אם זיהיתם פערים בהגנה על הקבצים שלכם בהתאם לתקן PCI DSS (תקן אבטחת הנתונים של תעשיית כרטיסי התשלום) 4.0.1, השאלה הבאה היא שאלה מעשית: כיצד נראית בפועל התיקון?
תקן PCI DSS מגדיר את ה-CDE (סביבת נתוני מחזיקי כרטיסים) ככל מערכת המאחסנת, מעבדת או מעבירה נתוני מחזיקי כרטיסים, וככל מערכת בעלת גישה בלתי מוגבלת למערכת העוסקת בכך. גבול זה נאכף ברמת הרשת ובקרת הגישה, אך הוא נחצה ללא הרף ברמת הקבצים. תעבורת האינטרנט מעבירה קבצים אל תוך ה-CDE. דואר אלקטרוני מעביר קבצים מצורפים למערכות המעבדות נתוני מחזיקי כרטיסים (CHD). אמצעי אחסון נשלפים מעבירים קבצים מעבר לגבולות פיזיים שהבקרות הרשתיות אינן מגיעות אליהם. אבטחת הקבצים היא זו שאוכפת את גבולות ה-CDE בשכבת התוכן.
MetaDefender הפלטפורמה המונעת על ידי בינה מלאכותית OPSWATלהגנה על תשתיות קריטיות. מאמר זה מפרט את הדרישות המרכזיות של התקן ובהשוואה למה MetaDefender , כדי שצוותי אבטחה וגורמים המעורבים בתהליכי תאימות יוכלו להעריך את היקף הכיסוי באופן מפורט.
MetaDefender דרישות 1, 2, 5, 6, 8, 9, 10, 11 ו-12 בתקן PCI DSS 4.0.1 באמצעות זיהוי תוכנות זדוניות באמצעות מנועים מרובים, טיהור קבצים, הערכת פגיעות, בקרת מדיה נשלפת ורישום מרכזי — תוך כיסוי כל ערוצי קליטת הקבצים שה-CDE חושף.
חדש בנושא זה? התחל בבלוג שלנו על החשיבות של אבטחת קבצים בתוכנית הציות ל-PCI DSS, אשר סוקר את מלוא היקף הדרישות של סעיף 4.0.1 בשבעה ערוצי קליטת קבצים.
חלק 1: דרישות אבטחת הקבצים
הדרישות 5, 6 ו-11 הן אלה שבהן לאבטחת הקבצים יש השפעה ישירה ביותר על עמידה בדרישות. אלה הן גם הנקודות שבהן מופיעים מרבית פערי הכיסוי בסביבות של שירותים פיננסיים.
דרישה 5: הגנה על כל המערכות והרשתות מפני Software זדוניות
דרישה 5 מחייבת את הארגונים לפרוס ולתחזק פתרונות מקיפים נגד תוכנות זדוניות, המונעים, מזהים ומטפלים בתוכנות זדוניות בכל המערכות ב-CDE. הדבר כולל הקמת מערכי הגנה פעילים ומעודכנים, ביצוע סריקות בזמן אמת או סריקות תקופתיות, ויישום מנגנונים נגד פישינג. היקף הדרישה משתרע על שערי אינטרנט ודואר אלקטרוני, אחסון בענן, נקודות קצה ומדיה נשלפת.
כיצד OPSWAT בהגנה על מערכות ורשתות מפני Software זדוניות
טכנולוגיית Multiscanning Metascan™ OPSWAT מנצלת למעלה מ-30 מנועי אנטי-תוכנות זדוניות מסחריים כדי לאתר תוכנות זדוניות ידועות ברמת דיוק יוצאת דופן, בעוד שטכנולוגיית Deep CDR™ מנטרלת באופן יזום איומים מסוג "יום אפס" ואיומים מוטמעים באמצעות שחזור קבצים לפורמטים בטוחים ושימושיים.
- MetaDefender מספקת בדיקה מעמיקה ורב-שכבתית של תוכן בכל ערוצי קליטת הקבצים העיקריים.
- טכנולוגיית ה-sandboxing המתקדמת MetaDefender חושפת תוכנות זדוניות מתוחכמות או ללא קבצים, שזיהוי מבוסס חתימות אינו מצליח לאתר.
- MetaDefender MetaDefender מאבטחים USB כבר ברגע חיבורו.
- MetaDefender Security™ חוסם קבצים מצורפים של פישינג ותכנים חשודים עוד לפני מסירתם.
- MetaDefender ICAP סורק את תעבורת ה-HTTP/S, מזהה וחוסם קבצים זדוניים המועברים ברשת לפני שהם מגיעים למערכות הפנימיות
- Central ManagementMy Central ManagementMy מרכז את רישום האירועים, עדכוני המנוע והשקיפות בנושא תאימות בכל רחבי הפריסה.
דרישה 6: פיתוח ותחזוקה של Secure Software Secure
דרישה 6 מבטיחה כי כל המערכות והתוכנות בתוך ה-CDE יפותחו, יוחזקו ויוגנו באופן מאובטח לאורך כל מחזור החיים שלהן. תקן PCI DSS 4.0.1 מתמקד בשתי מטרות: מניעת ניצול של פרצות אבטחה והפחתת הסיכון הנובע מתוכנה מותאמת אישית או מתוכנה של צד שלישי. דרישה 6.3.2 דורשת במפורש ניהול מלאי מתעדכן של רכיבים אלה לצורך ניהול פרצות אבטחה. משמעות הדבר היא יישום תיקונים בזמן, אימוץ שיטות עבודה מאובטחות במחזורSoftware (SDLC) ותחזוקת מאגרי קוד מאובטחים.
כיצד OPSWAT Secure Software פיתוח ותחזוקה
MetaDefender בדרישה 6 באמצעות נראות מעמיקה של רכיבי התוכנה וחבילות הקבצים לפני כניסתם לסביבת הייצור.
- הערכת פגיעות בקבצים רב-מנועיים מאתרת רשומות CVE (Common Vulnerability and Exposure) ידועות בקבצים בינאריים, מתקינים ותלות, כך שרק רכיבים מאובטחים שנבדקו יגיעו לסביבה.
- MetaDefender Core MetaDefender ICAP Server אבטחת קבצים ביישומי אינטרנט ובדיקת תעבורה של תוכן שמקורו במקורות חיצוניים או לא מהימנים.
- MetaDefender Software Chain™ מחזקת את תהליכי העבודה בפיתוח באמצעות ניתוח ספריות צד שלישי, סריקת רכיבי קוד לאיתור אלמנטים זדוניים או פגיעים, ויצירת דוחות SBOM (Software רכיביSoftware ) המשפרים את השקיפות בנוגע לתלות.
דרישה 11: לבדוק באופן קבוע את אבטחת המערכות והרשתות
דרישה 11 מחייבת ביצוע בדיקות אבטחה שוטפות (לרבות הערכת פגיעות, בדיקות חדירה וזיהוי פריצות) כדי להבטיח שהמערכות יישארו עמידות בפני איומים מתהווים. דרישה 11.3.1.2 מחייבת ביצוע סריקה פנימית מאומתת.
כיצד OPSWAT Secure Software בדיקות אבטחה
MetaDefender בדרישה 11 באמצעות file-based vulnerability assessment, סריקה רב-שלבית, ניתוח בסביבת בדיקה (sandbox) וזיהוי איומים בנקודות קליטה קריטיות.
- MetaDefender Core, MetaDefender ICAP Server, MetaDefender Security™, MetaDefender File Transfer™ MetaDefender Software Supply Chain פגיעויות CVE ידועות בתוך קבצים, תוכנות התקנה וחבילות תוכנה לפני הפריסה.
- MetaDefender (Network Detection and Response) מנתח את תעבורת הרשת כדי לאתר התנהגויות חשודות של קבצים וסימנים לפריצה.
- אמנם MetaDefender מבצעת סריקות פגיעות מלאות ברמת המערכת או זיהוי פריצות ברשת כולה, אך היא בודקת קבצים בנקודות שבהן מרבית האיומים המועברים באמצעות קבצים חודרים לסביבה.
חלק 2: תמיכה בדרישות בכל רחבי ה-CDE
אבטחת הקבצים עומדת במרכז הדרישות 5, 6 ו-11, אך הכיסוי MetaDefender משתרע גם על מספר תחומים נוספים בתקן. להלן התחומים שבהם היא תורמת.
דרישה 1: התקנה ותחזוקה של אמצעי אבטחת רשת
דרישה 1 מחייבת הקמה ותחזוקה של אמצעי אבטחת רשת, לרבות חומות אש, נתבים ומכשירי הגנה על גבולות הרשת, כדי להגן על ה-CDE. הדבר כולל אכיפת פילוח הרשת, הגדרת מדיניות ותיעוד זרימות הנתונים.
בקרות הגישה הפיזית מאבטחות את הגבול ברמת הרשת, אך קבצים חוצים את הגבול הזה ללא הרף בשכבת התוכן, וזה המקום שבו באות לידי ביטוי בקרות MetaDefender.
כיצד OPSWAT בשמירה על אמצעי אבטחת הרשת
OPSWAT דרישה 1 על ידי הוספת מניעת איומים מבוססת תוכן בנקודות בקרה מרכזיות ברחבי הרשת.
- MetaDefender בודקים, מנקים ומאמתים קבצים המועברים באמצעות דואר אלקטרוני, האינטרנט, אחסון, מדיה נשלפת וערוצי נקודות קצה, ובכך מפחיתים את הסיכון ברמת התוכן, גם כאשר בקרות הרשת מאפשרות את התעבורה.
- Proactive DLP Metascan Multiscanning, Deep CDR™ Proactive DLP פועלות יחד כדי למנוע מתוכן זדוני לחדור לסביבות המפולחות או לנוע בתוכן.
דרישה 2: להחיל Secure על כל רכיבי המערכת
דרישה 2 מבטיחה כי כל רכיבי המערכת, לרבות שרתים, יישומים והתקני רשת, מוגדרים באופן מאובטח ומתוחזקים באופן עקבי. הדבר כולל ביטול שירותים מיותרים, אכיפת תקני אבטחה ואימות שהמערכות נותרות תואמות לתצורות אלה לאורך זמן.
כיצד OPSWAT Secure של רכיבי המערכת
MetaDefender בדרישה זו באמצעות סריקת קבצים, חבילות תוכנה ותוכניות התקנה לאיתור תוכנות זדוניות ופגיעויות ידועות, לפני שהן מגיעות למערכות הייצור. המערכת מבטיחה שרק רכיבים בטוחים ומאומתים יעברו בסביבות בעלות רמות אמינות שונות.
- MetaDefender Endpoint בהתקנת תיקונים ובאימות מצב האבטחה, בעוד ש-
- MetaDefender לניהולSupply Chain Software Supply Chain נקודות תורפה ברכיבים של צד שלישי וברכיבים בקוד פתוח. דרישה 8: זיהוי משתמשים ואימות גישה לרכיבי המערכת
דרישה 8: זיהוי משתמשים ואימות הגישה לרכיבי המערכת
דרישה 8 קובעת את הצורך בזיהוי ייחודי של המשתמש ובאמצעי בקרה חזקים לאימות, לרבות MFA (אימות רב-גורמי), כדי להבטיח את הגישה למערכות בתוך ה-CDE. היא מסדירה את תקני הסיסמאות, ניהול החשבונות, אימות הזהות וההגנה מפני גניבת פרטי הזדהות.
כיצד OPSWAT בזיהוי משתמשים ובאימות גישה
MetaDefender בדרישה 8 באמצעות שילוב MetaDefender עם ספקי IAM (ניהול זהויות וגישה) חיצוניים, כגון Active Directory ופלטפורמות SSO (כניסה יחידה), ובכך מאפשרת אימות חזק וגישה ניהולית מאובטחת.
- הכניסה לקונסולה מוגנת באמצעות HTTPS, My OPSWAT Central Management את מדיניות האימות עבור חשבונות ניהול מקומיים.
- Proactive DLP יכולה גם לזהות פרטי הזדהות חשופים בתוך קבצים שנסרקו.
דרישה 9: הגבלת הגישה הפיזית לנתוני מחזיקי כרטיסים
דרישה 9 מתמקדת בשמירה על אבטחה פיזית קפדנית של מערכות, מכשירים ואמצעי אחסון המאחסנים או מעבדים נתוני מחזיקי כרטיסים. היא כוללת אמצעי בקרה להגבלת הגישה הפיזית, ניהול מבקרים, מעקב אחר אמצעי אחסון רגישים, והבטחת טיפול והשמדה בטוחים של נתוני מחזיקי כרטיסים במתכונת פיזית.
אמצעי אחסון נשלפים הם אחד ממקורות התקיפה הפיזיים הבודדים שמצליחים לעקוף הן את פילוח הרשת והן את אמצעי הבקרה המסורתיים בהיקף הרשת. זוהי נקודת המפגש הספציפית בין דרישה 9 MetaDefender.
כיצד OPSWAT Secure הגישה Secure לנתוני מחזיקי כרטיסים
גישה פיזית לרשת אינה מחייבת חיבור לרשת. אמצעי אחסון נשלפים מהווים אחד ממקורות התקיפה הפיזיים הישירים ביותר בסביבות תשלום, לרבות במערכות מנותקות מהרשת.
- MetaDefender Kiosk MetaDefender Endpoint ומנקים USB לפני שקבצים נכנסים לרשתות מאובטחות או יוצאים מהן, ובכך מונעים העברת תוכנות זדוניות באמצעות מדיה פיזית.
- בקרות מדיניות מרכזיות My OPSWAT Central Management אכיפה עקבית. בקרת הגישה הפיזית עצמה נותרת באחריות הארגון, אך MetaDefender את שכבת הקבצים בגבול הפיזי.
דרישה 10: תיעוד וניטור של כל הגישה לרכיבי המערכת ולנתוני מחזיקי הכרטיסים
דרישה 10 מגדירה את הצורך ברישום ובניטור מקיפים, העוקבים אחר כל הגישה למערכות, לנתוני מחזיקי כרטיסים ולאירועים הקשורים לאבטחה. יומני ביקורת מלאים מאפשרים ניתוח פורנזי, הטלת אחריות על המשתמשים וזיהוי מהיר של פעילות חשודה.
כיצד OPSWAT ברישום ובניטור בסביבות נתונים של מחזיקי כרטיסים
MetaDefender לדרישה 10 באמצעות יצירת יומנים מפורטים על פעילות סריקת תוכנות זדוניות, פעולות ניהוליות, זיהוי איומים ועדכוני מנוע בכל המודולים שלו.
- OPSWAT Central Management My Central Management את המידע הזה ומשתלבת עם פלטפורמות SIEM (ניהול מידע ואירועי אבטחה) לצורך יצירת קורלציה רחבה יותר ושמירת נתונים לטווח ארוך.
- MetaDefender מחליף מערכות רישום ברמת מערכת ההפעלה או ברמת הרשת, אך הוא מספק תמונת מצב אמינה לגבי איומים מבוססי קבצים ופעילות MetaDefender בכל רחבי הפריסה.
דרישה 12: תמיכה באבטחת מידע באמצעות מדיניות ותוכניות ארגוניות
דרישה 12 קובעת את המסגרת הארגונית לתוכנית אבטחת מידע מתמשכת. היא מחייבת קביעת מדיניות רשמית, הכשרת עובדים, תהליכי תגובה לאירועים וניהול סיכונים שוטף, כדי להבטיח הגנה עקבית על נתוני מחזיקי הכרטיסים.
מדיניות האבטחה הארגונית כוללת את האופן שבו מטפלים בקבצים, בודקים אותם ומתעדים אותם בכל MetaDefender . האכיפה המרכזית היא המקום שבו MetaDefender לעמידה בדרישה זו.
כיצד OPSWAT באבטחת מידע באמצעות מדיניות ותוכניות ארגוניות
MetaDefender בדרישה 12 באמצעות זיהוי פעילות זדונית בקבצים וזיהוי נתוני מחזיקי כרטיסים שעשויים להיות רגישים, הנמצאים במקומות בלתי צפויים.
- Central Management OPSWAT My Central Management תצוגה מרכזית של תוצאות הסריקה, אירועי האבטחה ואכיפת המדיניות בכל MetaDefender
סיכום
תרומתה OPSWATלתקן PCI DSS 4.0.1 משתרעת על פני כל ארכיטקטורת התאימות: זיהוי רב-מנועי, טיהור קבצים, הערכת פגיעות, בקרת מדיה נשלפת, רישום מרכזי ושקיפות בשרשרת האספקה. יכולות אלו מטפלות במשטח האיום הנגרם על ידי קבצים, כפי שהוגדר בתקן, בכל ערוצי הקליטה שה-CDE חושף.
הצוותים שמצליחים לסגור את פערי התאימות בצורה יסודית אינם משתמשים ביותר כלים. הם מפעילים את אמצעי הבקרה הנכונים בנקודות הבדיקה הנכונות, תוך שמירה על נראות מרכזית של כולם.
הורד את מדריך ההתאמה לתקן PCI DSS + רשימת הבדיקה למתחילים ב-PCI DSS כדי לראות בדיוק כיצד MetaDefender על כל דרישה ולזהות היכן קיימים פערים בכיסוי בתוכנית הנוכחית שלכם.
המשך קריאה
מדוע אבטחת קבצים היא חיונית בתוכנית הציות לתקן PCI DSS שלכם
האם נושא אבטחת הקבצים בתקן PCI DSS 4.0.1 חדש לכם? בבלוג זה מפורטים היקפי הדרישות של התקן בשבעה ערוצי קליטת קבצים, ומוסבר מדוע הגנת נקודות הקצה מכסה רק אחד מהם.
