透過資料二極體傳送日誌、警示與遙測資料

了解詳情
我們利用人工智慧進行網站翻譯,雖然我們力求準確性,但它們可能並不總是 100% 精確。感謝您的理解。

How Deep CDR™ 技術與 Metascan™Multiscanning PCI DSS 安全要求

作者: OPSWAT 發布
分享此文章

某支付處理商的安全團隊將一個 PDF 附件標記為待審查項目。該附件來自已知供應商,經掃描後未在防毒資料庫的任何簽名中被偵測到異常,因此未經二次審查便直接送至財務部門的收件匣。該 PDF 檔案內含一個專門設計用以規避偵測的有效載荷:沒有已知的簽名、沒有被標記的行為,更沒有任何防毒引擎曾受過訓練能偵測到的跡象。等到有人察覺時,該檔案早已完成其任務。

這並非假設性情境。嵌入式巨集、OLE 物件、PDF 文件中的 JavaScript,以及 Office 檔案中的混淆腳本,都是針對金融服務業攻擊的標準傳播途徑。而攻擊者偏好的檔案格式(PDF、Excel、Word),正是每天在支付環境中傳輸持卡人資料所使用的相同格式。 報告、對帳單、帳戶申請表以及供應商往來信函皆以檔案形式傳輸,這意味著上述每種格式,都可能成為入侵持卡人資料環境的潛在入口。

如果您已將 PCI DSS 4.0.1 的第 5 項要求標記為「已涵蓋」,理由是您的終端裝置已部署防毒軟體,那麼值得深入探討這項「涵蓋」實際上涵蓋了哪些內容。 防毒軟體與 EDR(Endpoint 與回應)是強大且不可或缺的工具。它們的運作也基於一個特定假設:必須先識別威脅,才能加以阻擋。本系列的第一篇部落格文章探討了 PCI DSS 4.0.1惡意軟體防護方面整體上如何提高標準。本文將更深入探討一個具體的漏洞:檔案型威脅如何透過設計上的漏洞繞過防毒軟體,以及在支付環境中該如何彌補此漏洞。

防毒軟體實際上做些什麼,以及它的局限何在

防毒軟體和 EDR 在其設計目的上表現出色:識別已經被確認的威脅。基於簽名的偵測會將檔案與已知惡意軟體資料庫進行比對;EDR 中的行為偵測則會監控是否出現與先前攻擊相符的模式。這兩種方法都仰賴於先前曾見過類似的情況。

這種依賴性同時也是其限制所在。零日攻擊載荷沒有可比對的簽名。透過混淆、加密或結構操縱等手段,專門設計用以規避靜態分析的檔案,能夠在未觸發任何警報的情況下通過檢查。攻擊者非常清楚基於偵測的工具如何運作,這正是為何當今如此多的攻擊面,都是圍繞著規避這些工具而非壓倒它們而建構的。 這絕不意味著防毒軟體和 EDR 表現不佳。這意味著它們被要求執行一項任務,而這項任務的本質就是無法涵蓋那些尚未被歸類的威脅。

持卡人資料環境中的檔案型威脅

這一點對 CDE(持卡人資料環境)而言尤為重要。持卡人資料並非僅透過網路通道傳輸,更會透過各類檔案進行傳輸,例如報告、對帳單、交易日誌以及與供應商的往來信件。當惡意檔案在未被偵測的情況下進入該環境時,其後果不僅僅是錯過惡意軟體警報,更是對 PCI DSS 要求組織必須加以管控的邊界防護的突破。 一個因有效載荷未被識別而通過防毒軟體檢測的檔案,在 CDE 內依然是攜帶該有效載荷的檔案。掃描結果並不會改變檔案中的內容。

Deep CDR™ 技術的運作方式則截然不同

Deep CDR™ 技術並非僅詢問檔案是否具有惡意,而是預設任何檔案都可能具有惡意,並據此加以處理。 此流程會將檔案拆解為其組成部分,移除任何可能攜帶可執行內容或活躍威脅的元件(例如巨集、嵌入式腳本、OLE 物件),並以原始格式重建一個乾淨且功能完整的版本。此重建過程亦會以遞迴方式進行:無論是嵌套在另一個壓縮檔內的壓縮檔,或是內含自身嵌入檔案的文件,都會在每一層級(而不僅是最外層)進行淨化處理。瞭解 Deep CDR™ 技術的效能表現。

兩者的區別在於運作機制,而非行銷手法。基於偵測的工具試圖識別威脅;而 Deep CDR™ 技術則會移除威脅運作所需的要素,無論該威脅是否已被識別。零日漏洞與已知惡意軟體都會受到相同的處理,因為該工具並非試圖辨識其中任何一種,而是徹底移除其傳播機制。 處理後的檔案在開啟、顯示及運作方式上均與原始檔案無異,唯獨移除了可能攜帶活躍威脅的組件。獨立測試結果亦佐證了這一點:Deep CDR™ 技術是首個在 SE Labs 的「獨立 CDR 測試」中,同時達成 100% 防護率與 100% 準確率的 CDR 解決方案。

就 PCI DSS 而言,關鍵在於這對「要求 5——保護所有系統免受惡意軟體侵害,並定期更新防毒軟體或程式」有何影響:這項控制措施旨在應對一類特定威脅,而基於簽名的偵測技術在結構上根本無法攔截此類威脅,且該措施應在檔案進入環境的當下即刻實施,而非事後補救。

MetascanMultiscanning Deep CDR™ 技術如何對應 PCI DSS 4.0.1 規範

PCI DSS 4.0.1 並非僅要求某一種惡意軟體防控措施,而是要求建立多層次防護機制,以應對已知與未知的威脅。單一工具無論在特定任務上表現多麼出色,單憑自身都無法滿足此要求。正因如此,將偵測與防範相結合,才成為符合特定要求的關鍵所在。

要求 1:安裝並維護網路安全控制措施

要求 1 的存在,旨在防止同時接觸未受信任網路與 CDE 的裝置所帶來的風險擴散至 CDE 內部。Multiscanning Deep CDR™ 技術能直接支援此目標:透過在網路流量、電子郵件、終端裝置及可移除媒體上實施分層式反惡意軟體防護,可同時封鎖多個入侵入口;而結合多重掃描與 CDR 技術,則能確保穿越未受信任網路與 CDE 邊界的檔案及資料,無論透過何種通道傳輸,皆能以已淨化且不含惡意內容的狀態抵達。

要求 5:保護所有系統和網路免受惡意Software的侵害

在需求層面上,MetascanMultiscanning 30 多種防毒引擎)與 Deep CDR™ 技術(可將檔案重建為安全格式,以中和零日威脅與嵌入式威脅)是兩項能端到端滿足此需求的關鍵功能。 這兩項技術共同涵蓋了反惡意軟體要求的兩個面向:針對 5.2/5.2.1 版本的「進階檔案傳播威脅偵測」,其中每個檔案Multiscanning 被允許進入受保護環境Multiscanning 都會先透過 Deep CDR™ 技術與 MetascanMultiscanning 進行處理; 針對 5.3.2 的分層掃描,其中多重掃描、沙箱分析以及內容解除武裝與重建是建議的輔助控制措施;以及針對 5.4 的附件型釣魚偵測,在此情境下MetaDefender Email Security MetascanMultiscanning 沙箱分析Multiscanning 惡意附件送達使用者之前即予以攔截。

  • 要求 5.2(惡意軟體防範與偵測)。這正是這兩項技術發揮各自獨特且互補作用之處。MetascanMultiscanning會將檔案送經三十多個商用防毒引擎進行掃描,使已知威脅的偵測深度達到單一引擎無法獨立達成的水準——而且由於這些引擎將簽名技術與啟發式分析及機器學習相結合,Metascan 也能攔截相當比例的未知惡意軟體,使其針對已知與未知威脅的綜合偵測率達到 99.2%。 Deep CDR™ 技術則負責處理掃描未能偵測到的極少數威脅,並防範零日漏洞攻擊。兩者結合,既能攔截已知威脅,又能讓僅靠掃描可能漏網的威脅在造成問題之前,便失去其傳播途徑。
  • 要求 5.3.2(即時或定期掃描)。Deep CDR™ 技術在資料導入點進行線上處理。每個檔案皆在進入環境時立即進行處理,而非透過排程掃描。此舉能同時滿足對網頁流量、電子郵件及檔案傳輸通道的即時檢查需求,而非仰賴定期掃描來攔截期間漏網的內容。
  • 要求 5.4(反釣魚機制)。MetaDefender Security™結合 MetascanMultiscanning 分析Multiscanning ,能在惡意或可疑附件抵達收件匣之前即予以攔截;而MetaDefender 則在受控環境中對可疑附件進行動態分析,以攔截能規避基於簽名的掃描的零日攻擊或經混淆處理的有效載荷。MetaDefender 將此可視性延伸至網路層,標記與網路釣魚活動相關的可疑連線及有效載荷傳輸。

要求 6:開發與維護Secure 與Software

要求 6.3(漏洞識別)。攜帶針對已知軟體漏洞的攻擊程式碼的檔案,屬於檔案層級的風險,而不僅僅是網路層級的風險。由於 Deep CDR™ 技術會在檔案抵達使用者或系統之前,先移除攻擊程式碼的傳遞機制,因此能在風險原本可能入侵的點上加以化解,且與底層漏洞是否已修補無關。

想知道這與您自身的 PCI DSS 適用範圍有何對應關係嗎? 請下載《PCI DSS 合規指南》 ,深入了解 MetascanMultiscanning Deep CDR™ 技術在哪些方面能發揮作用。

Multiscanning CDR 在技術堆疊中的定位

這種分層式方法的價值取決於其部署的位置。若僅在終端點提供防護,則檔案傳輸過程中的其餘環節將處於無保護狀態;而且,持卡人資料穿越 CDE 邊界的通道數量,遠比多數合規矩陣所考量到的還要多。對於支付環境而言,最具價值的環節正是檔案經常穿越該邊界的點。

  • Web 應用程式安全性:接收持卡人資料的應用程式,也是惡意檔案和零日威脅透過上傳或基於檔案的互動,進入 CDE 的途徑之一。
  • 電子郵件閘道:附件會在傳送前經過淨化處理,藉此消除被用作攻擊工具的 Office 文件及惡意 PDF 檔案——這些正是金融服務業中針對性釣魚攻擊最常見的傳送格式。
  • 網頁代理ICAP:系統會即時檢查 HTTP 和 HTTPS 流量,並在從網際網路下載的檔案傳輸至內部系統之前,先對其進行重建。
  • 可移除媒體:來自USB 檔案在進入 CDE 之前,會於自助服務機上進行徹底清除。此舉直接符合要求 5.3.3,並將可移除媒體作為攻擊途徑的風險徹底消除。
  • 受管檔案傳輸:與合作夥伴及供應商交換的檔案,會在傳輸過程中進行資料清除,而不僅是在接收端進行。

OPSWAT MetaDefender™ 平台在這些環節中一致地應用 MetascanMultiscanning Deep CDR™ 技術,並結合 Proactive DLP™ 技術及其他功能,因此防護範圍不會因檔案恰好透過哪個通道傳入而有所不同。 此外,檢測範圍也不受檔案格式限制:Deep CDR™ 技術涵蓋超過 200 種檔案類型,從在支付工作流程中佔主導地位的 PDF、試算表和 Word 文件,到實際上會跨越 CDE 邊界的圖像、壓縮檔及其他格式皆包含在內。

無論是已知的還是新出現的,結果都是一樣的

請回到本文開頭提到的那份 PDF 檔案。其中沒有任何部分是假設性的,也沒有任何部分需要任何人操作失當。供應商是合法的,掃描結果顯示無異常,且檔案也完全依照預期交付。這正是「要求 5」旨在防止的情境,同時也是僅憑防毒軟體建立的映射無法完全涵蓋的情境。

Deep CDR™ 技術會剔除可能具有危險性的組件後重建檔案,因此根本無需去探討該有效載荷究竟是已知還是新型威脅。MetascanMultiscanning 針對任何攜帶簽名的檔案Multiscanning 類似處理。憑藉這兩項技術的協同作用,進入財務收件匣的檔案要麼是已被攔截的威脅,要麼是已失去運作所需組件的威脅——絕不會是那種單純尚未被識別出的威脅。

重點摘要

  • 付款資料會流經各類商業文件——例如報告、對帳單、與供應商的往來信函——而這些文件並不在網路安全審查的範圍內。
  • 防護範圍涵蓋已知與未知威脅:30 多種防毒引擎可偵測已知惡意軟體,而 Deep CDR™ 技術則能移除零日攻擊所需的執行元件,無需事先識別威脅。
  • 此舉符合特定的 PCI DSS 要求(5.2、5.3.2、5.4、1.5/1.5.1、11.5/11.5.1),並透過集中式記錄功能,確保在評估人員進行檢查時,能顯示該控制措施正在運作。

想確切了解 Deep CDR™ 技術Multiscanning 完整的 PCI DSS 4.0.1 要求集嗎?請下載《PCI DSS 合規指南與檢查清單》,以獲取逐項控制措施的詳細解析。

標籤:

隨時瞭解OPSWAT 的最新資訊!

立即註冊,即可收到公司的最新消息、 故事、活動資訊等。