Bảo mật tập tin theo tiêu chuẩn PCI DSS bao gồm việc quét, làm sạch và đánh giá mọi tệp được đưa vào Môi trường dữ liệu chủ thẻ (CDE), trên tất cả các kênh nhập liệu, không chỉ giới hạn ở các điểm cuối. Tiêu chuẩn PCI DSS 4.0.1 mở rộng phạm vi bảo vệ chống phần mềm độc hại sang các kênh như web, email, lưu trữ đám mây, dịch vụ truyền tệp được quản lý, phương tiện lưu trữ di động và các thành phần phụ thuộc phần mềm.
Hầu hết các đội ngũ an ninh chịu trách nhiệm đảm bảo tuân thủ PCI DSS (Tiêu chuẩn An ninh Dữ liệu Ngành Thẻ Thanh toán) đều đã hoàn thành công việc. Hệ thống EDR (Endpoint và Ứng phóEndpoint ) đã được triển khai. Phần mềm chống phần mềm độc hại đang hoạt động. Yêu cầu số 5 đã được đánh dấu hoàn thành. Đây là những biện pháp an ninh thiết yếu, nhưng khi xét đến phạm vi rộng hơn của các yêu cầu quy định, các biện pháp kiểm soát an ninh truyền thống có thể chưa đủ.
PCI DSS 4.0.1 đã quy định rõ ràng về một vấn đề mà các phiên bản trước đó còn để ngỏ cho sự diễn giải: phạm vi bảo vệ chống phần mềm độc hại được mở rộng đến mọi kênh mà qua đó các tệp được chuyển vào, di chuyển bên trong và chuyển ra khỏi Môi trường Dữ liệu Trung tâm (CDE). Lỗ hổng zero-day. Lưu lượng truy cập web. Email. Cloud . Chuyển tệp được quản lý. Phương tiện lưu trữ di động. Software .
Các điểm cuối chỉ là một trong số nhiều lĩnh vực cần kiểm tra. Nếu các lĩnh vực khác chưa được đánh giá, sẽ tồn tại rủi ro, và các kiểm toán viên sẽ biết cần tập trung vào đâu.
Bài viết này trình bày toàn bộ phạm vi các yêu cầu của tiêu chuẩn, giúp bạn có thể đánh giá một cách trung thực mức độ tuân thủ của mình. Để tham khảo chi tiết hơn theo từng yêu cầu cụ thể, Hướng dẫn đối chiếu PCI DSS và Danh sách kiểm tra dành cho người mới bắt đầu sẽ phân tích từng biện pháp kiểm soát kèm theo các khuyến nghị cụ thể.
Những điểm chính
PCI DSS 4.0.1 coi Bảo mật tập tin một lĩnh vực bảo mật đa kênh. Phạm vi bảo vệ chống phần mềm độc hại phải bao gồm web, email, đám mây, dịch vụ truyền tải tệp được quản lý, phương tiện lưu trữ di động và các thành phần phần mềm phụ thuộc, chứ không chỉ giới hạn ở các thiết bị đầu cuối.
Bảo vệtại điểm cuối đơn lẻđược triển khai ở giai đoạn sau cùng so với tất cả các kênh khác. Khi một tệp tin đến được trình đại lý tại điểm cuối, sáu điểm kiểm tra khác đã hoàn tất hoặc bị từ chối.
Chỉ riêng việc phát hiện dấu hiệu đặc trưng là chưa đủ để đáp ứng tiêu chuẩn. Yêu cầu số 5 đòi hỏi phải bao quát tất cả các loại phần mềm độc hại và phát hiện dựa trên hành vi đối với các mối đe dọa zero-day.
Phương tiện lưu trữ di động phải tuân thủ một nghĩa vụ rõ ràng. Yêu cầu 5.3.3 quy định phải quét tự động phương tiện lưu trữ di động ngay khi được cắm vào; các chính sách thực hiện thủ công không được chấp nhận.
Software nằm trong phạm vi áp dụng. Yêu cầu 6.3.2 quy định rằng phần mềm được phát triển riêng và phần mềm tùy chỉnh phải được phát triển một cách an toàn, đồng thời phải duy trì danh mục các thành phần của bên thứ ba.
Tiêu chuẩn PCI DSS 4.0.1 có những yêu cầu gì về Bảo mật tập tin?
Trước khi đi sâu vào các khía cạnh này, chúng ta nên dựa trên chính bản đặc tả kỹ thuật để làm cơ sở cho lập luận.
Yêu cầu 5 mô tả bề mặt đe dọa một cách rõ ràng: “Phần mềm độc hại có thể xâm nhập vào mạng trong nhiều hoạt động được doanh nghiệp cho phép, bao gồm email của nhân viên (ví dụ: qua các cuộc tấn công lừa đảo) và việc sử dụng Internet, mobile và các thiết bị lưu trữ, dẫn đến việc khai thác các lỗ hổng của hệ thống.” Đây là mô hình đe dọa chính đối với các cuộc tấn công dựa trên tệp tin trong môi trường thanh toán.
Tiêu chuẩn này cũng khẳng định rằng chỉ riêng việc phát hiện chữ ký là chưa đủ: “Việc sử dụng các giải pháp chống phần mềm độc hại có khả năng đối phó với tất cả các loại phần mềm độc hại sẽ giúp bảo vệ hệ thống khỏi các mối đe dọa phần mềm độc hại hiện tại và đang phát triển.” Các cụm từ then chốt ở đây là “tất cả các loại” và “hiện tại và đang phát triển.” Việc phát hiện chỉ nhận diện được các mối đe dọa đã biết sẽ để lại một lỗ hổng mà tiêu chuẩn này đã chỉ ra rõ ràng.
Yêu cầu 5.2.1 đi xa hơn – hướng dẫn Thực hành Tốt của tiêu chuẩn này nêu rõ rằng “các tổ chức nên nhận thức về các cuộc tấn công ‘zero-day’ (những cuộc tấn công khai thác lỗ hổng bảo mật chưa từng được biết đến trước đó) và xem xét các giải pháp tập trung vào các đặc điểm hành vi, đồng thời có khả năng cảnh báo và phản ứng trước các hành vi bất thường.” Đây chính là sự thừa nhận của tiêu chuẩn này rằng việc phát hiện dựa trên hành vi và phương pháp heuristic đóng vai trò quan trọng để đảm bảo phạm vi bảo vệ toàn diện.
Các yêu cầu 6 và 11 mở rộng phạm vi áp dụng hơn nữa. Yêu cầu 6.3.2 quy định phải xác định các lỗ hổng bảo mật trong phần mềm được phát triển riêng và phần mềm tùy chỉnh, qua đó giải quyết trực tiếp rủi ro trong chuỗi cung ứng phần mềm. Yêu cầu 11.3.1.2 quy định phải thực hiện quét nội bộ có xác thực. Cùng nhau, các yêu cầu này khẳng định rằng Bảo mật tập tin môi trường tuân thủ PCI DSS không phải là một biện pháp kiểm soát đơn lẻ, mà là một nguyên tắc được áp dụng trên toàn bộ kiến trúc.
Bảy kênh nhập tệp nào mà PCI DSS yêu cầu bạn phải Secure?
Đây chính là điểm mà nhiều chương trình tuân thủ vẫn còn một lỗ hổng mà họ chưa đánh giá được.
Kênh tiêu hóa | Yêu cầu của PCI DSS | Tại sao Endpoint lại bỏ sót vấn đề này? | Điều gì giúp thu hẹp khoảng cách? |
Lưu lượng truy cập web | Yêu cầu 5, 6 | Các tệp đang được truyền qua máy chủ proxy web không bao giờ đi qua trình đại lý đầu cuối | Quét đa động cơ tại cổng |
Email và tệp đính kèm | Yêu cầu 1, 5 | Việc quét dấu vết trên máy tính đơn lõi sẽ bỏ sót các tệp macro, tệp lưu trữ và các mã khai thác nhúng | Multiscanning, làm sạch tệp, ngăn ngừa mất dữ liệu |
Cloud kho | Yêu cầu 5, 6 | Việc tải lên trực tiếp lên SharePoint, OneDrive hoặc S3 sẽ bỏ qua quá trình kiểm tra điểm cuối | Quét các tệp tin đang được lưu trữ + ngăn ngừa mất dữ liệu |
Chuyển tệp tin được quản lý | Yêu cầu 5, 6 | Các tệp từ đối tác đáng tin cậy đã được đưa vào quy trình làm việc ngay từ đầu | Quét các tệp đang được truyền + làm sạch tệp |
Phương tiện lưu trữ có thể tháo rời | Yêu cầu 1, 5, 9 | Các chính sách quét thủ công không đáp ứng yêu cầu về quét tự động | Tự động quét khi cắm thiết bị (kiosk) để ngăn chặn phần mềm độc hại từ các thiết bị bên ngoài |
Software | Yêu cầu số 6 | Các lỗ hổng bảo mật (CVE) đã biết trong các thành phần của bên thứ ba không phải là các dấu hiệu nhận diện phần mềm độc hại | vulnerability detection trong tệp (sản phẩm phần mềm) vulnerability detection các giai đoạn của chu trình phát triển phần mềm (SDLC) |
Điểm cuối | Yêu cầu số 5 | Nằm ở hạ lưu so với tất cả các kênh khác; là nơi cuối cùng phát hiện các mối đe dọa | EDR / Phần mềm diệt virus cho thiết bị đầu cuối |
- Lưu lượng truy cập web: Các tệp được tải xuống hoặc tải lên một cổng thông tin web qua HTTPS sẽ đi qua mạng trước khi đến bất kỳ thiết bị đầu cuối nào.
- Email và tệp đính kèm: Email vẫn là phương thức lây lan phổ biến nhất của các mối đe dọa dưới dạng tệp tin. Việc quét tệp đính kèm cần phải vượt ra ngoài việc so khớp chữ ký. Các tệp nén, tài liệu có kích hoạt macro và các tệp chứa mã khai thác đều được thiết kế để lách qua cơ chế quét này.
- Cloud cục bộ và Cloud : Các tệp được đồng bộ hóa liên tục giữa SharePoint, OneDrive, S3 và các nền tảng tương tự.
- Truyền tải tệp được quản lý: Các giao dịch với nhà cung cấp, tích hợp với đối tác và việc khách hàng gửi tệp tạo ra các luồng tệp đến, mỗi luồng đều có mức độ rủi ro riêng.
- Phương tiện lưu trữ di động: Yêu cầu 5.3.3 là một trong những nghĩa vụ cụ thể nhất trong tiêu chuẩn: phần mềm chống phần mềm độc hại phải tự động quét phương tiện lưu trữ di động ngay khi nó được cắm vào. USB là một phương thức tấn công đang hoạt động trong môi trường thanh toán, bao gồm cả các hệ thống cách ly mạng (air-gapped), nơi chúng thường là đường dẫn dữ liệu bên ngoài duy nhất.
- Software và các thành phần phụ thuộc. Yêu cầu 6.3.2 được đưa ra bởi vì các thư viện của bên thứ ba và các thành phần nhúng là một nguồn gây ra lỗ hổng CDE đáng kể. Một tệp nhị phân được phân phối kèm theo một lỗ hổng CVE (Common Vulnerability and Exposure) đã biết trong thành phần phụ thuộc sẽ gây ra rủi ro mà cơ chế phát hiện phần mềm độc hại dựa trên chữ ký không thể phát hiện được. Đây là một lỗ hổng đang chờ bị khai thác, chứ không phải là phần mềm độc hại theo nghĩa truyền thống.
- Các điểm cuối. Đây là kênh duy nhất mà hầu hết các nhóm đã triển khai. Endpoint quét những gì được truyền đến, được thực thi hoặc tồn tại trên thiết bị. Việc triển khai này là cần thiết, nhưng nó nằm ở giai đoạn sau so với mọi kênh khác trong danh sách này. Khi một tệp đến được điểm cuối, sáu điểm kiểm tra khác đã hoàn tất hoặc không đạt yêu cầu.
Tại sao việc chỉ sử dụng một phần mềm diệt virus để Endpoint là chưa đủ
EDR và phần mềm diệt virus dành cho một thiết bị đầu cuối là những công cụ tuyệt vời, nhưng phạm vi hoạt động của chúng bị giới hạn do thiết kế.
Endpoint bảo vệ thiết bị bằng cách theo dõi các hoạt động diễn ra trên máy: các tệp được ghi vào đĩa, các tiến trình được thực thi, các kết nối mạng được thiết lập. Chúng không kiểm tra các tệp được truyền qua proxy web, cổng email, API đồng bộ hóa đám mây hay USB . Đây là vấn đề về phạm vi hoạt động, chứ không phải là thiếu sót của sản phẩm.
PCI DSS 4.0.1 đã đưa ra câu trả lời dứt khoát cho câu hỏi về phạm vi này. Tiêu chuẩn này mô tả “bề mặt đe dọa” là mọi kênh mà qua đó các tệp tin đi vào mạng. Endpoint đảm bảo an toàn cho những gì đã có sẵn bên trong CDE. Bảo mật tập tin quá trình truyền tải.
Khoảng trống này không chỉ tồn tại trên lý thuyết. Một kẻ tấn công truyền tải mã độc thông qua tệp đính kèm lừa đảo chỉ được quét bởi cổng bảo mật đơn động cơ, hoặc thông qua một thành phần phụ độc hại trong gói phần mềm do nhà cung cấp cung cấp, hoặc thông qua USB được cắm vào trong khoảng thời gian bảo trì — không có con đường nào trong số đó chạm đến trình đại lý trên thiết bị đầu cuối cho đến khi đã quá muộn. Đó chính là những kênh mà tiêu chuẩn này yêu cầu bạn phải bịt kín.
Bảo mật tập tin toàn diện theo tiêu chuẩn PCI DSS 4.0.1 Bảo mật tập tin như thế nào?
Các tổ chức đạt kết quả kiểm toán 4.0.1 đạt chuẩn về Bảo mật tập tin chung một kiến trúc: kiểm tra tại mọi điểm nhập liệu, với nhiều lớp phòng thủ.
Điều đó có nghĩa là quét đa công cụ tại cấp cổng. Việc quét các tệp bằng nhiều công cụ chống vi-rút cùng lúc giúp tăng tỷ lệ phát hiện đáng kể và mang lại độ sâu bao phủ mà cụm từ “tất cả các loại” trong tiêu chuẩn yêu cầu. Điều đó có nghĩa là quá trình làm sạch tệp nhằm vô hiệu hóa những gì phần mềm chống vi-rút không thể phát hiện: Công nghệ Deep CDR™ tái cấu trúc các tệp thành các định dạng an toàn, có thể sử dụng được bằng cách loại bỏ nội dung có khả năng gây hại, bao gồm cả các lỗ hổng zero-day chưa được lập danh mục. Điều này có nghĩa là việc đánh giá lỗ hổng ở cấp độ tệp so với các CVE đã biết đối với các gói phần mềm và tệp nhị phân trước khi chúng đến các hệ thống sản xuất. Và điều này có nghĩa là việc ghi nhật ký tập trung trên tất cả các kênh, không chỉ dữ liệu từ xa của điểm cuối, để các yêu cầu kiểm toán của Yêu cầu 11 thực sự có thể được đáp ứng.
MetaDefender™ là Bảo mật tập tin OPSWAT, được thiết kế để quét, làm sạch và đánh giá các tệp tin trên mọi kênh nhập liệu trước khi chúng đến CDE.
Như hướng dẫn tuân thủ OPSWAT đã nêu: "OPSWAT MetaDefender một số tính năng mạnh mẽ nhất trong ngành để đáp ứng Yêu cầu 5. Multiscanning Metascan™ Multiscanning hơn 30 công cụ chống vi-rút thương mại để phát hiện phần mềm độc hại đã biết với độ chính xác vượt trội, trong khi công nghệ Deep CDR™ chủ động vô hiệu hóa các mối đe dọa zero-day và các mối đe dọa nhúng bằng cách tái cấu trúc các tệp thành các định dạng an toàn và có thể sử dụng được."
Khoảng trống này tồn tại không phải vì các đội an ninh đã lơ là, mà bởi vì tiêu chuẩn PCI DSS 4.0.1 yêu cầu phạm vi rộng hơn. Các đội khắc phục được khoảng trống này trước khi kiểm toán chỉ đơn thuần là thực hiện đúng những gì tiêu chuẩn yêu cầu. Họ chỉ đang thực hiện đầy đủ tất cả các yêu cầu đó mà thôi.
Các bước tiếp theo
Bạn đã sẵn sàng đánh giá mức độ bảo hiểm hiện tại của mình so với toàn bộ các yêu cầu của phiên bản 4.0.1 chưa?
Tải xuống Hướng dẫn đối chiếu PCI DSS + Danh sách kiểm tra dành cho người mới bắt đầu về PCI DSS để đối chiếu các biện pháp kiểm soát hiện có của bạn với từng kênh nhập tệp trong số bảy kênh và xác định những lỗ hổng còn tồn tại.
Những câu hỏi thường gặp
Việc bảo vệ chỉ một điểm cuối có đủ để tuân thủ tiêu chuẩn PCI DSS 4.0.1 không?
Không. Tiêu chuẩn PCI DSS 4.0.1 mở rộng phạm vi bảo vệ chống phần mềm độc hại đến mọi kênh mà qua đó các tệp tin được đưa vào Môi trường Dữ liệu Trung tâm (CDE). Các giải pháp bảo vệ điểm cuối truyền thống giúp bảo mật thiết bị, nhưng không kiểm tra các tệp tin di chuyển qua các máy chủ proxy web, cổng email, dịch vụ đồng bộ hóa đám mây hoặc phương tiện lưu trữ di động. OPSWAT MetaDefender tích hợp với các công nghệ đa lớp để lấp đầy lỗ hổng này.
Tiêu chuẩn PCI DSS có yêu cầu quét phần mềm độc hại trên các phương tiện lưu trữ di động không?
Đúng vậy. Khi phương tiện lưu trữ di động được lắp vào, kết nối hoặc gắn vào hệ thống theo cách logic, Yêu cầu 5.3.3 quy định phải thực hiện quét tự động hoặc phân tích hành vi liên tục đối với các hệ thống hoặc quy trình. Các chính sách quét thủ công không đáp ứng yêu cầu này.
Các kênh nhập tệpliên quan đến PCI DSS 4.0.1 là gì?
Lưu lượng truy cập web, email và tệp đính kèm, lưu trữ đám mây, dịch vụ truyền tệp được quản lý, phương tiện lưu trữ di động, các phụ thuộc phần mềm và các điểm cuối.
Tiêu chuẩn PCI DSS 4.0.1 có đề cập đến rủi ro trong chuỗi cung ứng phần mềm không?
Đúng vậy. Yêu cầu 6.3.2 quy định rằng phần mềm được phát triển riêng và phần mềm tùy chỉnh phải được phát triển một cách an toàn, các lỗ hổng bảo mật phải được xác định và khắc phục, đồng thời phải duy trì danh mục các thành phần phần mềm của bên thứ ba để hỗ trợ việc quản lý lỗ hổng và bản vá.
Môi trường dữ liệu chủ thẻ (CDE) là gì?
CDE bao gồm con người, quy trình và công nghệ dùng để lưu trữ, xử lý hoặc truyền tải dữ liệu chủ thẻ, cùng với bất kỳ hệ thống nào được kết nối với nó. Bảo mật tập tin theo tiêu chuẩn PCI DSS áp dụng cho các tệp tin được chuyển vào, di chuyển trong và chuyển ra khỏi hệ thống này.
