שליחת יומנים, התראות ונתוני טלמטריה באמצעות דיודה נתונים

גלו כיצד
אנו משתמשים בבינה מלאכותית לתרגום האתר, ועל אף שאנו שואפים לדיוק מרבי, ייתכן שהתרגומים אינם מדויקים במאת האחוזים. אנו מודים לך על ההבנה.

כיצד טכנולוגיית Deep CDR™ וטכנולוגייתMultiscanning Metascan™ Multiscanning בדרישות האבטחה של תקן PCI DSS

עַל יְדֵי OPSWAT
שתף את הפוסט הזה

צוות האבטחה של חברת עיבוד תשלומים מסמן קובץ PDF מצורף לבדיקה. הקובץ נשלח מספק ידוע, הסריקה שלו נקייה מכל חתימה במאגר האנטי-וירוס, והוא מועבר לתיבת הדואר הנכנס של מחלקת הכספים מבלי שיעיינו בו שוב. בתוך קובץ ה-PDF הזה מסתתר מטען שנוצר במיוחד כדי לחמוק מזיהוי: אין בו חתימה ידועה, אין בו התנהגות מסומנת, ואין בו דבר שמנוע האנטי-וירוס הוכשר אי-פעם לזהות. עד שמישהו מבחין בכך, הקובץ כבר ביצע את משימתו.

זה לא תרחיש היפותטי. מאקרו מוטמעים, אובייקטי OLE, JavaScript בתוך קבצי PDF, וסקריפטים מוסווים בקבצי Office הם וקטורי הפצה סטנדרטיים בהתקפות נגד שירותים פיננסיים. ופורמטי הקבצים המועדפים על התוקפים (PDF, Excel, Word) הם אותם פורמטים שדרכם מועברים מדי יום נתוני מחזיקי כרטיסים בסביבת התשלומים. דוחות, תדפיסים, בקשות לפתיחת חשבונות ותכתובות עם ספקים מועברים כולם כקובצים, מה שאומר שכל אחד מהפורמטים הללו מהווה גם נקודת כניסה פוטנציאלית לסביבת נתוני מחזיקי הכרטיסים.

אם סימנתם את דרישה 5 של תקן PCI DSS 4.0.1 כ"מכוסה" משום שתוכנת אנטי-וירוס מותקנת בכל נקודות הקצה שלכם, כדאי לשאול מה הכיסוי הזה באמת כולל. תוכנת אנטי-וירוס ו-EDR (Endpoint and Response) הן כלים חזקים והכרחיים. הן גם מבוססות על הנחה ספציפית: כדי לעצור איום, יש לזהות אותו תחילה. הפוסט הראשון בסדרה זו בחן היכן תקן PCI DSS 4.0.1 מעלה את הרף בכל הקשור להגנה מפני תוכנות זדוניות באופן כללי. פוסט זה מעמיק עוד יותר ומתייחס לפער ספציפי: כיצד איומים המועברים באמצעות קבצים מצליחים לחמוק מתוכנת האנטי-וירוס בשל אופן תכנונם, ומה יכול לסגור את הפער הזה בסביבת תשלומים.

מה תוכנת האנטי-וירוס באמת עושה, והיכן היא נעצרת

תוכנות אנטי-וירוס ו-EDR מצטיינות במשימה שלשמה נוצרו: זיהוי איומים שכבר זוהו. זיהוי מבוסס חתימות משווה קובץ למאגר נתונים של תוכנות זדוניות ידועות. זיהוי התנהגותי ב-EDR מחפש דפוסים התואמים להתקפות קודמות. שתי הגישות תלויות בכך שכבר נתקלו במשהו דומה בעבר.

תלות זו היא גם המגבלה. למטען "יום אפס" אין חתימה שאפשר להתאים אליה. קובץ שתוכנן לעקוף ניתוח סטטי, באמצעות טשטוש, הצפנה או מניפולציה מבנית, יכול לעבור את הבדיקה מבלי לעורר התראה אחת. התוקפים יודעים בדיוק כיצד פועלים כלים מבוססי זיהוי, וזו הסיבה שחלק כה גדול ממשטח ההתקפה המודרני נבנה סביב עקיפתם ולא סביב התגברות עליהם. אף אחד מהדברים הללו אינו מעיד על כך שתוכנות האנטי-וירוס ו-EDR אינן מבצעות את תפקידן כראוי. המשמעות היא שנדרש מהן לבצע משימה אשר, מעצם הגדרתה, אינה יכולה לכסות איומים שטרם קוטלגו על ידי איש.

איומים הקשורים לקבצים בסביבת נתוני מחזיקי כרטיסים

לכך יש חשיבות מיוחדת עבור ה-CDE (סביבת נתוני מחזיקי הכרטיסים). נתוני מחזיקי הכרטיסים אינם מועברים רק דרך ערוצי הרשת. הם מועברים באמצעות קבצים: דוחות, תדפיסים, יומני עסקאות ותכתובות עם ספקים. כאשר קובץ זדוני נכנס לסביבה זו מבלי להתגלות, התוצאה אינה רק התראה על תוכנה זדונית שנפספסה. זוהי פריצה של הגבול ש-PCI DSS מחייב את הארגונים לשלוט בו. קובץ שעובר את סריקת האנטי-וירוס מכיוון שתוכנו אינו מזוהה, הוא עדיין קובץ בתוך ה-CDE הנושא את התוכן הזה. תוצאת הסריקה אינה משנה את תוכנו של הקובץ.

מה שעושה במקום זאת טכנולוגיית Deep CDR™

במקום לשאול אם קובץ מסוים הוא זדוני, טכנולוגיית Deep CDR™ יוצאת מנקודת הנחה שכל קובץ עלול להיות כזה ומתייחסת אליו בהתאם. התהליך מפרק את הקובץ למרכיביו, מסיר כל רכיב שעלול להכיל תוכן הניתן להפעלה או איומים פעילים (מאקרו, סקריפטים מוטמעים, אובייקטי OLE), ובונה מחדש גרסה נקייה ותפקודית במלואה בפורמט המקורי. תהליך הבנייה מחדש מתבצע באופן רקורסיבי: ארכיון הממוקם בתוך ארכיון אחר, או מסמך המכיל קובץ מוטמע משלו, עובר טיהור בכל שכבה, ולא רק בשכבה החיצונית ביותר. למדו עוד על ביצועי טכנולוגיית Deep CDR™.

ההבדל טמון במנגנון, ולא בשיווק. כלים המבוססים על זיהוי מנסים לזהות את האיום. טכנולוגיית Deep CDR™ מסירה את מה שהאיום זקוק לו כדי לתפקד, בין אם הוא זוהה ובין אם לאו. ניצול "יום אפס" ותוכנת זדוניות ידועה זוכים לאותו הטיפול, מכיוון שהכלי אינו מנסה לזהות אף אחד מהם. הוא מסיר את מנגנון ההפצה לחלוטין. התוצאה היא קובץ שנפתח, מוצג ומתפקד בדיוק כמו המקור, ללא הרכיבים שעלולים לשאת איום פעיל. בדיקות עצמאיות מאששות זאת: טכנולוגיית Deep CDR™ הייתה פתרון ה-CDR הראשון שהשיג 100% הגנה ודיוק במבחן ה-CDR העצמאי של SE Labs.

לצורך תקן PCI DSS, מה שחשוב הוא המשמעות של הדבר ביחס לדרישה 5— הגנה על כל המערכות מפני תוכנות זדוניות ועדכון קבוע של תוכנות או תוכניות אנטי-וירוס: אמצעי בקרה המטפל בסוג ספציפי של איומים שזיהוי מבוסס חתימות אינו מסוגל, מבחינה מבנית, לאתר, והוא מיושם ברגע שקובץ נכנס לסביבה ולא בדיעבד.

כיצד טכנולוגיות Metascan Multiscanning Deep CDR™ תואמות את תקן PCI DSS 4.0.1

תקן PCI DSS 4.0.1 אינו דורש סוג אחד בלבד של בקרת תוכנות זדוניות. הוא דורש כיסוי רב-שכבתי המטפל הן באיומים ידועים והן באיומים לא ידועים. כלי בודד, לא משנה עד כמה הוא מבצע היטב את המשימה הספציפית שלו, אינו יכול לעמוד בדרישה זו בכוחות עצמו. כאן נכנס לתמונה השילוב בין זיהוי למניעה, אשר הופך לרלוונטי לדרישות הספציפיות.

דרישה 1: התקנה ותחזוקה של אמצעי אבטחת רשת

דרישה 1 נועדה למנוע התפשטות סיכונים ממכשירים הנגישים הן לרשתות לא מהימנות והן ל-CDE. טכנולוגיית Multiscanning Deep CDR™ תומכות במטרה זו באופן ישיר: כיסוי רב-שכבתי נגד תוכנות זדוניות בתעבורת הרשת, בדוא"ל, בנקודות הקצה ובמדיה נשלפת חוסם מספר נקודות כניסה בו-זמנית, בעוד שהשילוב של הסריקה המרובה ו-CDR מבטיח שקבצים ונתונים החוצים את הגבול בין רשתות לא מהימנות ל-CDE יגיעו מטוהרים ונטולי תוכן זדוני, ללא תלות בערוץ דרכו הגיעו.

דרישה 5: הגנה על כל המערכות והרשתות מפני Software זדוניות

ברמת הדרישות, טכנולוגיית Metascan Multiscanning הכוללת למעלה מ-30 מנועי אנטי-וירוס) וטכנולוגיית Deep CDR™ (המשחזרת קבצים לפורמטים בטוחים כדי לנטרל איומים מסוג "יום אפס" ואיומים מוטמעים) הן שתי היכולות המרכזיות הממלאות דרישה זו מקצה לקצה. יחד הן מכסות את שני חלקי הדרישה להגנה מפני תוכנות זדוניות: זיהוי מתקדם של איומים המועברים בקבצים עבור גרסאות 5.2/5.2.1, שבהן כל קובץ מעובד באמצעות טכנולוגיית Deep CDR™ ו-Metascan Multiscanning שהוא מורשה להיכנס לסביבה מוגנת; סריקה רב-שכבתית עבור גרסה 5.3.2, שבה סריקה רב-שכבתית, סנדבוקסינג, נטרול תוכן ושחזור הם אמצעי הבקרה התומכים המומלצים; וזיהוי פישינג מבוסס קבצים מצורפים עבור גרסה 5.4, שבו MetaDefender Email Security Multiscanning Metascan וניתוח סנדבוקס כדי לתפוס קבצים מצורפים זדוניים לפני שהם מגיעים למשתמש.

  • דרישה 5.2 (מניעה וזיהוי תוכנות זדוניות). זהו המקום שבו שתי הטכנולוגיות מבצעות פעולות נפרדות ומשלימות זו את זו. Multiscanning Metascan Multiscanning סורקת קבצים באמצעות יותר משלושים מנועי אנטי-וירוס מסחריים, מה שמקנה לזיהוי איומים ידועים עומק שאף מנוע בודד אינו יכול להתחרות בו בכוחות עצמו — ומכיוון שמנועים אלה משלבים חתימות עם היוריסטיקה ולמידת מכונה, Metascan גם מזהה חלק משמעותי מתוכנות זדוניות לא ידועות, מה שמביא את שיעור הזיהוי הכולל שלה ל-99.2% מהאיומים הידועים והלא ידועים גם יחד. טכנולוגיית Deep CDR™ מטפלת בחלק הזעיר של האיומים שהסריקה מפספסת ומונעת ניצול פרצות "יום אפס". יחד, האיומים הידועים נתפסים, והאיומים שהסריקה לבדה הייתה מאפשרת להם לעבור מאבדים את מנגנון ההפצה שלהם עוד לפני שהם הופכים לבעיה.
  • דרישה 5.3.2 (סריקה בזמן אמת או תקופתית). טכנולוגיית Deep CDR™ פועלת באופן מובנה, בנקודת הקליטה. כל קובץ מעובד עם כניסתו לסביבה, ולא במסגרת סריקה מתוזמנת. כך מתקיימת הדרישה לבדיקה בזמן אמת של תעבורת האינטרנט, הדואר האלקטרוני וערוצי העברת הקבצים בו-זמנית, במקום להסתמך על סריקות תקופתיות כדי לאתר את מה שהצליח לחמוק בין הסריקות.
  • דרישה 5.4 (מנגנוני הגנה מפני פישינג).MetaDefender Security™ משלבת Multiscanning Metascan Multiscanning בסביבת "ארגז חול" (sandbox) כדי לאתר קבצים מצורפים זדוניים או חשודים לפני שהם מגיעים לתיבת הדואר הנכנס, בעוד MetaDefender מוסיפה ניתוח דינמי של קבצים מצורפים חשודים בסביבה מבוקרת, כדי לאתר מטענים מסוג "יום אפס" (zero-day) או מטענים מוסווים, אשר מצליחים לחמוק מסריקה מבוססת חתימות. MetaDefender מרחיב את הנראות הזו לשכבת הרשת, ומסמן חיבורים חשודים והעברת תוכן הקשורים לקמפיינים של פישינג.

דרישה 6: פיתוח ותחזוקה של Secure Software Secure

דרישה 6.3 (זיהוי נקודות תורפה). קבצים המכילים תוכנות זדוניות המנצלות נקודות תורפה ידועות בתוכנה מהווים סיכון ברמת הקובץ, ולא רק ברמת הרשת. מכיוון שטכנולוגיית Deep CDR™ מסירה את מנגנון העברת התוכנה הזדונית לפני שהקובץ מגיע למשתמש או למערכת, היא מטפלת בסיכון זה בנקודה שבה הוא היה חודר אחרת, ללא תלות בשאלה האם נקודת התורפה הבסיסית כבר תוקנה.

סקרן לדעת כיצד זה מתייחס להיקף ה-PCI DSS שלך? הורידו את מדריך התאימות ל-PCI DSS כדי לבחון מקרוב היכן טכנולוגיות Metascan Multiscanning Deep CDR™ משתלבות.

היכן משתלבים Multiscanning CDR במערך

הערך של גישה רב-שכבתית זו תלוי במקום שבו היא מיושמת. כיסוי הקיים רק בנקודת הקצה מותיר את שאר מסלולו של הקובץ ללא הגנה, ונתוני מחזיקי הכרטיסים חוצים את גבול ה-CDE דרך ערוצים רבים יותר ממה שמביאות בחשבון מרבית מטריצות התאימות. בסביבת תשלומים, הנקודות בעלות הערך הגבוה ביותר הן אלה שבהן קבצים חוצים באופן שגרתי את הגבול הזה.

  • אבטחת יישומים אינטרנטיים: יישומים המקבלים נתוני מחזיקי כרטיסים מהווים גם הם נתיב כניסה לקבצים זדוניים ולאיומים מסוג "יום אפס" אל ה-CDE, באמצעות העלאות או אינטראקציות המבוססות על קבצים.
  • שער דוא"ל: קבצים מצורפים עוברים ניקוי לפני המסירה, מה שמבטל מסמכי Office שהוסבו לכלי תקיפה וקבצי PDF זדוניים – פורמט ההפצה הנפוץ ביותר בהתקפות פישינג ממוקד (spearphishing) בתחום השירותים הפיננסיים.
  • פרוקסי אינטרנט / ICAP: תעבורת HTTP ו-HTTPS נבדקת בזמן אמת, וקבצים שהורדו מהאינטרנט משוחזרים לפני שהם מגיעים למערכות הפנימיות.
  • אמצעי אחסון נשלפים: קבצים USB עוברים ניקוי בקיוסק לפני כניסתם ל-CDE. הדבר עונה באופן ישיר על דרישה 5.3.3 ומונע את השימוש באמצעי אחסון נשלפים כווקטור תקיפה.
  • העברת קבצים מנוהלת: קבצים המועברים לשותפים ולספקים עוברים ניקוי במהלך ההעברה, ולא רק בעת קבלתם.

פלטפורמת MetaDefender™OPSWAT מיישמת את טכנולוגיית Metascan Multiscanning Deep CDR™ באופן עקבי בכל הנקודות הללו, יחד עם טכנולוגיית Proactive DLP™ ויכולות נוספות, כך שהכיסוי אינו תלוי בערוץ דרכו מגיע הקובץ. הכיסוי גם אינו תלוי בפורמט שבו מגיע הקובץ: טכנולוגיית Deep CDR™ מכסה יותר מ-200 סוגי קבצים, החל מקבצי PDF, גיליונות אלקטרוניים ומסמכי Word, השולטים בתהליכי התשלומים, ועד לתמונות, קבצי ארכיון ופורמטים אחרים החוצים בפועל את גבולות ה-CDE.

בין אם זה ידוע ובין אם זה חדש, התוצאה היא זהה

חזרו לקובץ ה-PDF המופיע בתחילת המאמר. לא היה בו שום דבר היפותטי, ושום דבר בו לא הצריך ביצוע לקוי מצד אף אחד. הספק היה לגיטימי, הסריקה לא העלתה ממצאים חריגים, והקובץ נמסר בדיוק כפי שתוכנן. זהו התרחיש שדרישה 5 נועדה למנוע, וזהו גם התרחיש שמיפוי המבוסס על תוכנת אנטי-וירוס בלבד אינו יכול להתמודד עמו באופן מלא.

טכנולוגיית Deep CDR™ בונה מחדש קבצים ללא הרכיבים שעלולים להוות סכנה, כך שהשאלה האם המטען היה ידוע או חדש כלל אינה עולה מלכתחילה. Multiscanning Metascan Multiscanning פעולה דומה עבור כל קובץ שכן נושא חתימה. בזכות השילוב בין השתיים, קובץ שמגיע לתיבת הדואר הנכנס של מחלקת הכספים הוא או איום שנתפס, או איום שאיבד את החלקים הדרושים לפעולתו — אך לעולם לא איום שפשוט טרם זוהה.

נקודות עיקריות

  • נתוני התשלומים עוברים דרך מסמכים עסקיים — דוחות, תדפיסים, התכתבות עם ספקים — שאינם נכללים בבדיקת אבטחת הרשת.
  • ההגנה מכסה הן איומים ידועים והן איומים לא ידועים: למעלה מ-30 מנועי אנטי-וירוס מזהים תוכנות זדוניות ידועות, וטכנולוגיית Deep CDR™ מסירה את הרכיבים הדרושים להפעלת תקיפת "יום אפס", מבלי שיהיה צורך לזהות את האיום תחילה.
  • דבר זה תואם לדרישות ספציפיות של תקן PCI DSS (5.2, 5.3.2, 5.4, 1.5/1.5.1, 11.5/11.5.1), עם רישום מרכזי המציג כי אמצעי הבקרה פועל בעת בדיקתו על ידי בודק.

רוצים לראות בדיוק כיצד טכנולוגיית Deep CDR™ Multiscanning בדרישות המלאות של תקן PCI DSS 4.0.1? הורידו את מדריך התאימות ל-PCI DSS ואת רשימת הבדיקה לקבלת פירוט מפורט של כל אמצעי בקרה בנפרד.

תגיות:

הישאר מעודכן עם OPSWAT !

הירשמו עוד היום כדי לקבל את העדכונים האחרונים, סיפורי לקוחות, מידע על אירועים ותכנים נוספים.