OPSWAT 如何透過檔案安全協助達成 PCI DSS 合規性

要求 5、6 和 11 是檔案安全性對合規性影響最直接的方面。這些方面也是金融服務環境中常見的保障缺口所在。

要求 5 規定，組織必須部署並維護全面的防惡意軟體解決方案，以防止、偵測及處理 CDE 內所有系統中的惡意軟體。這包括建立主動且最新的防禦機制、進行即時或定期掃描，以及實施反釣魚機制。其適用範圍涵蓋網頁與電子郵件閘道、雲端儲存、終端裝置及可移除儲存媒體。

OPSWAT 如何OPSWAT 保護系統與網路免受惡意Software侵害

OPSWAT Metascan™Multiscanning技術運用 30 多種商用反惡意軟體引擎，以卓越的準確度偵測已知惡意軟體；而Deep CDR™ 技術則透過將檔案重建為安全且可用的格式，主動消除零日攻擊及內嵌式威脅。

• MetaDefender 針對所有主要檔案導入管道，提供多層次的深度內容檢查。

• MetaDefender 先進沙箱技術能偵測出基於簽名的偵測機制所漏網的隱蔽型或無檔案型惡意軟體。

• MetaDefender 與MetaDefender 能在USB 裝置插入的瞬間即確保USB 。

• MetaDefender Security™會在郵件送達前，阻擋釣魚附件及可疑內容。

• MetaDefender ICAP 會掃描 HTTP/S 流量，在惡意檔案傳輸至內部系統之前，即刻偵測並攔截這些檔案

• My Central Management可將整個部署環境中的日誌記錄、引擎更新及合規性可視化集中管理。

要求 6 確保 CDE 內的所有系統和軟體在其整個生命週期中均能以安全的方式進行開發、維護及保護。 PCI DSS 4.0.1 著重於兩大目標：防止安全漏洞遭惡用，以及降低因自訂或第三方軟體所引入的風險。要求 6.3.2 特別規定須針對這些元件建立並維護清單，以進行漏洞管理。這意味著須及時套用修補程式、採用安全的Software 生命週期（SDLC）實務，並維護安全的程式碼儲存庫。

OPSWAT 如何OPSWAT Secure 與Software 開發與維護

MetaDefender 透過在軟體元件和檔案套件進入生產環境前MetaDefender 深入的可視性，MetaDefender 第 6 項要求。

• 多引擎檔案漏洞評估功能可偵測二進位檔、安裝程式及依賴項中的已知 CVE（通用漏洞與暴露）條目，確保僅有經過安全評估的元件能進入環境。

• MetaDefender Core MetaDefender ICAP Server Web 應用程式的檔案安全，並對來自外部或不可信來源的內容進行流量檢查。

• MetaDefender Software Chain™透過分析第三方函式庫、掃描程式碼產出物以偵測惡意或存在漏洞的元件，並產生 SBOM（Software 物料Software ）輸出，從而強化開發工作流程，並提升依賴項的透明度。

檔案安全性是要求 5、6 和 11 的核心，但MetaDefender涵蓋範圍還延伸至該標準的其他幾個領域。以下是它的貢獻所在。

要求 1 規定必須建立並維護網路安全控制措施，包括防火牆、路由器及邊界防護裝置，以保障 CDE 的安全。這包括實施網路分段、設定政策，以及記錄資料流。

實體存取控制可在網路層級保障邊界安全，但檔案會不斷在內容層級跨越該邊界，而這正是MetaDefender 控制措施發揮作用之處。

OPSWAT 如何OPSWAT 維護網路安全控制措施

OPSWAT 透過在網路各關鍵控制點新增基於內容的威脅防禦機制OPSWAT 「要求 1」的實施效果。

• MetaDefender 會檢查、清理並驗證透過電子郵件、網頁、儲存裝置、可移除媒體及終端裝置等管道傳輸的檔案，即使網路控制機制允許該流量通過，仍能在內容層面降低風險。

• MetascanMultiscanning、Deep CDR™ 技術以及Proactive DLP 相互協作，防止惡意內容進入或在分段環境中傳播。

要求 2 確保所有系統元件（包括伺服器、應用程式及網路設備）均已進行安全配置，並持續進行一致性維護。這包括移除不必要的服務、執行強化安全標準，以及驗證系統在長期運作中是否持續符合這些配置。

OPSWAT 如何OPSWAT 系統元件Secure

MetaDefender 透過在檔案、軟體套件及安裝程式進入生產系統之前，先對其進行惡意軟體及已知漏洞的掃描MetaDefender 此項需求。它確保只有安全且經過驗證的元件，才能在不同信任等級的環境間傳輸。

• MetaDefender Endpoint 修補程式安裝與系統狀態驗證，而

• MetaDefender Software Supply Chain 第三方及開源元件中的漏洞。要求 8：識別使用者並驗證對系統元件的存取權限

要求 8 規定必須採用唯一的用戶識別機制及強效的認證控制措施（包括多因素認證（MFA）），以確保對 CDE 內系統存取的安全性。該要求規範了密碼標準、帳戶管理、身分驗證，以及防止憑證遭竊的防護措施。

OPSWAT 如何OPSWAT 使用者識別與存取驗證

MetaDefender 透過將MetaDefender IAM（身分與存取管理）供應商（例如 Active Directory 及 SSO（單一登入）平台）MetaDefender 要求 8，從而實現強式驗證與安全的行政存取權限。

• 主控台登入受 HTTPS 保護，而My OPSWAT Central Management 本機管理員帳戶的驗證政策。

• Proactive DLP 亦能偵測掃描檔案中外洩的憑證。

要求 9 著重於對儲存或處理持卡人資料的系統、裝置及媒體實施嚴格的實體安全管控。其內容包含限制實體存取、管理訪客、追蹤敏感媒體，以及確保以實體形式存在的持卡人資料能被安全處理與銷毀等管控措施。

可移除媒體是少數幾種能同時繞過網路分段與傳統邊界控制的實體攻擊途徑之一。這正是「要求 9」與MetaDefender 之間的具體交集點。

OPSWAT 如何 OPSWAT Secure 持卡人資料的Secure 存取Secure

要實體存取網路，並不一定需要網路連線。可移除式儲存媒體是支付環境中（包括物理隔離系統）最直接的實體攻擊途徑之一。

• MetaDefender Kiosk MetaDefender Endpoint 會在檔案進入或離開安全網路之前，對USB Endpoint 與淨化，以防止惡意軟體透過實體媒體傳播。

• 「My OPSWAT Central Management 」中的集中式政策控制Central Management 一致的執行。實體存取控制本身仍屬組織的責任，但MetaDefender 能在實體邊界處MetaDefender 檔案層的安全。

要求 10 規定必須實施全面的記錄與監控機制，以追蹤所有對系統的存取、持卡人資料以及與安全相關的事件。完整的稽核日誌有助於進行鑑識分析、落實使用者問責制，並能迅速偵測可疑活動。

OPSWAT 如何OPSWAT 持卡人資料環境中的日誌記錄與監控

MetaDefender 透過在其各模組中針對惡意軟體掃描活動、管理操作、威脅偵測及引擎更新生成詳細日誌，MetaDefender 要求 10。

• My OPSWAT Central Management 這些資訊Central Management ，並與 SIEM（安全資訊與事件管理）平台整合，以實現更廣泛的關聯分析與長期保存。

• MetaDefender 取代作業系統層級或網路層級的記錄系統，但它能提供可靠的可視性，讓您掌握整個部署環境中基於檔案的威脅以及MetaDefender 運作狀況。