PCI DSS 4.0.1 文件安全：为何Endpoint 还不够

PCI DSS 4.0.1 将文件安全视为一项多渠道措施。反恶意软件的 覆盖范围必须扩展至 Web、电子邮件、云、托管文件传输、可移动存储介质以及软件依赖项，而不仅仅局限于终端设备。

单一终端防护位于所有其他通道的下游。当文件到达终端代理时，其他六个检查点已经对其进行了通过或失败的判定。

仅靠签名检测无法满足该标准。要求5 规定必须覆盖所有类型的恶意软件，并对零日威胁进行行为检测。

可移动存储介质有明确的义务。要求 5.3.3 规定，在插入可移动存储介质时必须进行自动扫描；手动操作不符合要求。

Software 属于本规范的适用范围。要求 6.3.2 规定，必须以安全的方式开发定制软件和专用软件，并维护第三方组件清单。

在探讨各个渠道之前，有必要先从规范本身出发来论证这一观点。

要求 5 明确描述了威胁面：“恶意软件可能在许多经企业批准的活动中进入网络，包括员工电子邮件（例如通过网络钓鱼）、互联网使用、mobile 以及存储设备的使用，从而导致系统漏洞被利用。”这是支付环境中基于文件的攻击的主要威胁模型。

该标准还指出，仅靠签名检测是不够的：“使用能够应对所有类型恶意软件的防恶意软件解决方案，有助于保护系统免受当前及不断演变的恶意软件威胁。”其中的关键短语是“所有类型”和“当前及不断演变”。仅能识别已知威胁的检测方式会留下漏洞，而该标准对此进行了明确指明。

要求 5.2.1 更进一步——其“良好实践”指南指出，“实体应了解‘零日’攻击（即利用此前未知的漏洞进行的攻击），并考虑采用那些侧重于行为特征、能够对异常行为发出警报并作出响应的解决方案。”这表明该标准本身承认，行为检测和启发式检测对于实现全面覆盖至关重要。

要求 6 和 11 进一步扩展了适用范围。要求 6.3.2 规定必须识别定制软件和专属软件中的安全漏洞，这直接针对软件供应链风险。要求 11.3.1.2 规定必须进行经过身份验证的内部扫描。这两项要求共同表明，在符合 PCI DSS 标准的环境中，文件安全并非单一的控制措施，而是一项贯穿整个架构的规范。

这正是许多合规计划中尚未进行评估的薄弱环节。

1. 网络流量：通过HTTPS从网络门户下载或上传的文件，在到达任何终端之前都会经过网络传输。
2. 电子邮件及附件：电子邮件仍是文件型威胁最常见的传播途径。附件扫描必须超越单纯的签名匹配。压缩文件、启用了宏的文档以及嵌有漏洞利用代码的文件，都是为了规避这种扫描而设计的。
3. 本地和Cloud ：文件会与 SharePoint、OneDrive、S3 及类似平台之间持续同步。
4. 受管文件传输：供应商数据交换、合作伙伴集成以及客户文件提交都会产生入站文件流，这些文件流各自具有不同的风险特征。
5. 可移动存储介质：要求 5.3.3 是该标准中较为具体的义务之一：反恶意软件必须在可移动存储介质插入时自动对其进行扫描。在支付环境中，USB 是一种活跃的攻击载体，包括物理隔离系统——在这些系统中，USB 设备往往是唯一的外部数据通道。
6. Software 及其依赖项。要求 6.3.2 的存在，是因为第三方库和嵌入式组件是 CDE 暴露的重要来源。如果某个二进制文件随附的依赖项中存在已知的 CVE（通用漏洞与暴露），就会带来一种风险：基于签名的恶意软件检测无法捕获该漏洞。这是一种等待被利用的漏洞，而非传统意义上的恶意软件。
7. 终端。这是大多数团队都已覆盖的唯一一个防护渠道。Endpoint 会扫描进入设备、在设备上执行或驻留的文件。这种防护固然必要，但它位于本列表中其他所有防护渠道的下游。当一个文件到达终端时，它已经通过或未通过了其他六个检查点。

EDR 和单终端杀毒软件都是非常优秀的工具，但它们的应用范围在设计上存在局限。

Endpoint 通过监控设备上的活动来保护设备：例如写入磁盘的文件、执行的进程以及建立的网络连接。它们不会检查通过Web代理、电子邮件网关、云API或USB 传输的文件。这是范围问题，而非产品缺陷。

PCI DSS 4.0.1 对这一范围问题给出了明确的答案。该标准将威胁面定义为文件进入网络的每一个通道。Endpoint 负责保护已进入CDE的数据，而文件安全则负责保障数据在传输过程中的安全。

这一漏洞并非理论上的。攻击者若通过仅由单引擎网关扫描的钓鱼附件、供应商提供的软件包中的恶意依赖项，或是在维护窗口期间插入的USB 来投放有效载荷——无论采用哪种途径，在为时已晚之前，这些途径都不会触及终端代理。而该标准正是要求您封堵这些渠道。

在文件安全方面通过了 4.0.1 版审计的组织都采用相同的架构：在每个数据摄入点进行检查，并构建多层防御体系。

这意味着在网关层级进行多引擎扫描。同时使用多个杀毒引擎对文件进行扫描，可显著提高检测率，并满足该标准中“所有类型”这一表述所要求的覆盖深度。这还意味着通过文件净化来消除杀毒软件无法检测的内容：Deep CDR™ 技术通过剔除潜在恶意内容（包括尚未被收录的零日漏洞利用），将文件重建为安全且可用的格式。 这意味着在软件包和二进制文件进入生产系统之前，针对已知的 CVE 进行文件级漏洞评估。此外，这还意味着跨所有渠道（而不仅仅是终端遥测数据）进行集中日志记录，从而切实满足第 11 项要求的审计需求。

MetaDefender™ 是OPSWAT文件安全平台，旨在对所有数据采集渠道中的文件进行扫描、清理和评估，确保这些文件在进入 CDE 之前已通过安全检查。

正如OPSWAT合规指南所指出的：OPSWAT MetaDefender 在满足要求 5MetaDefender 业内最强大的功能之一。Metascan™Multiscanning 30 多个商用杀毒引擎，以极高的准确率检测已知恶意软件；而 Deep CDR™ 技术则通过将文件重建为安全且可用的格式，主动消除零日威胁和嵌入式威胁。”

这一漏洞的存在并非因为安全团队疏忽大意，而是因为PCI DSS 4.0.1的要求范围更广。那些在审计前弥补这一漏洞的团队，所做的不过是满足标准的要求而已。他们只是把所有要求都落实到位了。

您准备好根据4.0.1版本的全部要求，评估您当前的保障范围了吗？

下载《PCI DSS 映射指南》和《PCI DSS 入门检查清单》 ，将您现有的控制措施与七个文件接收渠道逐一进行对照，并找出存在差距之处。