Gửi nhật ký, cảnh báo và dữ liệu đo lường qua bộ Data Diode

Tìm hiểu cách thức
Chúng tôi sử dụng trí tuệ nhân tạo để dịch trang web và mặc dù chúng tôi luôn cố gắng đảm bảo độ chính xác, nhưng đôi khi bản dịch có thể không đạt độ chính xác tuyệt đối. Mong quý vị thông cảm.

Công nghệ How Deep CDR™ và Multiscanning Metascan™ Multiscanning các yêu cầu bảo mật của PCI DSS như thế nào

Qua OPSWAT
Chia sẻ bài viết này

Đội ngũ bảo mật của một nhà cung cấp dịch vụ thanh toán đã đánh dấu một tệp đính kèm PDF để kiểm tra. Tệp này đến từ một nhà cung cấp đã được xác minh, không phát hiện dấu hiệu bất thường khi quét qua mọi mẫu chữ ký trong cơ sở dữ liệu phần mềm diệt virus, và được chuyển thẳng vào hộp thư đến của bộ phận tài chính mà không qua kiểm tra thêm. Bên trong tệp PDF đó là một mã độc được thiết kế đặc biệt để tránh bị phát hiện: không có mẫu chữ ký nào được biết đến, không có hành vi đáng ngờ nào, và không có yếu tố nào mà công cụ diệt virus từng được huấn luyện để phát hiện. Đến khi ai đó nhận ra, tệp tin đã hoàn thành mục đích của nó.

Đây không phải là giả thuyết. Các macro nhúng, đối tượng OLE, JavaScript trong tệp PDF và các tập lệnh được mã hóa trong tệp Office là những phương tiện lây nhiễm tiêu chuẩn trong các cuộc tấn công nhắm vào các dịch vụ tài chính. Và các định dạng tệp mà kẻ tấn công ưa chuộng (PDF, Excel, Word) cũng chính là những định dạng được sử dụng hàng ngày để truyền tải dữ liệu chủ thẻ qua môi trường thanh toán. Các báo cáo, sao kê, đơn đăng ký tài khoản và thư từ với nhà cung cấp đều được truyền tải dưới dạng tệp tin, điều này có nghĩa là mỗi định dạng trong số đó cũng là một điểm xâm nhập tiềm ẩn vào môi trường dữ liệu chủ thẻ.

Nếu bạn đã đánh dấu Yêu cầu 5 của PCI DSS 4.0.1 là “đã đáp ứng” vì phần mềm diệt virus đã được triển khai trên các thiết bị đầu cuối của mình, thì bạn nên tự hỏi mức độ bảo vệ đó thực sự bao gồm những gì. Phần mềm chống vi-rút và EDR (Endpoint và Ứng phóEndpoint ) là những công cụ mạnh mẽ và cần thiết. Chúng cũng được xây dựng dựa trên một giả định cụ thể: mối đe dọa phải được nhận diện thì mới có thể bị ngăn chặn. Bài viết đầu tiên trong loạt bài này đã xem xét những điểm mà PCI DSS 4.0.1 nâng cao tiêu chuẩn về bảo vệ chống phần mềm độc hại nói chung. Bài viết này sẽ đi sâu hơn một bước vào một lỗ hổng cụ thể: cách các mối đe dọa lây lan qua tệp tin lách qua phần mềm chống vi-rút theo thiết kế, và điều gì có thể lấp đầy lỗ hổng đó trong môi trường thanh toán.

Phần mềm diệt virus thực sự làm gì, và giới hạn của nó ở đâu

Phần mềm diệt virus và EDR đều phát huy hiệu quả trong nhiệm vụ mà chúng được thiết kế để thực hiện: nhận diện các mối đe dọa đã được xác định trước đó. Cơ chế phát hiện dựa trên chữ ký so sánh một tệp tin với cơ sở dữ liệu chứa các phần mềm độc hại đã biết. Cơ chế phát hiện dựa trên hành vi trong EDR theo dõi các mẫu hành vi trùng khớp với các cuộc tấn công trước đó. Cả hai phương pháp này đều phụ thuộc vào việc đã từng gặp phải các trường hợp tương tự trước đó.

Sự phụ thuộc đó cũng chính là hạn chế. Một tải trọng zero-day không có chữ ký nào để so khớp. Một tệp được thiết kế để lách qua phân tích tĩnh, thông qua các kỹ thuật làm mờ mã, mã hóa hoặc thao tác cấu trúc, có thể vượt qua quá trình kiểm tra mà không kích hoạt bất kỳ cảnh báo nào. Những kẻ tấn công hiểu rõ cách thức hoạt động của các công cụ dựa trên phát hiện, đó là lý do tại sao phần lớn bề mặt tấn công hiện đại được xây dựng xoay quanh việc lách qua chúng thay vì áp đảo chúng. Điều này không có nghĩa là phần mềm diệt virus và EDR đang làm việc kém hiệu quả. Điều đó có nghĩa là chúng đang được yêu cầu thực hiện một nhiệm vụ mà, theo định nghĩa, không thể bao quát được những mối đe dọa mà chưa ai lập danh mục.

Các mối đe dọa liên quan đến tệp tin trong môi trường dữ liệu chủ thẻ

Điều này đặc biệt quan trọng đối với CDE (môi trường dữ liệu chủ thẻ). Dữ liệu chủ thẻ không chỉ di chuyển qua các kênh mạng. Nó còn di chuyển qua các tệp tin: báo cáo, sao kê, nhật ký giao dịch, thư từ với nhà cung cấp. Khi một tệp tin độc hại xâm nhập vào môi trường đó mà không bị phát hiện, hậu quả không chỉ là việc bỏ lỡ một cảnh báo phần mềm độc hại. Đó là vi phạm ranh giới mà PCI DSS yêu cầu các tổ chức phải kiểm soát. Một tệp tin vượt qua phần mềm chống vi-rút (AV) vì tải trọng của nó không được nhận diện vẫn là một tệp tin nằm trong CDE và chứa tải trọng đó. Kết quả quét không thay đổi nội dung bên trong tệp tin.

Thay vào đó, công nghệ Deep CDR™ hoạt động như thế nào

Thay vì đặt câu hỏi liệu một tệp có chứa mã độc hay không, Công nghệ Deep CDR™ giả định rằng bất kỳ tệp nào cũng có thể chứa mã độc và xử lý nó theo cách phù hợp. Quá trình này phân tách tệp thành các thành phần cấu thành, loại bỏ mọi yếu tố có khả năng chứa nội dung thực thi hoặc các mối đe dọa hoạt động (macro, tập lệnh nhúng, đối tượng OLE), và tái tạo một phiên bản sạch, hoạt động đầy đủ theo định dạng gốc. Quá trình tái tạo này cũng diễn ra theo cách đệ quy: một tệp lưu trữ lồng trong một tệp lưu trữ khác, hoặc một tài liệu có tệp nhúng riêng, sẽ được làm sạch mọi lớp, không chỉ ở lớp ngoài cùng. Tìm hiểu về hiệu suất của Công nghệ Deep CDR™.

Sự khác biệt nằm ở cơ chế hoạt động, chứ không phải ở chiến lược tiếp thị. Các công cụ dựa trên phát hiện cố gắng xác định mối đe dọa. Công nghệ Deep CDR™ loại bỏ những yếu tố mà mối đe dọa cần để hoạt động, bất kể nó đã được xác định hay chưa. Một lỗ hổng zero-day và một phần mềm độc hại đã biết đều được xử lý như nhau, bởi vì công cụ này không cố gắng nhận diện bất kỳ loại nào trong số đó. Thay vào đó, nó loại bỏ hoàn toàn cơ chế lây lan. Kết quả là một tệp tin có thể mở, hiển thị và hoạt động giống như bản gốc, nhưng không còn các thành phần có thể mang theo mối đe dọa đang hoạt động. Các thử nghiệm độc lập đã chứng minh điều này: Công nghệ Deep CDR™ là giải pháp CDR đầu tiên đạt được 100% mức độ bảo vệ và độ chính xác trong Thử nghiệm CDR Độc lập của SE Labs.

Về mặt PCI DSS, điều quan trọng là ý nghĩa của điều này đối với Yêu cầu 5— Bảo vệ tất cả các hệ thống khỏi phần mềm độc hại và cập nhật phần mềm hoặc chương trình chống vi-rút thường xuyên: một biện pháp kiểm soát nhằm giải quyết loại mối đe dọa cụ thể mà phương pháp phát hiện dựa trên dấu hiệu (signature-based detection) về mặt cấu trúc không thể phát hiện được, được áp dụng ngay tại thời điểm tệp tin xâm nhập vào môi trường thay vì sau khi sự việc đã xảy ra.

Cách thức công nghệ Metascan Multiscanning Deep CDR™ tuân thủ tiêu chuẩn PCI DSS 4.0.1

PCI DSS 4.0.1 không yêu cầu một biện pháp kiểm soát phần mềm độc hại cụ thể nào. Tiêu chuẩn này yêu cầu một hệ thống bảo vệ nhiều lớp nhằm đối phó với cả các mối đe dọa đã biết lẫn chưa biết. Một công cụ duy nhất, dù có hiệu quả đến đâu trong nhiệm vụ cụ thể của nó, cũng không thể tự mình đáp ứng được yêu cầu đó. Chính vì vậy, việc kết hợp phát hiện với phòng ngừa trở nên quan trọng đối với các yêu cầu cụ thể.

Yêu cầu 1: Cài đặt và duy trì các biện pháp kiểm soát an ninh mạng

Yêu cầu 1 được đưa ra nhằm ngăn chặn rủi ro từ các thiết bị kết nối cả với mạng không đáng tin cậy lẫn CDE lây lan vào CDE. Công nghệ Multiscanning Deep CDR™ hỗ trợ trực tiếp mục tiêu này: khả năng bảo vệ chống phần mềm độc hại theo từng lớp trên lưu lượng mạng, email, các điểm cuối và phương tiện lưu trữ di động giúp chặn đứng nhiều điểm xâm nhập cùng lúc, trong khi sự kết hợp giữa quét đa lớp và CDR đảm bảo rằng các tệp và dữ liệu vượt qua ranh giới giữa các mạng không đáng tin cậy và CDE sẽ được làm sạch không chứa nội dung độc hại, bất kể chúng đến từ kênh nào.

Yêu cầu 5: Bảo vệ tất cả các hệ thống và mạng khỏi Software độc hại

Ở cấp độ yêu cầu, Metascan Multiscanning hơn 30 công cụ chống vi-rút) và Công nghệ Deep CDR™ (tái cấu trúc tệp tin thành các định dạng an toàn để vô hiệu hóa các mối đe dọa zero-day và các mối đe dọa nhúng) là hai tính năng nổi bật đáp ứng yêu cầu này từ đầu đến cuối. Kết hợp với nhau, chúng bao quát cả hai phần của nhiệm vụ chống phần mềm độc hại: Phát hiện mối đe dọa lây lan qua tệp nâng cao cho phiên bản 5.2/5.2.1, trong đó mọi tệp đều được xử lý qua Công nghệ Deep CDR™ và Multiscanning Metascan Multiscanning được phép vào môi trường được bảo vệ; quét nhiều lớp cho phiên bản 5.3.2, trong đó quét đa lớp, chạy trong môi trường cách ly (sandboxing) và vô hiệu hóa nội dung rồi tái tạo là các biện pháp kiểm soát hỗ trợ được khuyến nghị; và Phát hiện lừa đảo dựa trên tệp đính kèm cho phiên bản 5.4, nơi MetaDefender Email Security Multiscanning Metascan Multiscanning phân tích trong môi trường cách ly để phát hiện các tệp đính kèm độc hại trước khi chúng đến tay người dùng.

  • Yêu cầu 5.2 (phòng ngừa và phát hiện phần mềm độc hại). Đây chính là điểm mà hai công nghệ này thực hiện các nhiệm vụ riêng biệt nhưng bổ sung cho nhau. Metascan Multiscanning quét các tệp qua hơn ba mươi công cụ chống vi-rút thương mại, mang lại khả năng phát hiện các mối đe dọa đã biết với độ sâu mà không một công cụ nào có thể sánh kịp — và vì các công cụ đó kết hợp chữ ký với phương pháp heuristic và học máy, Metascan cũng phát hiện được một phần đáng kể phần mềm độc hại chưa biết, đưa tỷ lệ phát hiện tổng thể lên 99,2% đối với các mối đe dọa đã biết và chưa biết cộng lại. Công nghệ Deep CDR™ xử lý phần nhỏ các mối đe dọa mà quá trình quét bỏ sót và ngăn chặn các cuộc tấn công zero-day. Nhờ sự kết hợp này, các mối đe dọa đã biết được phát hiện, còn những mối đe dọa mà quá trình quét đơn thuần có thể bỏ sót sẽ bị vô hiệu hóa cơ chế lây lan trước khi chúng trở thành vấn đề.
  • Yêu cầu 5.3.2 (quét thời gian thực hoặc định kỳ). Công nghệ Deep CDR™ hoạt động trực tiếp tại điểm nhập dữ liệu. Mỗi tệp đều được xử lý ngay khi đi vào hệ thống, chứ không phải theo lịch quét định kỳ. Điều này đáp ứng yêu cầu kiểm tra thời gian thực đồng thời trên các kênh lưu lượng web, email và truyền tệp, thay vì phải dựa vào các lần quét định kỳ để phát hiện những nội dung đã lọt qua trong khoảng thời gian giữa các lần quét.
  • Yêu cầu 5.4 (các cơ chế chống lừa đảo).MetaDefender Security™ kết hợp Multiscanning Metascan Multiscanning phân tích trong môi trường sandbox để phát hiện các tệp đính kèm độc hại hoặc đáng ngờ trước khi chúng đến hộp thư đến, trong khi MetaDefender bổ sung khả năng phân tích động các tệp đính kèm đáng ngờ trong môi trường được kiểm soát nhằm phát hiện các tải trọng zero-day hoặc được che giấu, vốn có thể lách qua các hệ thống quét dựa trên chữ ký. MetaDefender mở rộng khả năng giám sát này đến lớp mạng, đánh dấu các kết nối đáng ngờ và việc phân phối tải trọng liên quan đến các chiến dịch lừa đảo.

Yêu cầu 6: Phát triển và duy trì Secure và Software Secure

Yêu cầu 6.3 (xác định lỗ hổng bảo mật). Các tệp chứa mã khai thác nhắm vào các lỗ hổng bảo mật đã biết của phần mềm là một rủi ro ở cấp độ tệp, chứ không chỉ ở cấp độ mạng. Do Công nghệ Deep CDR™ loại bỏ cơ chế phân phối mã khai thác trước khi tệp đến tay người dùng hoặc hệ thống, nên công nghệ này giải quyết rủi ro này ngay tại điểm mà rủi ro đó có thể xâm nhập, bất kể lỗ hổng cơ bản đã được vá hay chưa.

Bạn có tò mò muốn biết điều này phù hợp như thế nào với phạm vi PCI DSS của chính bạn không? Tải xuống Hướng dẫn tuân thủ PCI DSS để tìm hiểu chi tiết hơn về cách các công nghệ Metascan Multiscanning Deep CDR™ được áp dụng.

Vị trí của Multiscanning CDR trong kiến trúc hệ thống

Giá trị của phương pháp tiếp cận theo từng lớp này phụ thuộc vào nơi nó được triển khai. Việc bảo vệ chỉ tồn tại tại điểm cuối sẽ khiến phần còn lại của quá trình di chuyển tệp không được bảo vệ, và dữ liệu chủ thẻ vượt qua ranh giới CDE qua nhiều kênh hơn so với những gì hầu hết các ma trận tuân thủ tính đến. Đối với môi trường thanh toán, những điểm có giá trị cao nhất chính là những nơi mà các tệp thường xuyên vượt qua ranh giới đó.

  • Bảo mật ứng dụng web: Các ứng dụng tiếp nhận dữ liệu chủ thẻ cũng là một con đường để các tệp độc hại và các mối đe dọa “zero-day” xâm nhập vào CDE thông qua các hoạt động tải lên hoặc tương tác dựa trên tệp.
  • Cổng email: Các tệp đính kèm được làm sạch khi gửi đi, giúp loại bỏ các tài liệu Office được biến thành công cụ tấn công và các tệp PDF độc hại — đây là định dạng gửi phổ biến nhất trong các cuộc tấn công spearphishing trong lĩnh vực dịch vụ tài chính.
  • Proxy web / ICAP: Lưu lượng HTTP và HTTPS được kiểm tra theo thời gian thực, và các tệp được tải xuống từ internet sẽ được tái tạo trước khi chúng đến các hệ thống nội bộ.
  • Phương tiện lưu trữ di động: Các tệp từ USB được làm sạch kiosk trước khi được đưa vào CDE. Điều này đáp ứng trực tiếp Yêu cầu 5.3.3 và loại trừ phương tiện lưu trữ di động khỏi danh sách các phương thức tấn công.
  • Truyền tải tệp tin được quản lý: Các tệp tin được trao đổi với các đối tác và nhà cung cấp được làm sạch trình truyền tải, chứ không chỉ tại thời điểm nhận.

Nền tảng MetaDefender™OPSWAT áp dụng công nghệ Metascan Multiscanning Deep CDR™ một cách nhất quán trên tất cả các điểm này, cùng với công nghệ Proactive DLP™ và các tính năng khác, do đó phạm vi bảo vệ không phụ thuộc vào kênh mà tệp tin đó đi qua. Việc này cũng không phụ thuộc vào định dạng của tệp: Công nghệ Deep CDR™ hỗ trợ hơn 200 loại tệp, từ các tệp PDF, bảng tính và tài liệu Word chiếm phần lớn trong quy trình thanh toán cho đến các hình ảnh, tệp lưu trữ và các định dạng khác thường xuyên vượt qua ranh giới CDE trong thực tế.

Dù đã biết hay mới mẻ, kết quả vẫn như nhau

Hãy quay lại tệp PDF ở phần mở đầu bài viết này. Không có gì trong đó mang tính giả định, và cũng không có gì đòi hỏi sự thực hiện thiếu chuyên nghiệp từ phía bất kỳ ai. Nhà cung cấp là đơn vị hợp pháp, kết quả quét không phát hiện ra vấn đề gì, và tệp tin đã được giao đúng như dự định. Đó chính là tình huống mà Yêu cầu 5 được đưa ra để ngăn chặn, và cũng là tình huống mà một hệ thống đối chiếu chỉ dựa trên phần mềm diệt virus không thể xử lý triệt để.

Công nghệ Deep CDR™ tái tạo các tệp tin mà không bao gồm các thành phần có thể gây nguy hiểm, do đó câu hỏi liệu tải trọng (payload) đó đã được biết đến hay là mới xuất hiện sẽ không bao giờ cần phải được trả lời ngay từ đầu. Multiscanning Metascan Multiscanning chức năng tương tự đối với bất kỳ tệp tin nào mang dấu hiệu nhận dạng. Nhờ sự kết hợp của hai công nghệ này, một tệp tin khi đến hộp thư đến của bộ phận tài chính sẽ hoặc là một mối đe dọa đã bị phát hiện, hoặc là một mối đe dọa đã mất đi những thành phần cần thiết để hoạt động — chứ không bao giờ là một mối đe dọa đơn thuần chưa được nhận diện.

Điểm chính

  • Dữ liệu thanh toán được lưu chuyển qua các tệp tin kinh doanh — báo cáo, bảng sao kê, thư từ với nhà cung cấp — mà quá trình rà soát an ninh mạng không bao quát được.
  • Khả năng bảo vệ bao gồm cả các mối đe dọa đã biết và chưa biết: Hơn 30 bộ máy quét virus phát hiện phần mềm độc hại đã biết, và Công nghệ Deep CDR™ loại bỏ các thành phần mà một mối đe dọa “zero-day” cần để hoạt động, mà không cần phải xác định trước mối đe dọa đó.
  • Điều này tuân thủ các yêu cầu cụ thể của PCI DSS (5.2, 5.3.2, 5.4, 1.5/1.5.1, 11.5/11.5.1), với hệ thống ghi nhật ký tập trung cho thấy biện pháp kiểm soát đang hoạt động khi chuyên gia đánh giá tiến hành kiểm tra.

Bạn muốn biết chính xác Công nghệ Deep CDR™ và Multiscanning các yêu cầu nào trong bộ yêu cầu đầy đủ của PCI DSS 4.0.1? Hãy tải xuống Hướng dẫn và Danh sách kiểm tra tuân thủ PCI DSS để xem phân tích chi tiết từng biện pháp kiểm soát.

Luôn cập nhật với OPSWAT!

Đăng ký ngay hôm nay để nhận thông tin cập nhật mới nhất về doanh nghiệp, câu chuyện, thông tin sự kiện và nhiều thông tin khác.