PCI DSS 4.0.1 檔案安全：為何Endpoint 仍不足夠

PCI DSS 4.0.1 將檔案安全視為一項多管道的規範。防惡意軟體的 防護範圍必須涵蓋網頁、電子郵件、雲端、受管檔案傳輸、可移除媒體及軟體依賴項，而不僅限於終端裝置。

單一終端防護位於所有其他通道的下游。當檔案抵達終端代理程式時，其前方的其他六個檢查點早已完成檢查，並已判定通過或失敗。

僅靠簽名偵測並不足以符合該標準。要求 5 規定必須涵蓋所有類型的惡意軟體，並能透過行為偵測來偵測零日威脅。

可移除媒體有明確的義務。要求 5.3.3 規定，可移除媒體在插入時必須進行自動掃描；手動掃描政策不符合此要求。

Software 屬於本規範的適用範圍。要求 6.3.2 規定，專屬及客製化軟體必須以安全的方式進行開發，並須維護第三方元件清單。

在深入探討各項管道之前，值得先根據規格書本身來闡明論點。

要求 5 清楚闡述了威脅面：「惡意軟體可能透過許多經企業核准的活動滲入網路，包括員工的電子郵件（例如透過網路釣魚）、使用網際網路、mobile 儲存裝置，進而導致系統漏洞遭利用。」這是支付環境中基於檔案的攻擊所採用的主要威脅模型。

該標準同時指出，僅靠簽名偵測並不足夠：「採用能應對所有類型惡意軟體的防惡意軟體解決方案，有助於保護系統免受當前及不斷演變的惡意軟體威脅。」關鍵詞句在於「所有類型」以及「當前及不斷演變」。僅能識別已知威脅的偵測機制，會留下該標準明確指出的防護漏洞。

要求 5.2.1 更進一步——其「良好實務」指引中指出，「實體應留意『零日』攻擊（即利用先前未知的漏洞所發動的攻擊），並考慮採用著重於行為特徵、能針對意外行為發出警示並採取應對措施的解決方案。」這正是該標準本身對行為偵測與啟發式偵測對於實現全面防護至關重要之認可。

要求 6 和 11 進一步擴大了適用範圍。要求 6.3.2 規定必須識別客製化及專用軟體中的安全漏洞，此舉直接針對軟體供應鏈風險。要求 11.3.1.2 則規定必須進行經身份驗證的內部掃描。這兩項要求共同確立了：在符合 PCI DSS 規範的環境中，檔案安全並非單一控制措施，而是貫穿整個架構所應遵循的一套規範。

這正是許多合規計畫尚未進行評估的缺口所在。

1. 網路流量：透過 HTTPS 從網路入口網站下載或上傳的檔案，在抵達任何終端點之前，都會先經過網路傳輸。
2. 電子郵件與附件：電子郵件仍是傳遞基於檔案的威脅最常見的途徑。附件掃描必須超越單純的簽名比對。壓縮檔、啟用巨集的文件，以及內嵌漏洞利用程式碼的檔案，都是為了規避此類掃描而設計的。
3. 本地與Cloud ：檔案會持續與 SharePoint、OneDrive、S3 及類似平台之間進行同步。
4. 受管檔案傳輸：供應商間的資料交換、合作夥伴的系統整合，以及客戶提交的檔案，都會產生各具特定風險特徵的入站檔案流量。
5. 可移除儲存媒體：要求 5.3.3 是該標準中較為具體的義務之一：防惡意軟體系統必須在可移除儲存媒體插入時自動進行掃描。USB 是支付環境中的活躍攻擊途徑，包括在物理隔離系統中，這類裝置往往是唯一的外部資料傳輸路徑。
6. Software 依賴項。要求 6.3.2 的存在，是因為第三方函式庫與嵌入式元件是 CDE 暴露的重要來源。若二進位檔所包含的依賴項中存在已知的 CVE（通用漏洞與暴露），便會帶來風險，而這種風險是基於簽名的惡意軟體偵測無法攔截的。這是一種等待被利用的漏洞，而非傳統意義上的惡意軟體。
7. 終端裝置。這是大多數團隊都已涵蓋的唯一管道。Endpoint 會掃描進入裝置、在裝置上執行或存留於裝置中的內容。這種防護固然必要，但它位於本清單中其他所有管道的下游。當檔案抵達終端裝置時，其餘六個檢查點早已完成檢查，並判定其通過或失敗。

EDR 和單一終端防毒軟體雖是極佳的工具，但其適用範圍在設計上有所限制。

Endpoint 透過監控裝置上的運作狀況來保護裝置：例如寫入磁碟的檔案、執行的程序，以及建立的網路連線。它們不會檢查透過網頁代理伺服器、電子郵件閘道、雲端同步API 或USB 傳輸的檔案。這屬於功能範圍的問題，而非產品缺陷。

PCI DSS 4.0.1 對此範圍問題給出了明確的解答。該標準將威脅面定義為所有檔案進入網路的通道。Endpoint 負責保護已位於 CDE 內的資料，而檔案安全則負責保障資料傳輸過程的安全。

這個漏洞並非僅存在於理論上。攻擊者若透過僅經單引擎閘道器掃描的釣魚附件、供應商提供的軟體套件中的惡意依賴項，或是於維護時段插入的USB 來傳遞有效載荷——這些途徑在為時已晚之前，都不會觸及端點代理程式。而這正是該標準要求您封堵的管道。

在檔案安全性方面通過 4.0.1 審計的組織，都採用相同的架構：在每個資料導入點進行檢查，並具備多層防禦機制。

這意味著在閘道層級進行多引擎掃描。同時將檔案送交多個防毒引擎檢測，能大幅提升偵測率，並滿足該標準中「所有類型」一詞所要求的覆蓋深度。這也意味著透過檔案淨化來消除防毒軟體無法偵測的威脅：Deep CDR™ 技術會剔除潛在惡意內容（包括尚未被歸檔的零日漏洞），將檔案重建為安全且可用的格式。 這意味著在軟體套件和二進位檔進入生產系統之前，針對已知的 CVE 進行檔案層級的漏洞評估。此外，這還意味著橫跨所有通道（而不僅限於端點遙測數據）的集中式日誌記錄，從而真正滿足第 11 項要求的稽核需求。

MetaDefender™ 是OPSWAT檔案安全平台，旨在於檔案進入 CDE 之前，對所有導入管道中的檔案進行掃描、淨化及評估。

正如OPSWAT合規指南所指出的：「OPSWAT MetaDefender 針對『要求 5』MetaDefender 業界最強大的功能之一。Metascan™Multiscanning 30 多種商用防毒引擎，以卓越的準確度偵測已知惡意軟體；而 Deep CDR™ 技術則透過將檔案重建為安全且可用的格式，主動中和零日攻擊及內嵌式威脅。」

這項漏洞的存在，並非因為資安團隊疏於留意，而是因為 PCI DSS 4.0.1 的要求範圍更廣。那些在稽核前彌補此漏洞的團隊，所做的並未超出標準的要求；他們只是將所有要求都落實了罷了。

您準備好根據 4.0.1 版的完整要求，評估您目前的保障範圍是否符合規定了嗎？

下載《PCI DSS 對應指南》＋《PCI DSS 入門檢查清單》 ，藉此將您現有的控制措施與七個檔案導入管道逐一對照，並找出存在哪些缺口。