נהלי אבטחת הקבצים של תקן PCI DSS כוללים סריקה, ניקוי והערכה של כל קובץ הנכנס ל-CDE (סביבת נתוני מחזיקי הכרטיסים), בכל ערוצי הקליטה, ולא רק בנקודות הקצה. תקן PCI DSS 4.0.1 מרחיב את ההגנה מפני תוכנות זדוניות לאינטרנט, לדוא"ל, לאחסון בענן, להעברת קבצים מנוהלת, למדיה נשלפת ולתלות בתוכנה.
רוב צוותי האבטחה האחראים על עמידה בתקן PCI DSS (תקן אבטחת נתונים בתעשיית כרטיסי התשלום) כבר ביצעו את העבודה. מערכת EDR (Endpoint ותגובהEndpoint ) הוטמעה. תוכנת האנטי-תוכנה זדונית פועלת. ליד דרישה מספר 5 מופיעה סימון V. אלה הם אמצעי אבטחה חיוניים, אך כאשר מדובר בהיקף הרחב יותר של הדרישות הרגולטוריות, אמצעי האבטחה המסורתיים עלולים שלא להספיק.
תקן PCI DSS 4.0.1 מבהיר במפורש נושא שגרסאות קודמות השאירו פתוח לפרשנות: ההגנה מפני תוכנות זדוניות חלה על כל ערוץ שדרכו מועברים קבצים אל ה-CDE, בתוכו וממנו. פרצות "יום אפס". תעבורת אינטרנט. דואר אלקטרוני. Cloud . העברת קבצים מנוהלת. מדיה נשלפת. Software .
נקודות קצה הן רק אחד מתחומי הכיסוי הרבים. אם האחרים לא נבדקו, קיימת חשיפה, והמבקר יודע היכן לחפש.
פוסט זה מפרט את מלוא היקף הדרישות של התקן, כדי שתוכלו להעריך בכנות את מידת העמידה שלכם בדרישות. לקבלת מידע מעמיק יותר, דרישה אחר דרישה, " מדריך ההתאמה לתקן PCI DSS ורשימת הבדיקה למתחילים" מפרט כל אמצעי בקרה בנפרד ומציג המלצות קונקרטיות.
נקודות מפתח
תקן PCI DSS 4.0.1 מתייחס לאבטחת קבצים כתחום רב-ערוצי. ההגנה מפני תוכנות זדוניות חייבת להקיף את האינטרנט, הדואר האלקטרוני, הענן, העברת קבצים מנוהלת, מדיה נשלפת ותלות בתוכנה, ולא רק את נקודות הקצה.
ההגנהבנקודת קצה בודדתמתבצעת לאחר כל הערוצים האחרים. עד שקובץ מגיע לסוכן בנקודת הקצה, הוא כבר עבר או נכשל בשש נקודות בדיקה אחרות.
זיהוי חתימות בלבד אינו עומד בדרישות התקן. דרישה 5 מחייבת כיסוי של כל סוגי התוכנות הזדוניות וזיהוי התנהגותי של איומים מסוג "יום אפס".
למדיה נשלפת חלה חובה מפורשת. דרישה 5.3.3 מחייבת סריקה אוטומטית של מדיה נשלפת עם הכנסתה; נהלים ידניים אינם מספיקים.
Software נכללות בהיקף הדרישות. דרישה 6.3.2 קובעת כי יש לפתח תוכנה ייעודית ומותאמת אישית באופן מאובטח, וכן לנהל רשימת מלאי של רכיבי צד שלישי.
מהן הדרישות של תקן PCI DSS 4.0.1 בנוגע לאבטחת קבצים?
לפני שנעבור על הערוצים, כדאי לבסס את הטיעון על המפרט עצמו.
דרישה 5 מתארת את משטח האיום באופן ברור: "תוכנות זדוניות עלולות לחדור לרשת במהלך פעילויות רבות המאושרות על ידי הארגון, לרבות דואר אלקטרוני של עובדים (למשל, באמצעות פישינג) ושימוש באינטרנט, mobile ובמכשירים לאחסון, מה שמוביל לניצול נקודות תורפה במערכת." זהו מודל האיום העיקרי להתקפות מבוססות קבצים בסביבות תשלום.
התקן קובע גם כי זיהוי חתימות בלבד אינו מספיק: "השימוש בפתרונות נגד תוכנות זדוניות המטפלים בכל סוגי התוכנות הזדוניות מסייע בהגנה על מערכות מפני איומים קיימים ומתפתחים." הביטויים המרכזיים הם "כל סוגי" ו"קיימים ומתפתחים". זיהוי המזהה רק איומים ידועים מותיר פרצה שהתקן מציין במפורש.
הדרישה 5.2.1 מרחיקה לכת עוד יותר – בהנחיות ל"פרקטיקות מומלצות" שלה מצוין כי "מומלץ לגופים להיות מודעים להתקפות 'יום אפס' (אלה המנצלות פגיעות שלא הייתה ידועה קודם לכן) ולשקול פתרונות המתמקדים במאפיינים התנהגותיים, אשר יתריעו ויגיבו להתנהגות בלתי צפויה". זוהי הכרה של התקן עצמו בחשיבותה של זיהוי התנהגותי והוריסטי להשגת כיסוי מלא.
הדרישות 6 ו-11 מרחיבות עוד יותר את היקף היישום. דרישה 6.3.2 מחייבת זיהוי פרצות אבטחה בתוכנה מותאמת אישית ומותאמת לצרכים ספציפיים, ובכך מטפלת באופן ישיר בסיכון הנובע משרשרת האספקה של התוכנה. דרישה 11.3.1.2 מחייבת ביצוע סריקה פנימית מאומתת. יחד, הן קובעות כי אבטחת קבצים בסביבה העומדת בתקן PCI DSS אינה אמצעי בקרה בודד, אלא משמעת המופעלת על פני הארכיטקטורה כולה.
מהם שבעת ערוצי קליטת הקבצים ש-PCI DSS מצפה מכם Secure?
זהו המקום שבו קיימים פערים בתוכניות ציות רבות, שטרם נמדדו.
ערוץ הבליעה | דרישת PCI DSS | מדוע Endpoint לא מצליחים לזהות את זה | מה שמצמצם את הפער |
תעבורת אינטרנט | דרישות 5, 6 | קבצים המועברים דרך פרוקסי אינטרנט אינם נוגעים בסוכן הקצה בשום שלב | סריקה רב-מנועית בשער הכניסה |
דוא"ל וקבצים מצורפים | דרישות 1, 5 | סריקת חתימות במנוע יחיד לא מזהה מאקרו, קבצי ארכיון וניצולים מוטמעים | Multiscanning, ניקוי קבצים, מניעת אובדן נתונים |
Cloud אִחסוּן | דרישות 5, 6 | העלאות ישירות ל-SharePoint, OneDrive או S3 עוקפות את בדיקת נקודות הקצה | סריקת קבצים במנוחה + מניעת אובדן נתונים |
העברת קבצים מנוהלת | דרישות 5, 6 | קובצי השותפים המהימנים מגיעים כבר בתוך זרימת העבודה | סריקת קבצים בזמן העברה + ניקוי קבצים |
אמצעי אחסון נשלפים | דרישות 1, 5, 9 | מדיניות הסריקה הידנית אינה עומדת בדרישת הסריקה האוטומטית | סריקה אוטומטית עם חיבור (קיוסק) למניעת תוכנות זדוניות ממכשירים חיצוניים |
Software | דרישה מס' 6 | CVE-ים ידועים ברכיבי צד שלישי אינם חתימות של תוכנות זדוניות | vulnerability detection בקבצים (תוצרי תוכנה) vulnerability detection התוכנה (SDLC) |
נקודות קצה | דרישה מס' 5 | ממוקמת במורד הזרם ביחס לכל התעלות האחרות; קולטת את האיומים אחרונה | EDR / אנטי-וירוס לנקודות קצה |
- תעבורת אינטרנט: קבצים שהורדו או הועלו לפורטל אינטרנט באמצעות HTTPS עוברים דרך הרשת לפני שהם מגיעים לכל נקודת קצה.
- דוא"ל וקבצים מצורפים: הדוא"ל נותר אמצעי ההפצה הנפוץ ביותר לאיומים מבוססי קבצים. סריקת קבצים מצורפים חייבת לחרוג מהשוואת חתימות בלבד. ארכיונים דחוסים, מסמכים עם מאקרו מופעל וקבצים הכוללים פרצות מוטמעות – כולם נועדו לעקוף את הסריקה.
- Cloud מקומי Cloud : הקבצים מסתנכרנים באופן רציף אל ומ-SharePoint, OneDrive, S3 ופלטפורמות דומות.
- העברת קבצים מנוהלת: חילופי קבצים עם ספקים, שילוב שותפים והעלאת קבצים על ידי לקוחות יוצרים זרימות קבצים נכנסות, שלכל אחת מהן פרופיל סיכון משלה.
- אמצעי אחסון נשלפים: דרישה 5.3.3 היא אחת מהחובות המפורטות יותר בתקן: תוכנת האנטי-תוכנה זדונית חייבת לסרוק באופן אוטומטי אמצעי אחסון נשלפים עם הכנסתם. USB מהווים וקטור תקיפה פעיל בסביבות תשלום, לרבות במערכות מנותקות מרשת (air-gapped), שבהן הם מהווים לעתים קרובות את נתיב הנתונים החיצוני היחיד.
- Software ותלות. הדרישה 6.3.2 קיימת משום שספריות של צד שלישי ורכיבים משובצים מהווים מקור משמעותי לחשיפה ל-CDE. קובץ בינארי המגיע עם פגיעות CVE (Common Vulnerability and Exposure) ידועה באחת התלות שלו, יוצר סיכון שזיהוי תוכנות זדוניות מבוסס חתימות לא יצליח לאתר. מדובר בפגיעות הממתינה לניצול, ולא בתוכנה זדונית במובן המסורתי.
- נקודות קצה. זהו הערוץ היחיד שרוב הצוותים מכסים. Endpoint סורקים את מה שמגיע, מתבצע או נשאר במכשיר. כיסוי זה הוא הכרחי, אך הוא נמצא במורד הזרם ביחס לכל ערוץ אחר ברשימה זו. עד שקובץ מגיע לנקודת קצה, שש נקודות בדיקה אחרות כבר עברו או נכשלו.
מדוע Endpoint באמצעות תוכנת אנטי-וירוס אחת בלבד אינה מספיקה
EDR ותוכנת אנטי-וירוס למחשב בודד הן כלים מצוינים, אך היקף הפעולה שלהן מוגבל מעצם תכנונן.
Endpoint מגנים על מכשירים באמצעות מעקב אחר הפעולות המתרחשות במכשיר: קבצים שנשמרים בדיסק, תהליכים שמבוצעים, חיבורי רשת שיוזמים. הם אינם בודקים קבצים העוברים דרך פרוקסי אינטרנט, שער דוא"ל, API לסנכרון בענן או USB . זוהי שאלה של היקף, ולא פגם במוצר.
תקן PCI DSS 4.0.1 עונה באופן חד-משמעי על שאלה זו בנוגע להיקף. התקן מתאר את "משטח האיום" כערוצים שדרכם נכנסים קבצים לרשת. Endpoint מאבטחת את מה שכבר נמצא בתוך סביבת הנתונים המרכזית (CDE). אבטחת קבצים מאבטחת את המעבר.
הפער אינו תיאורטי. תוקף שמעביר מטען זדוני באמצעות קובץ מצורף לדוא"ל פישינג שנסרק רק על ידי שער בעל מנוע יחיד, או באמצעות תלות זדונית בחבילת תוכנה שסופקה על ידי ספק, או באמצעות USB שחובר במהלך חלון תחזוקה — אף אחת מהדרכים הללו אינה נוגעת בסוכן הקצה עד שיהיה מאוחר מדי. אלה הם הערוצים שהתקן מבקש מכם לסגור.
כיצד נראית אבטחת קבצים מלאה בהתאם לתקן PCI DSS 4.0.1?
לארגונים שעברו בהצלחה ביקורות 4.0.1 בנושא אבטחת קבצים יש ארכיטקטורה משותפת: בדיקה בכל נקודת קליטה, עם מספר שכבות הגנה.
משמעות הדבר היא סריקה רב-מנועית ברמת השער. בדיקת קבצים באמצעות מספר מנועי אנטי-וירוס בו-זמנית מגדילה באופן דרמטי את שיעורי הזיהוי ומספקת את עומק הכיסוי הנדרש על פי הניסוח "כל הסוגים" שבסטנדרט. משמעות הדבר היא טיהור קבצים המנטרל את מה שאנטי-וירוס אינו מסוגל לזהות: טכנולוגיית Deep CDR™ משחזרת קבצים לפורמטים בטוחים ושימושיים על ידי הסרת תוכן שעלול להיות זדוני, כולל פרצות "יום אפס" שטרם קוטלגו. זה אומר הערכת פגיעות ברמת הקובץ מול CVEs ידועים עבור חבילות תוכנה וקבצים בינאריים, לפני שהם מגיעים למערכות הייצור. וזה אומר רישום מרכזי בכל הערוצים, ולא רק טלמטריה של נקודות קצה, כך שניתן יהיה לעמוד בפועל בדרישות הביקורת של דרישה 11.
MetaDefender™ היא פלטפורמת אבטחת הקבצים OPSWAT, שנועדה לסרוק, לנקות ולהעריך קבצים בכל ערוצי הקליטה לפני שהם מגיעים ל-CDE.
כפי שמצוין במדריך התאימות OPSWAT: "OPSWAT MetaDefender כמה מהיכולות החזקות ביותר בתעשייה לעמידה בדרישה 5. Multiscanning Metascan™ Multiscanning למעלה מ-30 מנועי אנטי-וירוס מסחריים כדי לאתר תוכנות זדוניות ידועות בדיוק יוצא דופן, בעוד שטכנולוגיית Deep CDR™ מנטרלת באופן יזום איומים מסוג 'יום אפס' ואיומים מוטמעים באמצעות שחזור קבצים לפורמטים בטוחים ושימושיים."
הפער קיים לא משום שצוותי האבטחה לא הקדישו לכך תשומת לב, אלא משום שתקן PCI DSS 4.0.1 דורש היקף רחב יותר. הצוותים שמסירים את הפער לפני הביקורת אינם עושים יותר ממה שהתקן דורש. הם פשוט מבצעים את כל הדרישות.
הצעדים הבאים
האם אתם מוכנים לבחון את הכיסוי הנוכחי שלכם אל מול כל הדרישות של גרסה 4.0.1?
הורד את מדריך ההתאמה לתקן PCI DSS + רשימת הבדיקה למתחילים ב-PCI DSS כדי למפות את אמצעי הבקרה הקיימים שלכם מול כל אחד משבעת ערוצי קליטת הקבצים ולזהות היכן קיימים פערים.
שאלות נפוצות
האם הגנה על נקודת קצה אחת מספיקה לצורך עמידה בתקן PCI DSS 4.0.1?
לא. תקן PCI DSS 4.0.1 מרחיב את ההגנה מפני תוכנות זדוניות לכל ערוץ שדרכו נכנסים קבצים לסביבת הנתונים המרכזית (CDE). הגנה מסורתית על נקודות קצה מאבטחת את המכשירים, אך אינה בודקת קבצים העוברים דרך פרוקסי אינטרנט, שערי דואר אלקטרוני, סנכרון בענן או מדיה נשלפת. OPSWAT MetaDefender משתלב עם טכנולוגיות רב-שכבתיות כדי לגשר על פער זה.
האם תקן PCI DSS מחייב סריקה לאיתור תוכנות זדוניות במדיות נשלפות?
כן. כאשר מדיה נשלפת מוכנסת, מחוברת או מותקנת באופן לוגי, דרישה 5.3.3 מחייבת ביצוע סריקות אוטומטיות או ניתוח התנהגותי רציף של מערכות או תהליכים. מדיניות סריקה ידנית אינה עומדת בדרישה זו.
מהם ערוצי קליטת הקבציםהקשורים לתקן PCI DSS 4.0.1?
תעבורת אינטרנט, דואר אלקטרוני וקבצים מצורפים, אחסון בענן, העברת קבצים מנוהלת, אמצעי אחסון נשלפים, תלות בתוכנה ונקודות קצה.
האם תקן PCI DSS 4.0.1 מטפל בסיכונים הקשורים לשרשרת האספקה של תוכנה?
כן. דרישה 6.3.2 קובעת כי יש לפתח תוכנה מותאמת אישית ותוכנה בהזמנה באופן מאובטח, לזהות ולטפל בפגיעויות אבטחה, ולנהל רשימת מלאי של רכיבי תוכנה של צד שלישי כדי להקל על ניהול הפגיעויות והתיקונים.
מהו סביבת נתוני מחזיקי הכרטיסים (CDE)?
ה-CDE כולל את האנשים, התהליכים והטכנולוגיה המשמשים לאחסון, לעיבוד או להעברת נתוני מחזיקי כרטיסים, וכן כל המערכות המחוברות אליו. אמצעי אבטחת הקבצים של תקן PCI DSS חלים על קבצים הנכנסים אליו, המועברים בתוכו ויוצאים ממנו.
