Envio de registos, alertas e telemetria através de um diodo de dados

Descubra como
Utilizamos inteligência artificial para as traduções dos sítios e, embora nos esforcemos por garantir a exatidão, estas podem nem sempre ser 100% precisas. Agradecemos a sua compreensão.

Como a tecnologia Deep CDR™ e Multiscanning Metascan™ Multiscanning os requisitos de segurança da norma PCI DSS

Por OPSWAT
Partilhar esta publicação

A equipa de segurança de um processador de pagamentos assinala um anexo em PDF para revisão. O ficheiro provém de um fornecedor conhecido, não apresenta qualquer problema ao ser analisado em relação a todas as assinaturas da base de dados do antivírus e é enviado para a caixa de entrada do departamento financeiro sem ser alvo de uma segunda análise. No interior desse PDF encontra-se um código malicioso concebido especificamente para evitar a deteção: sem assinaturas conhecidas, sem comportamentos suspeitos, nada que o motor antivírus tenha sido treinado para detetar. Quando alguém se apercebe, o ficheiro já cumpriu o seu objetivo.

Isto não é hipotético. Macros incorporadas, objetos OLE, JavaScript dentro de ficheiros PDF e scripts ofuscados em ficheiros do Office são vetores de ataque comuns em ataques contra serviços financeiros. E os formatos de ficheiro preferidos pelos atacantes (PDF, Excel, Word) são os mesmos formatos que transportam diariamente os dados dos titulares de cartões num ambiente de pagamentos. Relatórios, extratos, pedidos de abertura de conta e correspondência com fornecedores são todos transmitidos sob a forma de ficheiros, o que significa que cada um desses formatos é também um potencial ponto de entrada no ambiente de dados dos titulares de cartões.

Se classificou o Requisito 5 da norma PCI DSS 4.0.1 como «coberto» porque tem um antivírus implementado em todos os seus terminais, vale a pena questionar o que essa cobertura realmente abrange. O antivírus e o EDR (Endpoint e RespostaEndpoint ) são ferramentas poderosas e necessárias. Também se baseiam num pressuposto específico: que uma ameaça tem de ser reconhecida para ser travada. O nosso primeiro artigo desta série analisou em que aspetos a norma PCI DSS 4.0.1 eleva o nível de exigência em matéria de proteção contra malware em geral. Este artigo aprofunda ainda mais uma lacuna específica: como é que as ameaças veiculadas por ficheiros conseguem contornar o antivírus por natureza e o que permite colmatar essa lacuna num ambiente de pagamentos.

O que um antivírus faz realmente e até onde vai a sua proteção

Os antivírus e os sistemas EDR são eficazes naquilo para que foram concebidos: reconhecer ameaças que já foram identificadas. A deteção baseada em assinaturas compara um ficheiro com uma base de dados de malware conhecido. A deteção comportamental nos sistemas EDR procura padrões consistentes com ataques anteriores. Ambas as abordagens dependem de já terem encontrado algo semelhante anteriormente.

Essa dependência é também a limitação. Uma carga útil de «zero-day» não tem qualquer assinatura com que se possa comparar. Um ficheiro concebido para contornar a análise estática, através de ofuscação, encriptação ou manipulação estrutural, pode passar pela inspeção sem desencadear um único alerta. Os atacantes sabem exatamente como funcionam as ferramentas baseadas na deteção, razão pela qual grande parte da superfície de ataque moderna se baseia em contorná-las, em vez de as superar. Nada disto significa que os antivírus e os EDR estejam a fazer mal o seu trabalho. Significa que lhes está a ser pedido que façam um trabalho que, por definição, não pode abranger ameaças que ainda ninguém catalogou.

Ameaças relacionadas com ficheiros no ambiente de dados dos titulares de cartões

Isto é particularmente importante no que diz respeito ao CDE (ambiente de dados do titular do cartão). Os dados do titular do cartão não circulam apenas através dos canais de rede. Circulam através de ficheiros: relatórios, extratos, registos de transações, correspondência com fornecedores. Quando um ficheiro malicioso entra nesse ambiente sem ser detetado, o resultado não é apenas um alerta de malware não detetado. Trata-se de uma violação da barreira de segurança que a norma PCI DSS exige que as organizações controlem. Um ficheiro que passa pelo antivírus porque a sua carga útil não é reconhecida continua a ser um ficheiro dentro do CDE que transporta essa carga útil. O resultado da verificação não altera o conteúdo do ficheiro.

O que a tecnologia Deep CDR™ faz, em vez disso

Em vez de questionar se um ficheiro é malicioso, a tecnologia Deep CDR™ parte do princípio de que qualquer ficheiro pode sê-lo e trata-o em conformidade. O processo decompõe um ficheiro nas suas partes constituintes, remove tudo o que possa conter conteúdo executável ou ameaças ativas (macros, scripts incorporados, objetos OLE) e reconstrói uma versão limpa e totalmente funcional no formato original. Essa reconstrução também decorre de forma recursiva: um arquivo aninhado dentro de outro arquivo, ou um documento com um ficheiro incorporado, é limpo em todas as camadas, e não apenas na camada mais externa. Saiba mais sobre o desempenho da tecnologia Deep CDR™.

A diferença reside no mecanismo, não no marketing. As ferramentas baseadas na deteção tentam identificar a ameaça. A tecnologia Deep CDR™ remove o que a ameaça necessitaria para funcionar, independentemente de já ter sido identificada ou não. Uma exploração de dia zero e um malware conhecido recebem o mesmo tratamento, porque a ferramenta não tenta reconhecer nenhum dos dois. Remove, sim, o mecanismo de propagação na totalidade. O resultado é um ficheiro que se abre, é apresentado e funciona tal como o original, sem os componentes que poderiam conter uma ameaça ativa. Testes independentes confirmam isso: a tecnologia Deep CDR™ foi a primeira solução CDR a atingir 100% de proteção e precisão no teste Standalone CDR da SE Labs.

Para efeitos da norma PCI DSS, o que importa é o que isto significa para o Requisito 5— Proteger todos os sistemas contra malware e atualizar regularmente o software ou programas antivírus: um controlo que aborda a classe específica de ameaças que a deteção baseada em assinaturas é estruturalmente incapaz de detetar, aplicado no momento em que um ficheiro entra no ambiente, em vez de ser aplicado a posteriori.

Como a tecnologia Metascan Multiscanning Deep CDR™ se enquadram na norma PCI DSS 4.0.1

A norma PCI DSS 4.0.1 não exige um único tipo de controlo de malware. Exige uma cobertura em camadas que aborde tanto as ameaças conhecidas como as desconhecidas. Uma única ferramenta, por melhor que seja no desempenho da sua função específica, não consegue, por si só, satisfazer esse requisito. É aí que a combinação da deteção com a prevenção se torna relevante para os requisitos específicos.

Requisito 1: Instalar e manter controlos de segurança de rede

O requisito 1 existe para impedir que o risco proveniente de dispositivos que acedem tanto a redes não confiáveis como ao CDE se propague para este último. A tecnologia Multiscanning Deep CDR™ apoiam diretamente esse objetivo: a cobertura antimalware em camadas no tráfego de rede, e-mail, terminais e suportes removíveis bloqueia vários pontos de entrada ao mesmo tempo, enquanto a combinação de multiscanning e CDR garante que os ficheiros e dados que atravessam a fronteira entre redes não confiáveis e o CDE cheguem limpos e isentos de conteúdo malicioso, independentemente do canal por que tenham passado.

Requisito 5: Proteger todos os sistemas e redes contra Software malicioso

Ao nível dos requisitos, o Metascan Multiscanning mais de 30 motores antivírus) e a tecnologia Deep CDR™ (que reconstrói ficheiros em formatos seguros para neutralizar ameaças de dia zero e ameaças incorporadas) são as duas principais funcionalidades que cumprem este requisito de ponta a ponta. Em conjunto, cobrem ambas as vertentes do requisito antimalware: Detecção Avançada de Ameaças Transmitidas por Ficheiros para as versões 5.2/5.2.1, em que cada ficheiro é processado através da Tecnologia Deep CDR™ e Multiscanning Metascan Multiscanning ser autorizado a entrar num ambiente protegido; a verificação em camadas para a versão 5.3.2, em que a verificação múltipla, o sandboxing e a neutralização e reconstrução de conteúdos são os controlos de apoio recomendados; e a deteção de phishing baseada em anexos para a versão 5.4, em que MetaDefender Email Security Multiscanning Metascan Multiscanning a análise em sandbox para detetar anexos maliciosos antes de estes chegarem ao utilizador.

  • Requisito 5.2 (prevenção e deteção de malware). É aqui que as duas tecnologias desempenham funções distintas e complementares. O Metascan Multiscanning analisa os ficheiros através de mais de trinta motores antivírus comerciais, conferindo à deteção de ameaças conhecidas uma profundidade que nenhum motor isolado consegue igualar — e, como esses motores combinam assinaturas com heurística e aprendizagem automática, o Metascan também deteta uma percentagem significativa de malware desconhecido, elevando a sua taxa de deteção global para 99,2% das ameaças conhecidas e desconhecidas combinadas. A tecnologia Deep CDR™ lida com a pequena fração de ameaças que a verificação não deteta e previne explorações de dia zero. Em conjunto, as ameaças conhecidas são detetadas e as ameaças que a verificação por si só deixaria passar perdem o seu mecanismo de entrega antes mesmo de se tornarem um problema.
  • Requisito 5.3.2 (análise em tempo real ou periódica). A tecnologia Deep CDR™ funciona em linha, no ponto de entrada dos dados. Cada ficheiro é processado à medida que entra no ambiente, e não numa verificação programada. Isto satisfaz a expectativa de inspeção em tempo real no tráfego da Web, no e-mail e nos canais de transferência de ficheiros simultaneamente, em vez de depender de análises periódicas para detetar o que passou despercebido entretanto.
  • Requisito 5.4 (mecanismos anti-phishing).MetaDefender Security™ combina a tecnologia Metascan Multiscanning a análise em sandbox para detetar anexos maliciosos ou suspeitos antes de estes chegarem à caixa de entrada, enquanto MetaDefender acrescenta uma análise dinâmica de anexos suspeitos num ambiente controlado para detetar cargas úteis de dia zero ou ofuscadas que escapam à verificação baseada em assinaturas. MetaDefender alarga essa visibilidade à camada de rede, sinalizando ligações suspeitas e a entrega de cargas úteis associadas a campanhas de phishing.

Requisito 6: Desenvolver e manter Secure e Software Secure

Requisito 6.3 (identificação de vulnerabilidades). Os ficheiros que contêm exploits direcionados para vulnerabilidades conhecidas de software representam um risco ao nível do ficheiro, e não apenas ao nível da rede. Uma vez que a tecnologia Deep CDR™ elimina o mecanismo de entrega do exploit antes de um ficheiro chegar a um utilizador ou sistema, esta tecnologia aborda este risco no ponto em que, de outra forma, este entraria, independentemente de a vulnerabilidade subjacente já ter sido corrigida ou não.

Está curioso para saber como isto se enquadra no seu próprio âmbito de aplicação da norma PCI DSS? Obtenha o Guia de Conformidade com a PCI DSS para saber mais detalhadamente onde as tecnologias Metascan Multiscanning Deep CDR™ se enquadram.

O lugar do Multiscanning do CDR na pilha

O valor desta abordagem em camadas depende do local onde é implementada. Uma cobertura que existe apenas no terminal deixa o resto do percurso do ficheiro desprotegido, e os dados dos titulares de cartões atravessam a fronteira do CDE através de mais canais do que aqueles que a maioria das matrizes de conformidade tem em conta. Num ambiente de pagamentos, os pontos de maior valor são aqueles em que os ficheiros atravessam rotineiramente essa fronteira.

  • Segurança das aplicações web: As aplicações que recebem dados dos titulares de cartões constituem também uma via de entrada de ficheiros maliciosos e ameaças de dia zero no CDE, através de uploads ou interações baseadas em ficheiros.
  • Gateway de e-mail: os anexos são verificados antes do envio, o que elimina documentos do Office utilizados como armas e ficheiros PDF maliciosos, o formato de envio mais comum em ataques de spearphishing no setor dos serviços financeiros.
  • Proxy Web / ICAP: O tráfego HTTP e HTTPS é inspecionado em tempo real e os ficheiros descarregados da Internet são reconstruídos antes de chegarem aos sistemas internos.
  • Suportes removíveis: Os ficheiros provenientes de USB são limpos no quiosque antes de entrarem no CDE. Isto cumpre diretamente o Requisito 5.3.3 e elimina os suportes removíveis como vetor de ataque.
  • Transferência de ficheiros gerida: os ficheiros trocados com parceiros e fornecedores são limpos durante a transmissão, e não apenas no momento da receção.

A plataforma MetaDefender™OPSWAT aplica a tecnologia Metascan Multiscanning a Deep CDR™ de forma consistente em todos estes pontos, juntamente com a tecnologia Proactive DLP™ e outras funcionalidades, pelo que a cobertura não depende do canal por onde o ficheiro venha a passar. Também não depende do formato em que o ficheiro chega: a tecnologia Deep CDR™ abrange mais de 200 tipos de ficheiros, desde os PDFs, folhas de cálculo e documentos do Word que dominam os fluxos de trabalho de pagamentos até às imagens, arquivos e outros formatos que, na prática, atravessam os limites do CDE.

Seja conhecido ou inédito, o resultado é o mesmo

Volte ao PDF apresentado no início deste artigo. Nada nele era hipotético, nem exigia uma má execução por parte de ninguém. O fornecedor era legítimo, a verificação não revelou qualquer problema e o ficheiro foi entregue exatamente como previsto. É esse o cenário que o Requisito 5 visa evitar, e é também o cenário que um mapeamento baseado apenas num antivírus não consegue abranger na totalidade.

A tecnologia Deep CDR™ reconstrói os ficheiros sem os componentes que possam ser perigosos, pelo que a questão de saber se a carga útil era conhecida ou nova nunca precisa de ser respondida. O Metascan Multiscanning o equivalente para tudo o que possua uma assinatura. Com estas duas tecnologias, um ficheiro que chegue à caixa de entrada do departamento financeiro é ou uma ameaça que foi detetada ou uma ameaça que perdeu as partes necessárias para funcionar — nunca uma ameaça que simplesmente ainda não tenha sido reconhecida.

Conclusões

  • Os dados de pagamento circulam através de ficheiros empresariais — relatórios, extratos, correspondência com fornecedores — que não são abrangidos por uma análise de segurança da rede.
  • A cobertura abrange tanto ameaças conhecidas como desconhecidas: mais de 30 motores antivírus detetam malware conhecido, e a tecnologia Deep CDR™ remove os componentes de que um ataque «zero-day» necessitaria para ser executado, sem ser necessário identificar primeiro a ameaça.
  • Isto está em conformidade com requisitos específicos da norma PCI DSS (5.2, 5.3.2, 5.4, 1.5/1.5.1, 11.5/11.5.1), com um registo centralizado que demonstra que o controlo está em funcionamento quando um avaliador o verifica.

Quer saber exatamente em que pontos a Tecnologia Deep CDR™ e Multiscanning ao conjunto completo de requisitos da norma PCI DSS 4.0.1? Descarregue o Guia de Conformidade e a Lista de Verificação da PCI DSS para obter uma análise detalhada, controlo a controlo.

Mantenha-se atualizado com OPSWAT!

Inscreva-se hoje para receber as últimas actualizações da empresa, histórias, informações sobre eventos e muito mais.