Practicile de securitate a fișierelor prevăzute de standardul PCI DSS includ scanarea, curățarea și evaluarea fiecărui fișier care intră în CDE (mediul de date al deținătorilor de carduri), prin toate canalele de preluare, nu doar prin terminalele finale. PCI DSS 4.0.1 extinde acoperirea protecției împotriva programelor malware la web, e-mail, stocarea în cloud, transferul gestionat de fișiere, suporturile amovibile și dependențele software.
Majoritatea echipelor de securitate responsabile de conformitatea cu standardul PCI DSS (Payment Card Industry Data Security Standard) și-au îndeplinit sarcinile. Sistemul EDR (Endpoint and Response) este implementat. Soluția anti-malware funcționează. Cerința 5 este bifată. Acestea sunt măsuri de securitate esențiale, dar când vine vorba de sfera mai largă a cerințelor de reglementare, măsurile tradiționale de securitate pot fi insuficiente.
PCI DSS 4.0.1 precizează în mod explicit un aspect pe care versiunile anterioare îl lăsau deschis interpretării: acoperirea împotriva programelor malware se extinde la toate canalele prin care fișierele intră, circulă în interiorul și ies din CDE. Vulnerabilități de tip „zero-day”. Traficul web. E-mailul. Cloud . Transferul gestionat de fișiere. Suporturile amovibile. Software .
Dispozitivele finale reprezintă doar unul dintre numeroasele domenii de acoperire. Dacă celelalte nu au fost evaluate, există un risc de expunere, iar auditorii știu unde să-și îndrepte atenția.
Acest articol prezintă în detaliu toate cerințele standardului, astfel încât să vă puteți evalua în mod obiectiv gradul de conformitate. Pentru o analiză mai aprofundată, cerință cu cerință, Ghidul de corelare PCI DSS și Lista de verificare pentru începători detaliază fiecare măsură de control, oferind recomandări concrete.
Principalele concluzii
PCI DSS 4.0.1 tratează securitatea fișierelor ca pe o disciplină multicanal. Acoperirea împotriva programelor malware trebuie să se extindă la web, e-mail, cloud, transferul gestionat de fișiere, suporturile amovibile și dependențele software, nu doar la dispozitivele finale.
Protecțiala nivel de terminalse află în aval față de toate celelalte canale. Până în momentul în care un fișier ajunge la agentul de pe terminal, acesta a trecut deja prin alte șase puncte de inspecție sau a fost respins la acestea.
Detectarea semnăturilor nu este suficientă pentru a îndeplini standardul. Cerința 5 prevede acoperirea tuturor tipurilor de malware și detectarea comportamentală a amenințărilor de tip „zero-day”.
Suporturile amovibile sunt supuse unei obligații explicite. Cerința 5.3.3 impune scanarea automată a suporturilor amovibile la introducerea acestora; procedurile manuale nu sunt acceptabile.
Software sunt incluse în domeniul de aplicare. Cerința 6.3.2 prevede ca software-ul dezvoltat la comandă și cel personalizat să fie dezvoltat în condiții de securitate, precum și menținerea unui inventar al componentelor de la terți.
Ce cerințe prevede standardul PCI DSS 4.0.1 în ceea ce privește securitatea fișierelor?
Înainte de a analiza în detaliu canalele, merită să ne bazăm argumentația pe specificația propriu-zisă.
Cerința 5 descrie în mod clar suprafața de amenințare: „Programele malware pot pătrunde în rețea în cadrul multor activități aprobate de companie, inclusiv prin e-mailurile angajaților (de exemplu, prin phishing) și prin utilizarea internetului, mobile și a dispozitivelor de stocare, ceea ce duce la exploatarea vulnerabilităților sistemului.” Acesta este modelul principal de amenințare pentru atacurile bazate pe fișiere în mediile de plată.
Standardul precizează, de asemenea, că detectarea semnăturilor nu este suficientă în sine: „Utilizarea soluțiilor anti-malware care acoperă toate tipurile de malware contribuie la protejarea sistemelor împotriva amenințărilor malware actuale și în continuă evoluție.” Expresiile cheie sunt „toate tipurile” și „actuale și în continuă evoluție”. Detectarea care recunoaște doar amenințările cunoscute lasă o lacună pe care standardul o identifică în mod explicit.
Cerința 5.2.1 merge mai departe – ghidul de bune practici al acesteia menționează că este „benefic ca entitățile să fie conștiente de atacurile de tip «zero-day» (cele care exploatează o vulnerabilitate necunoscută anterior) și să ia în considerare soluții care se concentrează pe caracteristicile comportamentale și care vor alerta și vor reacționa la comportamente neașteptate”. Aceasta reprezintă recunoașterea de către standardul însuși a faptului că detectarea comportamentală și euristică este esențială pentru o acoperire completă.
Cerințele 6 și 11 extind și mai mult domeniul de aplicare. Cerința 6.3.2 impune identificarea vulnerabilităților de securitate din software-ul dezvoltat la comandă și personalizat, abordând în mod direct riscul asociat lanțului de aprovizionare al software-ului. Cerința 11.3.1.2 impune efectuarea de scanări interne autentificate. Împreună, acestea stabilesc că securitatea fișierelor într-un mediu conform cu PCI DSS nu reprezintă o singură măsură de control, ci o disciplină aplicată la nivelul întregii arhitecturi.
Care sunt cele șapte canale de preluare a fișierelor pe care standardul PCI DSS vă impune să Secure?
Aici se află o lacună pe care multe programe de conformitate nu au evaluat-o încă.
Canalul de ingestie | Cerința PCI DSS | De ce Endpoint nu reușesc să detecteze acest lucru | Ce reduce decalajul |
Traficul web | Cerințele 5 și 6 | Fișierele care tranzitează printr-un proxy web nu intră niciodată în contact cu un agent de la nivelul terminalului | Scanarea cu mai multe motoare la punctul de acces |
E-mail și atașamente | Cerințele 1, 5 | Scanarea semnăturilor cu un singur motor nu detectează fișierele macro, arhivele și exploit-urile încorporate | Multiscanning, curățarea fișierelor, prevenirea pierderii datelor |
Stocarea în Cloud | Cerințele 5 și 6 | Încărcările directe în SharePoint, OneDrive sau S3 ocolesc inspecția la nivel de terminal | Scanarea fișierelor stocate + prevenirea pierderii datelor |
Transfer de fișiere gestionat | Cerințele 5 și 6 | Fișierele provenite de la parteneri de încredere ajung deja în cadrul fluxului de lucru | Scanarea fișierelor în mișcare + curățarea fișierelor |
Suporturi amovibile | Cerințele 1, 5, 9 | Politicile de scanare manuală nu respectă cerința privind scanarea automată | Scanare automată la introducerea dispozitivului (chioșc) pentru a preveni infiltrarea de programe malware de pe dispozitive externe |
Software | Cerința nr. 6 | Vulnerabilitățile CVE cunoscute din componentele terțe nu reprezintă semnături de malware | vulnerability detection fișierelor (artefacte software) vulnerability detection etapele ciclului de viață al dezvoltării software-ului (SDLC) |
Puncte finale | Cerința nr. 5 | În aval de toate celelalte canale; detectează amenințările la final | EDR / Antivirus pentru dispozitive finale |
- Traficul web: Fișierele descărcate sau încărcate pe un portal web prin HTTPS trec prin rețea înainte de a ajunge la orice dispozitiv final.
- E-mailul și atașamentele: E-mailul rămâne cel mai frecvent mijloc de transmitere a amenințărilor bazate pe fișiere. Scanarea atașamentelor trebuie să depășească simpla comparare a semnăturilor. Arhivele comprimate, documentele cu macro-uri activate și fișierele care conțin exploaturi încorporate sunt toate concepute pentru a eluda acest proces.
- Cloud locală și Cloud : Fișierele se sincronizează în permanență cu și din SharePoint, OneDrive, S3 și alte platforme similare.
- Transferul gestionat de fișiere: schimburile cu furnizorii, integrările cu partenerii și trimiterile de fișiere de către clienți generează fluxuri de fișiere primite care prezintă un profil de risc specific.
- Suporturi amovibile: Cerința 5.3.3 este una dintre obligațiile cele mai specifice din standard: soluția anti-malware trebuie să scaneze automat suporturile amovibile la introducerea acestora. USB reprezintă un vector de atac activ în mediile de plată, inclusiv în sistemele izolate fizic (air-gapped), unde acestea constituie adesea singura cale externă de transfer a datelor.
- Software și dependențe. Cerința 6.3.2 există deoarece bibliotecile terțe și componentele încorporate reprezintă o sursă semnificativă de expunere la CDE. Un fișier binar care conține o vulnerabilitate CVE (Common Vulnerability and Exposure) cunoscută într-o dependență prezintă un risc pe care detectarea malware-ului bazată pe semnături nu îl poate identifica. Este vorba de o vulnerabilitate care așteaptă să fie exploatată, nu de malware în sensul tradițional al termenului.
- Dispozitivele finale. Acesta este singurul canal pe care majoritatea echipelor l-au acoperit. Endpoint scanează ceea ce ajunge, se execută sau rămâne pe un dispozitiv. Această acoperire este necesară, dar se află în aval față de toate celelalte canale din această listă. Până în momentul în care un fișier ajunge la un dispozitiv final, acesta a trecut deja prin alte șase puncte de inspecție sau a fost respins la acestea.
De ce Endpoint cu un singur program antivirus Endpoint nu este suficientă
EDR și programele antivirus pentru un singur dispozitiv sunt instrumente excelente, dar domeniul lor de aplicare este limitat prin natura lor.
Endpoint protejează dispozitivele monitorizând activitatea de pe acestea: fișierele salvate pe disc, procesele executate, conexiunile de rețea inițiate. Aceștia nu inspectează fișierele care trec printr-un proxy web, o poartă de e-mail, o API de sincronizare în cloud sau un USB . Este vorba despre o chestiune legată de domeniul de aplicare, nu de o deficiență a produsului.
PCI DSS 4.0.1 răspunde definitiv la această întrebare privind domeniul de aplicare. Standardul descrie suprafața de expunere la amenințări ca fiind fiecare canal prin care fișierele intră în rețea. Endpoint asigură securitatea datelor care se află deja în interiorul CDE. Securitatea fișierelor asigură securitatea tranzitului acestora.
Vulnerabilitatea nu este doar teoretică. Un atacator care transmite o sarcină dăunătoare printr-un atașament de phishing scanat doar de un gateway cu un singur motor, sau printr-o dependență dăunătoare dintr-un pachet software furnizat de un furnizor, sau printr-un USB conectat în timpul unei ferestre de întreținere — niciuna dintre aceste căi nu trece prin agentul de la nivelul terminalului până când nu este deja prea târziu. Acestea sunt canalele pe care standardul vă solicită să le închideți.
Cum se prezintă securitatea completă a fișierelor în conformitate cu PCI DSS 4.0.1?
Organizațiile care au trecut cu succes auditurile 4.0.1 privind securitatea datelor au în comun o arhitectură similară: inspecția la fiecare punct de preluare a datelor, cu mai multe niveluri de protecție.
Aceasta înseamnă scanarea cu mai multe motoare la nivelul gateway-ului. Verificarea simultană a fișierelor cu mai multe motoare antivirus crește semnificativ ratele de detectare și asigură profunzimea de acoperire impusă de formularea „toate tipurile” din standard. Înseamnă, de asemenea, igienizarea fișierelor care neutralizează ceea ce antivirusul nu poate detecta: tehnologia Deep CDR™ reconstruiește fișierele în formate sigure și utilizabile, eliminând conținutul potențial dăunător, inclusiv exploit-urile de tip zero-day care nu au fost încă catalogate. Aceasta înseamnă evaluarea vulnerabilităților la nivel de fișier în raport cu CVE-urile cunoscute pentru pachetele software și fișierele binare înainte ca acestea să ajungă în sistemele de producție. Și înseamnă înregistrarea centralizată a datelor de logare pe toate canalele, nu doar telemetria de la nivel de terminal, astfel încât cerințele de audit din Cerința 11 să poată fi îndeplinite efectiv.
MetaDefender™ este platforma de securitate a fișierelor OPSWAT, concepută pentru a scana, curăța și evalua fișierele din toate canalele de preluare înainte ca acestea să ajungă în CDE.
După cum se menționează în ghidul de conformitate OPSWAT:OPSWAT MetaDefender unele dintre cele mai puternice funcționalități din industrie pentru Cerința 5. Multiscanning Metascan™ Multiscanning peste 30 de motoare antivirus comerciale pentru a detecta programele malware cunoscute cu o precizie excepțională, în timp ce tehnologia Deep CDR™ neutralizează în mod proactiv amenințările de tip zero-day și cele încorporate, prin reconstituirea fișierelor în formate sigure și utilizabile.”
Această lacună nu există din cauza lipsei de atenție a echipelor de securitate, ci pentru că standardul PCI DSS 4.0.1 impune cerințe mai ample. Echipele care remediază această lacună înainte de un audit nu fac mai mult decât ceea ce prevede standardul. Pur și simplu respectă toate cerințele.
Etapele următoare
Sunteți gata să evaluați acoperirea actuală în raport cu toate cerințele prevăzute în versiunea 4.0.1?
Descărcați Ghidul de corelare PCI DSS + Lista de verificare pentru începători PCI DSS pentru a corela măsurile de control existente cu fiecare dintre cele șapte canale de preluare a fișierelor și a identifica eventualele lacune.
Întrebări frecvente
Este suficientă protecția unui singur punct terminal pentru conformitatea cu PCI DSS 4.0.1?
Nu. Standardul PCI DSS 4.0.1 extinde acoperirea împotriva programelor malware la toate canalele prin care fișierele intră în CDE. Protecția tradițională a terminalelor asigură securitatea dispozitivelor, dar nu inspectează fișierele care circulă prin proxy-uri web, gateway-uri de e-mail, sincronizarea în cloud sau suporturi amovibile. OPSWAT MetaDefender se integrează cu tehnologii multistratificate pentru a acoperi această lacună.
Standardul PCI DSS impune scanarea în căutarea de malware a suporturilor amovibile?
Da. Atunci când un suport de stocare amovibil este introdus, conectat sau montat logic, cerința 5.3.3 impune fie scanări automate, fie o analiză continuă a comportamentului sistemelor sau proceselor. Politicile de scanare manuală nu îndeplinesc această cerință.
Care sunt canalele de preluare a fișierelorlegate de PCI DSS 4.0.1?
Traficul web, e-mailurile și atașamentele, stocarea în cloud, transferul gestionat de fișiere, suporturile amovibile, dependențele software și terminalele.
Standardul PCI DSS 4.0.1 abordează riscul asociat lanțului de aprovizionare cu software?
Da. Cerința 6.3.2 prevede ca software-ul dezvoltat la comandă și cel personalizat să fie dezvoltat în condiții de securitate, ca vulnerabilitățile de securitate să fie identificate și remediate, precum și ca un inventar al componentelor software de la terți să fie menținut pentru a facilita gestionarea vulnerabilităților și a patch-urilor.
Ce este mediul de date al deținătorilor de carduri (CDE)?
CDE reprezintă personalul, procesele și tehnologia care stochează, prelucrează sau transmit datele deținătorilor de carduri, precum și orice sisteme conectate la acesta. Măsurile de securitate prevăzute de standardul PCI DSS se aplică fișierelor care intră, circulă în interiorul și ies din CDE.
