt eficiente în ceea ce privește scopul pentru care au fost concepute: recunoașterea amenințărilor care au fost deja identificate. Detectarea bazată pe semnături compară un fișier cu o bază de date care conține programe malware cunoscute. Detectarea comportamentală din cadrul EDR urmărește tiparele caracteristice atacurilor anterioare. Ambele abordări se bazează pe faptul că au mai întâlnit ceva similar în trecut.
Această dependență reprezintă, totodată, și o limitare. O sarcină utilă de tip „zero-day” nu are nicio semnătură cu care să se poată compara. Un fișier conceput pentru a eluda analiza statică, prin ofuscare, criptare sau manipulare structurală, poate trece de inspecție fără a declanșa nicio alertă. Atacatorii știu exact cum funcționează instrumentele bazate pe detectare, motiv pentru care o mare parte din suprafața de atac modernă este construită în jurul eludării acestora, mai degrabă decât a depășirii lor. Nimic din toate acestea nu înseamnă că antivirusul și EDR își fac treaba prost. Înseamnă că li se cere să îndeplinească o sarcină care, prin definiție, nu poate acoperi amenințările pe care nimeni nu le-a catalogat încă.
Amenințările legate de fișiere în mediul datelor deținătorilor de carduri
Acest aspect este deosebit de important pentru CDE (mediul de date al deținătorilor de carduri). Datele deținătorilor de carduri nu circulă doar prin canalele de rețea. Ele circulă prin fișiere: rapoarte, extrase de cont, jurnale de tranzacții, corespondență cu furnizorii. Atunci când un fișier rău intenționat pătrunde în acest mediu fără a fi detectat, rezultatul nu este doar o alertă de malware omisă. Este o încălcare a limitei pe care standardul PCI DSS impune organizațiilor să o controleze. Un fișier care trece de antivirus deoarece încărcătura sa nu este recunoscută rămâne totuși un fișier în interiorul CDE care conține acea încărcătură. Rezultatul scanării nu schimbă conținutul fișierului.
Ce face, în schimb, tehnologia Deep CDR™
În loc să se întrebe dacă un fișier este dăunător, tehnologia Deep CDR™ pornește de la premisa că orice fișier ar putea fi dăunător și îl tratează în consecință. Procesul descompune fișierul în părțile sale componente, elimină orice element capabil să conțină conținut executabil sau amenințări active (macro-uri, scripturi încorporate, obiecte OLE) și reconstruiește o versiune curată și complet funcțională în formatul original. Această reconstrucție se desfășoară, de asemenea, recursiv: o arhivă imbricată în interiorul altei arhive sau un document care conține un fișier încorporat propriu este curățat la fiecare nivel, nu doar la cel exterior. Aflați mai multe despre performanța tehnologiei Deep CDR™.
Diferența constă în mecanism, nu în strategia de marketing. Instrumentele bazate pe detectare încearcă să identifice amenințarea. Tehnologia Deep CDR™ elimină elementele de care amenințarea ar avea nevoie pentru a funcționa, indiferent dacă aceasta a fost identificată sau nu. Un exploit de tip „zero-day” și un program malware cunoscut sunt tratate în același mod, deoarece instrumentul nu încearcă să recunoască niciunul dintre ele. Acesta elimină complet mecanismul de livrare. Rezultatul este un fișier care se deschide, se afișează și funcționează la fel ca originalul, fără componentele care ar putea purta o amenințare activă. Testele independente confirmă acest lucru: tehnologia Deep CDR™ a fost prima soluție CDR care a atins 100% protecție și precizie în cadrul testului Standalone CDR realizat de SE Labs.
În contextul standardului PCI DSS, ceea ce contează este ce înseamnă acest lucru pentru Cerința 5— Protejarea tuturor sistemelor împotriva programelor malware și actualizarea periodică a software-ului sau programelor antivirus: o măsură de control care vizează categoria specifică de amenințări pe care detectarea bazată pe semnături nu este capabilă, din punct de vedere structural, să le identifice, aplicată în momentul în care un fișier intră în mediu, și nu după ce acest lucru s-a produs.
Modul în care tehnologiile Metascan Multiscanning Deep CDR™ se încadrează în standardul PCI DSS 4.0.1
PCI DSS 4.0.1 nu impune un singur tip de măsură de protecție împotriva programelor malware. Se solicită o acoperire pe mai multe niveluri, care să abordeze atât amenințările cunoscute, cât și pe cele necunoscute. Un singur instrument, oricât de eficient ar fi în îndeplinirea sarcinii sale specifice, nu poate satisface această cerință de unul singur. În acest context, combinarea detectării cu prevenirea devine esențială pentru îndeplinirea cerințelor specifice.
Cerința 1: Instalarea și întreținerea măsurilor de securitate a rețelei
Cerința 1 are rolul de a împiedica răspândirea în CDE a riscurilor provenite de la dispozitivele care accesează atât rețele neîncredere, cât și CDE. Tehnologiile Multiscanning Deep CDR™ susțin direct acest obiectiv: acoperirea anti-malware stratificată asupra traficului de rețea, e-mailurilor, terminalelor și suporturilor amovibile blochează simultan mai multe puncte de intrare, în timp ce combinarea tehnologiilor Multiscanning și CDR asigură că fișierele și datele care traversează granița dintre rețelele neîncredere și CDE ajung curățate și lipsite de conținut rău intenționat, indiferent de canalul prin care au fost transmise.
Cerința 5: Protejarea tuturor sistemelor și rețelelor împotriva Software malware
La nivel de cerințe, tehnologia Metascan Multiscanning peste 30 de motoare antivirus) și tehnologia Deep CDR™ (care reconstruiește fișierele în formate sigure pentru a neutraliza amenințările de tip „zero-day” și cele încorporate) sunt cele două funcționalități principale care îndeplinesc această cerință de la un capăt la altul. Împreună, acestea acoperă ambele aspecte ale cerinței de protecție împotriva programelor malware: Detectarea avansată a amenințărilor transmise prin fișiere pentru versiunile 5.2/5.2.1, unde fiecare fișier este procesat prin tehnologia Deep CDR™ și Metascan Multiscanning i se permite accesul într-un mediu protejat; scanarea stratificată pentru versiunea 5.3.2, unde scanarea multiplă, tehnologia sandbox, dezarmarea și reconstrucția conținutului sunt controalele auxiliare recomandate; și detectarea phishingului bazat pe atașamente pentru versiunea 5.4, unde MetaDefender Email Security Multiscanning Metascan Multiscanning analiza în mediul sandbox pentru a intercepta atașamentele rău intenționate înainte ca acestea să ajungă la utilizator.
- Cerința 5.2 (prevenirea și detectarea programelor malware). Aici cele două tehnologii își desfășoară activități distincte, dar complementare. Metascan Multiscanning analizează fișierele folosind peste treizeci de motoare antivirus comerciale, oferind detectării amenințărilor cunoscute o profunzime pe care niciun motor nu o poate egala singur — și deoarece aceste motoare combină semnăturile cu euristica și învățarea automată, Metascan detectează, de asemenea, o proporție semnificativă de malware necunoscut, ceea ce duce rata sa generală de detectare la 99,2% din amenințările cunoscute și necunoscute combinate. Tehnologia Deep CDR™ se ocupă de acea mică parte de amenințări pe care scanarea le omite și previne exploatările de tip zero-day. Împreună, amenințările cunoscute sunt detectate, iar amenințările pe care scanarea le-ar lăsa să treacă își pierd mecanismul de livrare înainte de a deveni vreodată o problemă.
- Cerința 5.3.2 (scanare în timp real sau periodică). Tehnologia Deep CDR™ funcționează în linie, la punctul de intrare. Fiecare fișier este procesat în momentul în care intră în mediu, nu în cadrul unei scanări programate. Acest lucru îndeplinește cerința de inspecție în timp real pentru traficul web, e-mail și canalele de transfer de fișiere simultan, în loc să se bazeze pe scanări periodice pentru a detecta ceea ce a trecut neobservat între acestea.
- Cerința 5.4 (mecanisme anti-phishing).MetaDefender Security™ combină tehnologia Metascan Multiscanning analiza în mediu izolat (sandbox) pentru a detecta atașamentele rău intenționate sau suspecte înainte ca acestea să ajungă în căsuța de e-mail, în timp ce MetaDefender adaugă o analiză dinamică a atașamentelor suspecte într-un mediu controlat, pentru a detecta încărcăturile de tip „zero-day” sau ascunse care scapă scanării bazate pe semnături. MetaDefender extinde această vizibilitate la nivelul rețelei, semnalând conexiunile suspecte și livrarea de încărcături legate de campaniile de phishing.
Cerința 6: Dezvoltarea și întreținerea Secure și Software Secure
Cerința 6.3 (identificarea vulnerabilităților). Fișierele care conțin exploatări destinate vulnerabilităților cunoscute ale software-ului reprezintă un risc la nivel de fișier, nu doar la nivel de rețea. Deoarece tehnologia Deep CDR™ elimină mecanismul de livrare a exploatării înainte ca fișierul să ajungă la un utilizator sau la un sistem, aceasta contracarează acest risc chiar în punctul în care ar pătrunde în mod normal, indiferent dacă vulnerabilitatea subiacentă a fost deja remediată sau nu.
Ești curios cum se raportează acest lucru la propriul tău domeniu de aplicare PCI DSS? Descărcați Ghidul de conformitate PCI DSS pentru a afla mai multe despre modul în care se integrează tehnologiile Metascan Multiscanning Deep CDR™.
Unde se încadrează Multiscanning CDR în arhitectura sistemului
Valoarea acestei abordări pe niveluri depinde de locul în care este implementată. Acoperirea care există doar la nivelul terminalului lasă restul traseului fișierului neprotejat, iar datele deținătorilor de carduri traversează granița CDE prin mai multe canale decât iau în calcul majoritatea matricilor de conformitate. Într-un mediu de plăți, punctele cu cea mai mare importanță sunt cele în care fișierele traversează în mod obișnuit această graniță.
- Securitatea aplicațiilor web: Aplicațiile care primesc date ale deținătorilor de carduri reprezintă, de asemenea, o cale prin care fișierele rău intenționate și amenințările de tip „zero-day” pot pătrunde în CDE prin încărcări sau interacțiuni bazate pe fișiere.
- Portal de e-mail: Atașamentele sunt verificate și curățate înainte de livrare, ceea ce elimină documentele Office folosite ca arme și fișierele PDF rău intenționate, cel mai frecvent format de livrare utilizat în atacurile de tip spearphishing din sectorul serviciilor financiare.
- Proxy web / ICAP: Traficul HTTP și HTTPS este inspectat în timp real, iar fișierele descărcate de pe internet sunt reconstituite înainte de a ajunge la sistemele interne.
- Suporturi amovibile: Fișierele de pe USB sunt șterse definitiv la chioșc înainte de a intra în CDE. Această măsură răspunde direct cerinței 5.3.3 și elimină suporturile amovibile ca vector de atac.
- Transferul gestionat de fișiere: Fișierele schimbate cu partenerii și furnizorii sunt curățate de date confidențiale în timpul transferului, nu doar la momentul primirii.
Platforma MetaDefender™OPSWAT aplică în mod consecvent tehnologiile Metascan Multiscanning Deep CDR™ în toate aceste puncte, alături de tehnologia Proactive DLP™ și alte funcționalități, astfel încât acoperirea să nu depindă de canalul prin care ajunge un fișier. De asemenea, aceasta nu depinde nici de formatul în care sosește un fișier: tehnologia Deep CDR™ acoperă peste 200 de tipuri de fișiere, de la fișierele PDF, foile de calcul și documentele Word care domină fluxurile de lucru legate de plăți, până la imagini, arhive și alte formate care, în practică, traversează granița CDE.
Fie că este cunoscut sau nou, rezultatul este același
Reveniți la fișierul PDF din introducerea acestui articol. Nimic din ceea ce s-a întâmplat nu a fost ipotetic și nimic nu a presupus o execuție defectuoasă din partea cuiva. Furnizorul era de încredere, scanarea nu a evidențiat nimic suspect, iar fișierul a fost livrat exact așa cum era prevăzut. Acesta este scenariul pe care Cerința 5 are rolul de a-l preveni și este, de asemenea, scenariul pe care o mapare bazată exclusiv pe un program antivirus nu îl poate acoperi în totalitate.
Tehnologia Deep CDR™ reconstruiește fișierele fără componentele care ar putea fi periculoase, astfel încât întrebarea dacă încărcătura era cunoscută sau nouă nu mai trebuie să-și găsească răspunsul. Metascan Multiscanning același lucru pentru orice element care conține o semnătură. Datorită acestor două tehnologii, un fișier care ajunge în căsuța de e-mail a departamentului financiar este fie o amenințare care a fost detectată, fie o amenințare care și-a pierdut părțile necesare pentru a funcționa — niciodată o amenințare care pur și simplu nu a fost încă recunoscută.
Concluzii
- Datele privind plățile circulă prin diverse documente comerciale — rapoarte, extrase de cont, corespondență cu furnizorii — care nu sunt incluse în cadrul unei evaluări a securității rețelei.
- Acoperirea se extinde atât asupra amenințărilor cunoscute, cât și asupra celor necunoscute: peste 30 de motoare antivirus detectează programele malware cunoscute, iar tehnologia Deep CDR™ elimină componentele de care ar avea nevoie o amenințare de tip „zero-day” pentru a se executa, fără a fi necesară identificarea prealabilă a amenințării.
- Aceasta respectă cerințele specifice ale standardului PCI DSS (5.2, 5.3.2, 5.4, 1.5/1.5.1, 11.5/11.5.1), prin intermediul unui sistem centralizat de înregistrare a evenimentelor care demonstrează că măsura de control este activă în momentul verificării de către un evaluator.
Doriți să aflați exact în ce măsură tehnologia Deep CDR™ și Multiscanning întregului set de cerințe din standardul PCI DSS 4.0.1? Descărcați Ghidul de conformitate PCI DSS și lista de verificare pentru o analiză detaliată, măsură cu măsură.
