某支付处理商的安全团队将一个PDF附件标记为待审查对象。该附件来自一家已知供应商,经病毒防护数据库中所有特征码扫描均未发现异常,因此未经二次审查便被直接送入了财务部门的收件箱。该PDF文件中包含一个专门设计用于规避检测的有效载荷:既无已知特征码,也无可疑行为,更没有任何病毒防护引擎曾被训练过能检测到的迹象。等到有人察觉时,该文件早已完成了它的任务。
这绝非假设。PDF 文件中的嵌入式宏、OLE 对象和 JavaScript,以及 Office 文件中的混淆脚本,都是针对金融服务行业攻击的标准传播载体。而攻击者青睐的文件格式(PDF、Excel、Word),正是每天在支付环境中传输持卡人数据的那些格式。 报告、对账单、开户申请以及供应商来往信函均以文件形式传输,这意味着上述每种格式都可能成为入侵持卡人数据环境的潜在入口。
如果您因在所有终端上部署了防病毒软件,而将PCI DSS 4.0.1中的要求5标记为“已覆盖”,那么值得思考的是:这种覆盖范围实际上涵盖了哪些内容。 防病毒软件和 EDR(Endpoint 与响应)是强大且必不可少的工具。它们也基于一个特定的假设:必须先识别威胁,才能将其阻止。本系列的第一篇博客探讨了 PCI DSS 4.0.1 在恶意软件防护方面总体上提高了哪些标准。本文将更深入地探讨一个具体的漏洞:文件传播型威胁如何在设计上绕过防病毒软件,以及在支付环境中如何弥补这一漏洞。
杀毒软件究竟能做什么,以及它的局限在哪里
杀毒软件和EDR在各自的设计目标上表现出色:识别已经确认的威胁。基于签名的检测会将文件与已知恶意软件数据库进行比对;EDR中的行为检测则会监控与以往攻击模式相符的行为。这两种方法都依赖于此前曾见过类似的情况。
这种依赖性同时也是一种局限。零日有效载荷没有可匹配的特征码。通过混淆、加密或结构篡改等手段,专门设计来规避静态分析的文件,可以在不触发任何警报的情况下通过检测。攻击者非常清楚基于检测的工具是如何工作的,这就是为什么现代攻击面很大程度上是围绕规避这些工具而非压倒它们而构建的。 这绝不意味着杀毒软件和EDR(端点检测与响应)表现不佳。这意味着它们被要求完成一项任务,而根据定义,这项任务无法覆盖那些尚未被归档的威胁。
持卡人数据环境中的基于文件的威胁
这一点对 CDE(持卡人数据环境)尤为重要。持卡人数据并非仅通过网络通道传输,还会通过文件进行传输:包括报告、对账单、交易日志以及与供应商的往来信函。当恶意文件未被察觉地进入该环境时,其后果不仅仅是错过恶意软件警报,更是对 PCI DSS 要求组织必须加以控制的安全边界构成了突破。 一个因有效载荷未被识别而通过杀毒软件检测的文件,在 CDE 内部依然是携带该有效载荷的文件。扫描结果并不会改变文件中的内容。
Deep CDR™ 技术则采取了不同的做法
Deep CDR™ 技术并非询问文件是否具有恶意,而是假定任何文件都可能具有恶意,并据此进行处理。 该过程将文件分解为各个组成部分,剥离任何可能携带可执行内容或活跃威胁的元素(如宏、嵌入式脚本、OLE 对象),并以原始格式重建一个干净且功能完备的版本。这种重建过程还具有递归性:无论是嵌套在另一个归档文件中的归档文件,还是包含自身嵌入文件的文档,都会在每一层(而不仅仅是最外层)进行净化处理。了解 Deep CDR™ 技术的性能表现。
两者的区别在于机制,而非营销手段。基于检测的工具试图识别威胁。Deep CDR™ 技术则会移除威胁运行所需的组件,无论该威胁是否已被识别。零日漏洞和已知恶意软件都会受到同样的处理,因为该工具并不试图识别其中任何一种。它彻底移除了威胁的传播途径。 处理后的文件在打开、显示和功能方面与原始文件完全一致,只是去除了可能携带活跃威胁的组件。独立测试结果印证了这一点:Deep CDR™ 技术是首个在SE Labs 的独立 CDR 测试中实现 100% 防护率和准确率的 CDR 解决方案。
就 PCI DSS 而言,关键在于这对于“要求 5——保护所有系统免受恶意软件侵害,并定期更新防病毒软件或程序”意味着什么:这是一项控制措施,旨在应对基于特征码的检测在结构上无法捕获的特定类别的威胁,且应在文件进入环境的那一刻立即实施,而非事后补救。
MetascanMultiscanning Deep CDR™ 技术如何与 PCI DSS 4.0.1 相对应
PCI DSS 4.0.1 并未要求采用某一种特定的恶意软件防护措施,而是要求建立多层防护体系,以应对已知和未知的威胁。单凭一款工具,无论其在特定任务上的表现多么出色,都无法单独满足这一要求。正因如此,将检测与预防相结合才与具体要求密切相关。
要求 1:安装和维护网络安全控制措施
要求 1 的存在是为了防止那些既连接到不受信任网络又连接到 CDE 的设备所带来的风险向 CDE 扩散。Multiscanning Deep CDR™ 技术直接支持这一目标:通过在网络流量、电子邮件、终端和可移动存储介质上实现分层反恶意软件防护,可同时封堵多个入侵入口;而多重扫描与 CDR 的结合,则确保无论通过何种通道,在不受信任网络与 CDE 之间传输的文件和数据在到达时均已经过净化,不含任何恶意内容。
要求 5:保护所有系统和网络免受恶意Software的侵害
在功能层面,MetascanMultiscanning 30 多个杀毒引擎)和 Deep CDR™ 技术(可将文件重构为安全格式,以消除零日威胁和嵌入式威胁)是贯穿整个防恶意软件防护流程的两大核心功能。 二者共同覆盖了反恶意软件要求的两个方面:针对 5.2/5.2.1 版本的“高级文件传播威胁检测”,其中每个文件Multiscanning 被允许进入受保护环境Multiscanning ,都会经过 Deep CDR™ 技术和 MetascanMultiscanning 处理; 针对 5.2/5.2.1 版本的分层扫描,其中多重扫描、沙箱分析以及内容解除武装与重建是推荐的辅助控制措施;以及针对 5.4 版本的基于附件的钓鱼攻击检测,在此场景下MetaDefender Email Security MetascanMultiscanning 沙箱分析Multiscanning 恶意附件到达用户之前将其拦截。
- 要求 5.2(恶意软件预防与检测)。在这方面,这两项技术发挥着截然不同且相辅相成的作用。MetascanMultiscanning将文件提交给三十余种商用杀毒引擎进行检测,使已知威胁的检测深度达到任何单一引擎都无法企及的水平——而且由于这些引擎将特征码与启发式分析和机器学习相结合,Metascan 还能捕获相当一部分未知恶意软件,使其对已知和未知威胁的综合检测率达到 99.2%。 Deep CDR™ 技术则负责处理扫描未能发现的那一小部分威胁,并防范零日漏洞利用。两者协同作用下,既能拦截已知威胁,又能让仅靠扫描可能漏过的威胁在尚未造成危害之前就失去传播途径。
- 要求 5.3.2(实时或定期扫描)。Deep CDR™ 技术在数据摄入点进行在线处理。每个文件都在进入环境时立即进行处理,而非通过计划扫描。这能够同时满足对 Web 流量、电子邮件和文件传输通道的实时检查要求,而无需依赖定期扫描来捕获期间漏检的内容。
- 要求 5.4(反网络钓鱼机制)。MetaDefender Security™结合了 MetascanMultiscanning 沙箱分析技术,可在恶意或可疑附件到达收件箱之前将其拦截;而MetaDefender 则在受控环境中对可疑附件进行动态分析,以拦截能够规避基于签名的扫描的零日攻击或经过混淆处理的有效载荷。MetaDefender 将这种可视性扩展至网络层,对与网络钓鱼活动相关的可疑连接和有效载荷传输进行标记。
要求 6:开发和维护Secure 和Software
要求 6.3(漏洞识别)。携带针对已知软件漏洞的利用程序的文件构成文件层面的风险,而不仅仅是网络层面的风险。由于 Deep CDR™ 技术能在文件到达用户或系统之前就清除利用程序的传播机制,因此它能在风险本应侵入的环节就加以化解,而无论底层漏洞是否已修复。
想知道这与您自身的 PCI DSS 适用范围是否吻合吗? 获取《PCI DSS 合规指南》 ,深入了解 MetascanMultiscanning Deep CDR™ 技术在其中的应用场景。
Multiscanning CDR在技术栈中的定位
这种分层方法的价值取决于其部署的位置。仅在终端存在的防护措施会使文件传输过程的其余部分处于无保护状态,而且持卡人数据穿越CDE边界所经过的渠道,比大多数合规矩阵所考虑的要多。对于支付环境而言,最具价值的环节正是文件经常穿越该边界的那些点。
- Web 应用程序安全:接收持卡人数据的应用程序也是恶意文件和零日威胁通过上传或基于文件的交互进入 CDE 的途径之一。
- 电子邮件网关:附件在发送前会经过安全处理,从而清除被用于攻击的Office文档和恶意PDF文件——这些正是金融服务行业中鱼叉式网络钓鱼攻击最常用的传播载体。
- Web 代理 /ICAP:对 HTTP 和 HTTPS 流量进行实时检查,并从互联网下载的文件在进入内部系统之前会经过重建。
- 可移动存储介质: USB 文件在进入CDE之前,会在自助服务终端上进行彻底清除。这直接满足了要求5.3.3,并切断了可移动存储介质作为攻击途径的可能性。
- 托管文件传输:与合作伙伴及供应商交换的文件在传输过程中就会经过清理,而不仅仅是在接收时才进行清理。
OPSWAT MetaDefender™ 平台在这些环节中一致地应用 MetascanMultiscanning Deep CDR™ 技术,并结合 Proactive DLP™ 技术及其他功能,因此检测范围并不取决于文件恰好通过哪个渠道进入。 它也不受文件格式的影响:Deep CDR™ 技术覆盖了 200 多种文件类型,从在支付工作流中占主导地位的 PDF、电子表格和 Word 文档,到实际操作中跨越 CDE 边界的图像、归档文件及其他格式。
无论已知还是未知,结果都是一样的
回到本文开头提到的那份PDF文件。其中没有任何内容是假设性的,也没有任何环节需要任何人操作失误。供应商是合法的,扫描结果显示没有问题,文件也完全按照预期交付。这就是“要求5”旨在防范的情形,也是仅基于杀毒软件构建的映射无法完全应对的情形。
Deep CDR™ 技术在重建文件时会剔除可能具有危险性的组件,因此根本无需考虑有效载荷是已知还是新型威胁。对于任何带有特征码的文件,MetascanMultiscanning 类似的处理方式。凭借这两项技术,进入财务收件箱的文件要么是已被拦截的威胁,要么是已失去正常运行所需组件的威胁——绝不会是尚未被识别出的威胁。
要点
- 支付数据会通过各类业务文件(如报告、对账单、与供应商的往来信函)进行传输,而网络安全审查并未涵盖这些文件。
- 防护范围涵盖已知和未知威胁:30 多个杀毒引擎可检测已知恶意软件,而 Deep CDR™ 技术无需事先识别威胁,即可清除零日漏洞运行所需的组件。
- 这符合特定的PCI DSS要求(5.2、5.3.2、5.4、1.5/1.5.1、11.5/11.5.1),通过集中日志记录,可在评估员检查时证明该控制措施正在运行。
想了解 Deep CDR™Multiscanning 与 PCI DSS 4.0.1 完整要求集的具体Multiscanning ?请下载《PCI DSS 合规指南和检查清单》,其中按各项控制措施进行了详细分解。
