Egy fizetési szolgáltató biztonsági csapata feljelöl egy PDF-mellékletet ellenőrzésre. A melléklet egy ismert beszállítótól származik, a víruskereső adatbázisában szereplő összes szignatúra alapján a vizsgálat negatív eredményt ad, így további ellenőrzés nélkül a pénzügyi osztály beérkező levelei közé kerül. A PDF-ben azonban egy kifejezetten az észlelés elkerülésére kialakított kártékony kód rejtőzik: nincs benne ismert szignatúra, nincs gyanús viselkedés, semmi olyan, amire a víruskereső motort valaha is betanították volna felismerni. Mire bárki is észreveszi, a fájl már elvégezte a feladatát.
Ez nem csupán elméleti lehetőség. A PDF-fájlokba ágyazott makrók, OLE-objektumok, JavaScript-kódok, valamint az Office-fájlokban elrejtett szkriptek mind szokásos terjesztési csatornák a pénzügyi szolgáltatások ellen irányuló támadások során. A támadók által leggyakrabban használt fájlformátumok (PDF, Excel, Word) pedig pontosan azok, amelyeken keresztül a kártyatulajdonosi adatok nap mint nap áramlanak a fizetési környezetben. A jelentések, kivonatok, számlanyitási kérelmek és a beszállítókkal folytatott levelezés mind fájl formájában kerülnek továbbításra, ami azt jelenti, hogy ezek a formátumok mindegyike potenciális behatolási pontot jelent a kártyatulajdonosi adatok környezetébe.
Ha a PCI DSS 4.0.1 5. követelményét „teljesítettnek” jelölte meg, mert a végpontokon vírusirtó szoftver van telepítve, érdemes megkérdezni, hogy ez a védelem valójában mit is jelent. A vírusirtó és az EDR (Endpoint and Response,Endpoint és reagálás) hatékony, elengedhetetlen eszközök. Ugyanakkor egy konkrét feltételezésen alapulnak: ahhoz, hogy egy fenyegetést meg lehessen állítani, azt először fel kell ismerni. A sorozat első blogbejegyzésében azt vizsgáltuk, hogy a PCI DSS 4.0.1 általánosságban hol emeli magasabbra a mércét a rosszindulatú szoftverek elleni védelem terén. Ez a bejegyzés egy konkrét hiányosságot vizsgál mélyebben: hogyan kerülnek át a fájlokon terjedő fenyegetések a vírusirtó programok védelmi rendszerén, és mi pótolja ezt a hiányosságot a fizetési környezetben.
Mit is csinál valójában egy vírusirtó, és hol vannak a határai?
A vírusirtók és az EDR-megoldások jól teljesítik azt a feladatot, amelyre kifejlesztették őket: a már azonosított fenyegetések felismerését. A szignatúra-alapú észlelés egy fájlt összehasonlít az ismert kártevőprogramok adatbázisával. Az EDR viselkedésalapú észlelése pedig a korábbi támadásokkal összhangban lévő mintákat figyel. Mindkét megközelítés attól függ, hogy korábban már találkoztak-e hasonló esettel.
Ez a függőség egyben a korlát is. Egy zero-day nincs olyan szignatúrája, amellyel össze lehetne vetni. Egy olyan fájl, amelyet – elrejtés, titkosítás vagy szerkezeti manipuláció révén – úgy alakítottak ki, hogy kijátsza a statikus elemzést, átjuthat az ellenőrzésen anélkül, hogy egyetlen riasztást is kiváltana. A támadók pontosan tudják, hogyan működnek az észlelésen alapuló eszközök, ezért a modern támadási felület jelentős része inkább ezek kijátszására épül, mintsem azok legyőzésére. Ez egyáltalán nem jelenti azt, hogy a vírusirtók és az EDR-ek rosszul végzik a dolgukat. Azt jelenti, hogy olyan feladatot kell elvégezniük, amely definíció szerint nem tudja lefedni azokat a fenyegetéseket, amelyeket még senki sem katalogizált.
Fájlalapú fenyegetések a kártyatulajdonosi adatok kezelésének környezetében
Ez különösen a CDE (kártyatulajdonosi adatkezelési környezet) szempontjából fontos. A kártyatulajdonosi adatok nem kizárólag hálózati csatornákon keresztül mozognak. Fájlokban is továbbítódnak: jelentésekben, kivonatokban, tranzakciós naplókban, beszállítói levelezésben. Amikor egy rosszindulatú fájl észrevétlenül bejut ebbe a környezetbe, az nem csupán egy elmulasztott kártevő-riasztást jelent. Hanem a PCI DSS által a szervezetek számára előírt határok megsértését is. Egy olyan fájl, amely átmegy a víruskeresőn, mert hasznos terhelése felismerhetetlen, továbbra is egy olyan fájl a CDE-n belül, amely hordozza azt a hasznos terhelést. A vizsgálati eredmény nem változtatja meg a fájl tartalmát.
Mit tesz helyette a Deep CDR™ technológia?
Ahelyett, hogy azt vizsgálná, vajon egy fájl rosszindulatú-e, a Deep CDR™ technológia abból indul ki, hogy bármely fájl az lehet, és ennek megfelelően kezeli azokat. A folyamat a fájlt alkotóelemeire bontja, eltávolít belőle mindent, ami futtatható tartalmat vagy aktív fenyegetéseket hordozhat (makrók, beágyazott szkriptek, OLE-objektumok), majd az eredeti formátumban újraépít egy tiszta, teljes mértékben működőképes változatot. Ez a rekonstruálás rekurzív módon is zajlik: egy másik archívumba ágyazott archívumot, vagy egy saját beágyazott fájlt tartalmazó dokumentumot minden rétegben megtisztít, nem csak a legkülső rétegben. Tudjon meg többet a Deep CDR™ technológia teljesítményéről.
A különbség a működési mechanizmusban rejlik, nem a marketingben. Az észlelésen alapuló eszközök megpróbálják azonosítani a fenyegetést. A Deep CDR™ technológia viszont eltávolítja mindazt, amire a fenyegetésnek szüksége lenne a működéshez, függetlenül attól, hogy az már azonosítva lett-e vagy sem. Egy zero-day és egy ismert kártevőprogram egyaránt ugyanazt a kezelést kapja, mivel az eszköz nem próbálja felismerni egyiküket sem. Egyszerűen teljes egészében eltávolítja a terjesztési mechanizmust. Az eredmény egy olyan fájl, amely ugyanúgy nyílik meg, jelenik meg és működik, mint az eredeti, kivéve azokat a komponenseket, amelyek aktív fenyegetést hordozhatnak. Ezt független tesztek is alátámasztják: a Deep CDR™ technológia volt az első CDR-megoldás, amely 100%-os védelmet és pontosságot ért el az SE Labs önálló CDR-tesztjén.
A PCI DSS szempontjából az a lényeg, hogy ez mit jelent az 5. követelmény– „Minden rendszer védelme a rosszindulatú szoftverek ellen, valamint a vírusirtó szoftverek vagy programok rendszeres frissítése” – tekintetében: olyan ellenőrzési intézkedésről van szó, amely azokra a konkrét fenyegetéstípusokra irányul, amelyeket a szignatúra-alapú észlelés szerkezetileg képtelen felismerni, és amelyet nem utólag, hanem már abban a pillanatban alkalmaznak, amikor a fájl belép a rendszerbe.
Hogyan illeszkedik a Metascan Multiscanning a Deep CDR™ technológia a PCI DSS 4.0.1 előírásaihoz?
A PCI DSS 4.0.1 nem egyetlen típusú kártevő-ellenőrzést ír elő. Olyan többszintű védelmet követel meg, amely mind az ismert, mind az ismeretlen fenyegetésekre kiterjed. Egyetlen eszköz – függetlenül attól, hogy mennyire jól teljesíti a saját feladatát – önmagában nem képes ezt biztosítani. Éppen ezért válik fontossá az észlelés és a megelőzés összekapcsolása az egyes követelmények teljesítése szempontjából.
1. követelmény: Hálózati biztonsági intézkedések bevezetése és fenntartása
Az 1. követelmény célja annak megakadályozása, hogy a megbízhatatlan hálózatokhoz és a CDE-hez egyaránt kapcsolódó eszközökből származó kockázat átterjedjen a CDE-be. Multiscanning a Deep CDR™ technológia közvetlenül támogatja ezt a célt: a hálózati forgalom, az e-mailek, a végpontok és a cserélhető adathordozók réteges kártevőellenes védelme egyszerre több behatolási pontot is lezár, míg multiscanning a CDR kombinációja biztosítja, hogy a megbízhatatlan hálózatok és a CDE közötti határt átlépő fájlok és adatok tisztított állapotban és rosszindulatú tartalomtól mentesen érkezzenek meg, függetlenül attól, hogy melyik csatornán keresztül érkeztek.
5. követelmény: Minden rendszer és hálózat védelme Software rosszindulatú Software ellen
A követelmények szintjén a Metascan Multiscanning több mint 30 víruskereső motor) és a Deep CDR™ technológia (amely a fájlokat biztonságos formátumokba alakítja át zero-day a beágyazott fenyegetések semlegesítése érdekében) azok a két kiemelt funkciók, amelyek ezt a követelményt végpontok között teljesítik. Ezek együttesen lefedik a rosszindulatú programok elleni védelem mindkét felét: a 5.2/5.2.1 verziókhoz tartozó fejlett, fájlokon keresztül terjedő fenyegetések észlelését, amelynek keretében minden fájlt a Deep CDR™ technológia és Multiscanning Metascan Multiscanning segítségével feldolgoznak, Multiscanning beengednék őket a védett környezetbe; a 5.3.2-es verzió réteges vizsgálata, ahol multiscanning, sandboxing, valamint a tartalom ártalmatlanítása és rekonstruálása a javasolt kiegészítő ellenőrzési mechanizmusok; valamint a 5.4-es verzió mellékletalapú adathalász-észlelése, ahol MetaDefender Email Security a Metascan Multiscanning sandbox , hogy még mielőtt azok eljutnának a felhasználóhoz, kiszűrje a rosszindulatú mellékleteket.
- 5.2. követelmény (rosszindulatú programok megelőzése és észlelése). Ezen a területen a két technológia egymást kiegészítő, de egymástól eltérő feladatot lát el. A Metascan Multiscanning több mint harminc kereskedelmi forgalomban kapható víruskereső motoron futtatja át a fájlokat, így az ismert fenyegetések felismerése olyan mélységet nyer, amelyet egyetlen motor sem tudna önmagában elérni – és mivel ezek a motorok a szignatúrákat heurisztikával és gépi tanulással párosítják, a Metascan az ismeretlen rosszindulatú programok jelentős részét is kiszűri, így az ismert és ismeretlen fenyegetések együttes felismerési aránya 99,2%-ra emelkedik. A Deep CDR™ technológia kezeli a szkennelés által elmulasztott fenyegetések kis részét, és megakadályozza zero-day . Együttesen így az ismert fenyegetéseket kiszűrik, a szkenneléssel önmagában átengedett fenyegetések pedig még mielőtt problémát okoznának, elveszítik terjesztési mechanizmusukat.
- 5.3.2. követelmény (valós idejű vagy időszakos vizsgálat). A Deep CDR™ technológia inline módon, az adatbeolvasás pontján működik. Minden fájlt a rendszerbe való belépéskor dolgoznak fel, nem pedig ütemezett vizsgálat keretében. Ezzel egyidejűleg teljesül a valós idejű ellenőrzésre vonatkozó elvárás a webes forgalom, az e-mailek és a fájlátviteli csatornák tekintetében, ahelyett, hogy időszakos vizsgálatokra kellene támaszkodni annak érdekében, hogy kiszűrjék azokat az elemeket, amelyek közben átjutottak a rendszeren.
- 5.4.követelmény (adathalászat elleni mechanizmusok).MetaDefender Security™ a Metascan Multiscanning sandbox kombinációjával kiszűri a rosszindulatú vagy gyanús mellékleteket, mielőtt azok eljutnának a beérkező levelek mappájába, míg MetaDefender a gyanús mellékletek dinamikus elemzését végzi ellenőrzött környezetben, hogy kiszűrje azokat zero-day elrejtett hasznos adatokat, amelyek kijátszák a szignatúra-alapú vizsgálatot. MetaDefender kiterjeszti ezt a láthatóságot a hálózati rétegre is, jelölve a gyanús kapcsolatokat és a phishing-kampányokhoz kapcsolódó hasznos adatok továbbítását.
6. követelmény: Secure és Software fejlesztése és karbantartása
6.3. követelmény (sebezhetőségek azonosítása). Az ismert szoftveres sebezhetőségeket kihasználó kártevőket tartalmazó fájlok nem csupán hálózati szintű, hanem fájlszintű kockázatot is jelentenek. Mivel a Deep CDR™ technológia még mielőtt a fájl eljutna a felhasználóhoz vagy a rendszerhez, eltávolítja a kártevő terjesztési mechanizmusát, így pontosan azon a ponton semlegesíti ezt a kockázatot, ahol az egyébként behatolna – függetlenül attól, hogy az alapul szolgáló sebezhetőséget már kijavították-e vagy sem.
Kíváncsi rá, hogy ez hogyan illeszkedik a saját PCI DSS hatályához? Töltse le a PCI DSS megfelelési útmutatót , és nézze meg közelebbről, hol illeszkednek be a Metascan Multiscanning a Deep CDR™ Technology technológiák.
Multiscanning a CDR helye a rendszerfelépítésben
Ennek a réteges megközelítésnek az értéke attól függ, hogy hol alkalmazzák. A kizárólag a végponton érvényes védelem a fájl további útjának többi szakaszát védelem nélkül hagyja, és a kártyatulajdonosi adatok több csatornán keresztül lépik át a CDE határát, mint amennyit a legtöbb megfelelőségi mátrix figyelembe vesz. Egy fizetési környezetben a legkritikusabb pontok azok, ahol a fájlok rendszeresen átlépik ezt a határt.
- Webalkalmazások biztonsága: Azok az alkalmazások, amelyek kártyatulajdonosi adatokat fogadnak, egyben behatolási útvonalat is jelentenek a rosszindulatú fájlok és zero-day számára, amelyek feltöltések vagy fájlalapú interakciók révén juthatnak be a CDE-be.
- E-mail-átjáró: A mellékleteket kézbesítés előtt megtisztítják, így kizárják a rosszindulatú Office-dokumentumokat és a kártékony PDF-fájlokat, amelyek a pénzügyi szolgáltatások területén a célzott adathalászat leggyakoribb terjesztési formátumai.
- Webproxy / ICAP: A HTTP- és HTTPS-forgalmat valós időben ellenőrzik, és az internetről letöltött fájlokat rekonstruálják, mielőtt azok eljutnának a belső rendszerekbe.
- Cserélhető adathordozók: USB származó fájlokat a CDE-be való belépés előtt az információs kioszkban megtisztítják. Ez közvetlenül megfelel az 5.3.3. követelménynek, és kizárja a cserélhető adathordozókat, mint támadási vektorokat.
- Felügyelt fájlátvitel: A partnerekkel és beszállítókkal kicserélt fájlokat már az átvitel során megtisztítják, nem csupán a fogadáskor.
OPSWAT MetaDefender™ platformja ezeken a pontokon egységesen alkalmazza a Metascan Multiscanning a Deep CDR™ technológiákat, a Proactive DLP™ technológiával és egyéb funkciókkal kiegészítve, így a lefedettség nem függ attól, hogy a fájl éppen melyik csatornán érkezik. A lefedettség nem függ attól sem, hogy milyen formátumban érkezik a fájl: a Deep CDR™ technológia több mint 200 fájltípust fed le, a fizetési munkafolyamatokban domináns PDF-ektől, táblázatoktól és Word-dokumentumoktól kezdve egészen a képekig, archívumokig és egyéb formátumokig, amelyek a gyakorlatban átlépik a CDE határait.
Akár ismert, akár új, az eredmény ugyanaz
Térjünk vissza a cikk elején bemutatott PDF-fájlhoz. Ebben semmi sem volt hipotetikus, és semmi sem tett szükségessé senki részéről hibás végrehajtást. Az eladó megbízható volt, a vizsgálat eredménye negatív lett, és a fájlt pontosan a tervek szerint szállították le. Pontosan ezt a forgatókönyvet hivatott megelőzni az 5. követelmény, és ez az a helyzet is, amelyet a kizárólag víruskeresőre épülő védelmi rendszer nem tud teljes mértékben kezelni.
A Deep CDR™ technológia a fájlokat a potenciálisan veszélyes összetevők nélkül állítja helyre, így eleve nem is merül fel az a kérdés, hogy a kártékony kód ismert vagy új volt-e. Multiscanning Metascan Multiscanning ugyanezt Multiscanning minden olyan fájl esetében, amely szignatúrával rendelkezik. A két technológia együttes működése révén a pénzügyi beérkező levelek mappájába kerülő fájlok vagy már kiszűrt fenyegetések, vagy olyan fenyegetések, amelyek elvesztették a működésükhöz szükséges elemeiket – soha nem pedig olyan fenyegetések, amelyeket egyszerűen még nem ismertek fel.
Főbb tanulságok
- A fizetési adatok olyan üzleti dokumentumokon keresztül haladnak – jelentések, kimutatások, beszállítói levelezés –, amelyekre a hálózati biztonsági ellenőrzés nem terjed ki.
- A védelem kiterjed mind az ismert, mind az ismeretlen fenyegetésekre: több mint 30 víruskereső motor észleli az ismert rosszindulatú programokat, a Deep CDR™ technológia pedig eltávolítja azokat a komponenseket, amelyekre egy zero-day támadásnak a futásához szüksége zero-day , anélkül, hogy előbb azonosítani kellene a fenyegetést.
- Ez megfelel a PCI DSS bizonyos követelményeinek (5.2, 5.3.2, 5.4, 1.5/1.5.1, 11.5/11.5.1), és a központosított naplózás révén az ellenőr ellenőrzése során láthatóvá válik, hogy az ellenőrző intézkedés működik.
Szeretné pontosan megismerni, hogy a Deep CDR™ technológia és Multiscanning a PCI DSS 4.0.1 teljes követelményrendszerének? Töltse le a PCI DSS megfelelési útmutatót és ellenőrzőlistát, amelyben az egyes ellenőrzési pontok részletes lebontását találja.
