A PCI DSS fájlbiztonsági előírásai kiterjednek a CDE-be (kártyatulajdonosi adatkezelési környezet) bekerülő minden fájl vizsgálatára, tisztítására és értékelésére, minden adatbeviteli csatornán keresztül, nem csupán a végpontokon. A PCI DSS 4.0.1 kiterjeszti a rosszindulatú szoftverek elleni védelmet a webre, az e-mailekre, a felhőalapú tárolásra, a felügyelt fájlátvitelre, a cserélhető adathordozókra és a szoftverfüggőségekre is.
A PCI DSS (Payment Card Industry Data Security Standard) előírásainak betartásáért felelős biztonsági csapatok többsége már elvégezte a szükséges feladatokat. Az EDR (Endpoint and Response) rendszer be van vezetve. A kártevőellenes szoftver működik. Az 5. követelmény mellett pipa látható. Ezek alapvető fontosságú biztonsági intézkedések, de ha a szabályozási követelmények tágabb köréről van szó, a hagyományos biztonsági ellenőrzések nem feltétlenül bizonyulnak elegendőnek.
A PCI DSS 4.0.1 egyértelműen meghatározza azt, amit a korábbi verziók értelmezésre hagytak: a rosszindulatú programok elleni védelem kiterjed minden olyan csatornára, amelyen keresztül fájlok kerülnek be a CDE-be, mozognak benne, illetve távoznak onnan. Zero-day sebezhetőségek. Webes forgalom. E-mail. Cloud . Kezelett fájlátvitel. Cserélhető adathordozók. Software .
A végpontok csupán a számos vizsgálati terület egyike. Ha a többit nem értékelték, akkor biztonsági kockázat áll fenn, és az ellenőrök pontosan tudják, hol kell keresniük.
Ez a bejegyzés áttekinti a szabvány követelményeinek teljes körét, így őszintén felmérheted, hogy milyen mértékben felelsz meg azoknak. Ha részletesebb, követelményenkénti áttekintésre van szükséged, a PCI DSS Mapping Guide és a Starter’s Checklist konkrét ajánlásokkal részletezi az egyes ellenőrzési intézkedéseket.
A legfontosabb tudnivalók
A PCI DSS 4.0.1 a fájlbiztonságot többcsatornás megközelítésként kezeli. A rosszindulatú programok elleni védelemnek ki kell terjednie a webes felületekre, az e-mailekre, a felhőalapú szolgáltatásokra, a felügyelt fájlátvitelre, a cserélhető adathordozókra és a szoftverfüggőségekre is, nem csupán a végpontokra.
Azegyes végpontokvédelme minden más csatorna után következik. Mire egy fájl eléri a végpont-ügynököt, már hat másik ellenőrzési ponton átesett, vagy elbukott.
A szignatúra-alapú észlelés önmagában nem felel meg a szabványnak. Az 5. követelmény előírja, hogy a rendszernek minden típusú rosszindulatú szoftvert le kell fednie, valamint a zero-day fenyegetéseket viselkedésalapú észleléssel kell felismernie.
A cserélhető adathordozókra kifejezett kötelezettség vonatkozik. Az 5.3.3. pont előírja a cserélhető adathordozók behelyezéskori automatikus ellenőrzését; a kézi ellenőrzésre vonatkozó szabályok nem felelnek meg ennek a követelménynek .
Software is a hatály alá tartoznak. A 6.3.2. követelmény előírja, hogy az egyedi és testreszabott szoftvereket biztonságos módon kell fejleszteni, valamint hogy a harmadik féltől származó komponensekről nyilvántartást kell vezetni.
Mit ír elő a PCI DSS 4.0.1 a fájlok biztonságával kapcsolatban?
Mielőtt végigmennénk a csatornákon, érdemes az érvelést magára a specifikációra alapozni.
Az 5. követelmény egyértelműen leírja a fenyegetettségi felületet: „A rosszindulatú szoftverek számos, a vállalat által engedélyezett tevékenység során bejuthatnak a hálózatba, ideértve az alkalmazottak e-mail-használatát (például adathalászat útján), valamint az internet, mobile és a tárolóeszközök használatát, ami a rendszer sebezhetőségeinek kihasználásához vezethet.” Ez a fizetési környezetekben előforduló, fájlalapú támadásokra vonatkozó elsődleges fenyegetési modell.
A szabvány azt is kimondja, hogy önmagában az aláírásalapú észlelés nem elegendő: „Az összes kártevőtípust lefedő kártevőellenes megoldások használata segít megvédeni a rendszereket a jelenlegi és a folyamatosan fejlődő kártevő-fenyegetésektől.” A kulcsszavak itt a „minden típus” és a „jelenlegi és a folyamatosan fejlődő” kifejezések. Az olyan észlelés, amely csak az ismert fenyegetéseket ismeri fel, biztonsági rést hagy maga után, amit a szabvány kifejezetten meg is nevez.
Az 5.2.1. követelmény még tovább megy – a „Bevált gyakorlatok” című útmutatója kiemeli, hogy „előnyös, ha a szervezetek tisztában vannak a »zero-day« támadásokkal (amelyek egy korábban ismeretlen sebezhetőséget használnak ki), és olyan megoldásokat vesznek fontolóra, amelyek a viselkedési jellemzőkre összpontosítanak, valamint figyelmeztetnek a váratlan viselkedésre és reagálnak rá”. Ez a szabvány saját elismerése annak, hogy a viselkedésalapú és a heurisztikus észlelés elengedhetetlen a teljes lefedettséghez.
A 6. és 11. követelmény tovább szélesíti az alkalmazási körét. A 6.3.2. követelmény előírja, hogy az egyedi és testreszabott szoftverek biztonsági sebezhetőségeit azonosítani kell, ezzel közvetlenül kezelve a szoftverellátási lánc kockázatait. A 11.3.1.2. követelmény hitelesített belső vizsgálatot ír elő. Ezek együttesen rögzítik, hogy a PCI DSS-nek megfelelő környezetben a fájlbiztonság nem egyetlen ellenőrzési intézkedés, hanem az egész architektúrára kiterjedő szabályrendszer.
Melyek azok a hét fájlbeolvasási csatornák, amelyek Secure a PCI DSS előírja?
Éppen ezen a területen van sok megfelelési programnak egy olyan hiányossága, amelyet még nem mértek fel.
Lenyelési csatorna | PCI DSS követelmény | Miért nem veszik észre ezt Endpoint ? | Mi hidalja át a szakadékot? |
Webes forgalom | 5., 6. követelmény | A webproxyn keresztül továbbított fájlok soha nem érintkeznek a végpont-ügynökkel | Többmotoros szkennelés az átjárónál |
E-mail és mellékletek | 1., 5. követelmény | Az egymotoros kódelemzés nem veszi észre a makrókat, az archívumokat és a beágyazott kihasználási módszereket | Multiscanning, fájlok tisztítása, adatvesztés-megelőzés |
Cloud tárolás | 5., 6. követelmény | A SharePointba, az OneDrive-ba vagy az S3-ba történő közvetlen feltöltések megkerülik a végpont-ellenőrzést | A tárolt fájlok átvizsgálása + adatvesztés-megelőzés |
Irányított fájlátvitel | 5., 6. követelmény | A megbízható partnerektől származó fájlok már a munkafolyamaton belül érkeznek meg | Fájlok beolvasása mozgás közben + fájlok tisztítása |
Cserélhető adathordozók | 1., 5., 9. követelmény | A kézi szkennelési szabályzatok nem felelnek meg az automatikus szkennelésre vonatkozó előírásnak | Behelyezéskor végzett automatikus vizsgálat (kioszk) a külső eszközökről származó rosszindulatú programok megelőzése érdekében |
Software | 6. követelmény | A harmadik féltől származó komponensekben található ismert CVE-k nem minősülnek rosszindulatú programok szignatúráinak | Fájlok (szoftverelemek) vulnerability detection az SDLC szakaszai vulnerability detection |
Végpontok | 5. követelmény | Minden más csatornától lefelé helyezkedik el; a fenyegetéseket utoljára fogja fel | EDR / végpont-vírusirtó |
- Webes forgalom: A HTTPS-en keresztül egy webportálra letöltött vagy feltöltött fájlok áthaladnak a hálózaton, mielőtt bármely végponthoz eljutnának.
- E-mail és mellékletek: Az e-mail továbbra is a fájlalapú fenyegetések leggyakoribb terjesztési csatornája. A mellékletek vizsgálatának túl kell lépnie a szignatúra-összehasonlításon. A tömörített archívumok, a makrókat tartalmazó dokumentumok és a beágyazott kihasználási kódokat tartalmazó fájlok mind úgy lettek kialakítva, hogy kijátsszák ezt a vizsgálatot.
- Helyi és Cloud : A fájlok folyamatosan szinkronizálódnak a SharePoint, az OneDrive, az S3 és hasonló platformok felé és onnan.
- Kezelett fájlátvitel: A beszállítói adatcserék, a partneri integrációk és az ügyfelek által beküldött fájlok olyan bejövő fájláramokat hoznak létre, amelyek saját kockázati profiljukkal járnak.
- Cserélhető adathordozók: Az 5.3.3. pont a szabvány egyik konkrétabb követelménye: a rosszindulatú programok elleni védelmi szoftvernek automatikusan ellenőriznie kell a cserélhető adathordozókat azok behelyezésekor. USB aktív támadási vektorok a fizetési környezetekben, beleértve az „air-gapped” rendszereket is, ahol gyakran ezek jelentik az egyetlen külső adatátviteli csatornát.
- Software és függőségek. A 6.3.2. követelmény azért létezik, mert a harmadik féltől származó könyvtárak és beágyazott komponensek jelentős CDE-kockázati forrást jelentenek. Az a bináris fájl, amelynek valamely függőségében ismert CVE (Common Vulnerability and Exposure) található, olyan kockázatot jelent, amelyet a szignatúra-alapú rosszindulatú programok észlelése nem képes felismerni. Ez egy kihasználásra váró sebezhetőség, nem pedig hagyományos értelemben vett rosszindulatú program.
- Végpontok. Ez az a csatorna, amelyet a legtöbb csapat már lefedett. Endpoint ellenőrzik, hogy mi érkezik meg, fut le vagy marad meg egy eszközön. Ez a védelem elengedhetetlen, de a listán szereplő összes többi csatornához képest későbbi szakaszban helyezkedik el. Mire egy fájl eléri a végpontot, már hat másik ellenőrzési ponton átesett, ahol vagy megfelelt, vagy elbukott.
Miért nem elegendő egyetlen vírusirtó program Endpoint ?
Az EDR és az egyetlen végpontra telepített vírusirtó kiváló eszközök, de hatókörüket a tervezésük korlátozza.
Endpoint úgy védik az eszközöket, hogy figyelemmel kísérik a gépen zajló eseményeket: a lemezre írt fájlokat, a futtatott folyamatokat és a kezdeményezett hálózati kapcsolatokat. Nem vizsgálják azonban azokat a fájlokat, amelyek webes proxyn, e-mail-átjárón, felhőalapú szinkronizálási API vagy USB keresztül haladnak át. Ez a hatókör kérdése, nem pedig a termék hiányossága.
A PCI DSS 4.0.1 egyértelműen megválaszolja ezt a hatályra vonatkozó kérdést. A szabvány a fenyegetési felületet minden olyan csatornaként határozza meg, amelyen keresztül fájlok jutnak be a hálózatba. Endpoint azt biztosítja, ami már a CDE-n belül van. A fájlbiztonság pedig az átjutást védi.
Ez a biztonsági rés nem csupán elméleti jellegű. Ha egy támadó egy olyan adathalmazt juttat be, amely egy egyprocesszoros átjárón keresztül ellenőrzött adathalász mellékletben, egy gyártói szoftvercsomagban található rosszindulatú függőségben, vagy egy karbantartási időszak alatt csatlakoztatott USB keresztül érkezik – ezek közül egyik út sem érinti a végpont-ügynököt, amíg már túl késő nem lesz. A szabvány éppen ezeket a csatornákat kéri, hogy zárja le.
Hogyan néz ki a teljes fájlbiztonság a PCI DSS 4.0.1 szerint?
Azok a szervezetek, amelyeknek a fájlbiztonsági 4.0.1-es auditja kifogástalan, közös architektúrával rendelkeznek: minden adatbeviteli ponton ellenőrzés történik, többrétegű védelmi rendszerrel.
Ez az átjáró szintjén történő többmotoros vizsgálatot jelenti. A fájlok egyidejű futtatása több víruskereső motoron drámai mértékben növeli az észlelési arányt, és biztosítja azt a lefedettségi mélységet, amelyet a szabvány „minden típus” megfogalmazása megkövetel. Ez azt jelenti, hogy a fájlok olyan tisztításon mennek keresztül, amely semlegesíti azt, amit a víruskereső nem képes észlelni: a Deep CDR™ technológia a potenciálisan rosszindulatú tartalmak – beleértve a még nem katalogizált zero-day sebezhetőségeket is – eltávolításával biztonságos, használható formátumokba alakítja át a fájlokat. Ez azt jelenti, hogy a szoftvercsomagok és a bináris fájlok esetében fájlszintű sebezhetőségi értékelést végeznek az ismert CVE-k alapján, még mielőtt azok eljutnának a termelési rendszerekbe. Ez továbbá azt is jelenti, hogy az összes csatornán – nem csupán a végpontok telemetriáján – központosított naplózás történik, így a 11. követelmény auditálási követelményei ténylegesen teljesíthetők.
A MetaDefender™ az OPSWAT fájlbiztonsági platformja, amelynek feladata a fájlok átvizsgálása, tisztítása és értékelése minden adatbeviteli csatornán, még mielőtt azok eljutnának a CDE-be.
Ahogyan OPSWAT megfelelőségi útmutatója megjegyzi: „MetaDefender OPSWAT MetaDefender az iparág egyik leghatékonyabb megoldásátMetaDefender az 5. követelmény teljesítéséhez. Multiscanning Metascan™ Multiscanning több mint 30 kereskedelmi forgalomban kapható víruskereső motort Multiscanning az ismert rosszindulatú programok kivételes pontosságú felismeréséhez, míg a Deep CDR™ technológia proaktív módon semlegesíti a zero-day és a beágyazott fenyegetéseket azáltal, hogy a fájlokat biztonságos, használható formátumokba alakítja át.”
Ez a hiányosság nem azért áll fenn, mert a biztonsági csapatok nem voltak elég figyelmesek, hanem azért, mert a PCI DSS 4.0.1 szélesebb körű követelményeket támaszt. Azok a csapatok, amelyek az ellenőrzés előtt orvosolják ezt a hiányosságot, nem tesznek többet annál, amit a szabvány előír. Egyszerűen csak teljes mértékben betartják a szabvány előírásait.
Következő lépések
Készen áll arra, hogy összehasonlítsa jelenlegi biztosítási fedezetét a 4.0.1-es verzióban előírtak teljes körével?
Töltse le a PCI DSS-megfelelési útmutatót és a PCI DSS kezdőknek szóló ellenőrzőlistát hogy összehasonlítsa a meglévő ellenőrzési intézkedéseit a hét fájlbeviteli csatornával, és azonosítsa a hiányosságokat.
Gyakran ismételt kérdések
Elég-e egyetlen végpont védelme a PCI DSS 4.0.1 előírásainak való megfeleléshez?
Nem. A PCI DSS 4.0.1 kiterjeszti a rosszindulatú programok elleni védelmet minden olyan csatornára, amelyen keresztül fájlok kerülnek be a CDE-be. A hagyományos végpontvédelem ugyan biztosítja az eszközök védelmét, de nem ellenőrzi azokat a fájlokat, amelyek webproxyk, e-mail-átjárók, felhőalapú szinkronizálás vagy cserélhető adathordozók útján jutnak be a rendszerbe. OPSWAT MetaDefender többrétegű technológiákkal integrálódik, hogy áthidalja ezt a hiányosságot.
Előírja-e a PCI DSS a cserélhető adathordozók rosszindulatú programok elleni vizsgálatát?
Igen. Ha cserélhető adathordozót helyeznek be, csatlakoztatnak vagy logikailag csatlakoztatnak, az 5.3.3. követelmény előírja a rendszerek vagy folyamatok automatikus vizsgálatát vagy folyamatos viselkedéselemzését. A kézi vizsgálatra vonatkozó szabályzatok nem felelnek meg ennek a követelménynek.
Melyek a PCI DSS 4.0.1-hez kapcsolódó fájlbeolvasási csatornák?a PCI DSS 4.0.1 szerint?
Webes forgalom, e-mailek és mellékletek, felhőalapú tárolás, felügyelt fájlátvitel, cserélhető adathordozók, szoftverfüggőségek és végpontok.
A PCI DSS 4.0.1 foglalkozik-e a szoftverellátási lánc kockázataival?
Igen. A 6.3.2. pont előírja, hogy az egyedi és testreszabott szoftvereket biztonságos módon kell fejleszteni, a biztonsági sebezhetőségeket fel kell tárni és orvosolni kell, valamint a sebezhetőségek és a javítások kezelésének megkönnyítése érdekében nyilvántartást kell vezetni a harmadik féltől származó szoftverkomponensekről.
Mi az a kártyatulajdonosi adatkezelési környezet (CDE)?
A CDE azok az emberek, folyamatok és technológiák, amelyek kártyatulajdonosi adatokat tárolnak, feldolgoznak vagy továbbítanak, valamint az ezekhez kapcsolódó rendszerek. A PCI DSS fájlbiztonsági ellenőrzései azokra a fájlokra vonatkoznak, amelyek a CDE-be érkeznek, azon belül mozognak, illetve onnan távoznak.
