Como OPSWAT contribui para a conformidade com a norma PCI DSS através da segurança de ficheiros

Os requisitos 5, 6 e 11 são aqueles em que a segurança dos ficheiros tem a influência mais direta na conformidade. São também nestes requisitos que surgem a maioria das lacunas de cobertura nos ambientes de serviços financeiros.

O requisito 5 exige que as organizações implementem e mantenham soluções abrangentes de proteção contra malware que previnam, detetem e combatam software malicioso em todos os sistemas do CDE. Isto inclui o estabelecimento de defesas ativas e atualizadas, a realização de análises em tempo real ou periódicas e a implementação de mecanismos anti-phishing. O âmbito abrange gateways da Web e de e-mail, armazenamento na nuvem, terminais e suportes removíveis.

Como OPSWAT proteger sistemas e redes contra Software malicioso

A tecnologia Metascan™ Multiscanning OPSWAT recorre a mais de 30 motores antimalware comerciais para detetar malware conhecido com uma precisão excecional, enquanto a tecnologia Deep CDR™ neutraliza de forma proativa ameaças de dia zero e ameaças incorporadas, reconstruindo os ficheiros em formatos seguros e utilizáveis.

• MetaDefender proporciona uma inspeção aprofundada de conteúdos em várias camadas em todos os principais canais de receção de ficheiros.

• A tecnologia avançada de sandboxing MetaDefender deteta malware evasivo ou sem ficheiros que a deteção baseada em assinaturas não consegue identificar.

• MetaDefender e MetaDefender protegem USB no momento da inserção.

• MetaDefender Security™ bloqueia anexos de phishing e conteúdos suspeitos antes da entrega.

• ICAP MetaDefender ICAP analisa o tráfego HTTP/S, detetando e bloqueando ficheiros maliciosos em trânsito antes de estes chegarem aos sistemas internos

• My Central Management centraliza o registo, as atualizações do motor e a visibilidade da conformidade em toda a implementação.

O requisito 6 garante que todos os sistemas e software no âmbito do CDE sejam desenvolvidos, mantidos e protegidos de forma segura ao longo de todo o seu ciclo de vida. A norma PCI DSS 4.0.1 centra-se em dois objetivos: prevenir a exploração de vulnerabilidades de segurança e reduzir o risco introduzido por software personalizado ou de terceiros. O requisito 6.3.2 exige especificamente a manutenção de um inventário desses componentes para a gestão de vulnerabilidades. Isto implica a aplicação atempada de correções, a adoção de práticas seguras do SDLC (Ciclo de VidaSoftware ) e a manutenção de repositórios de código seguros.

Como OPSWAT Secure e Software Desenvolvimento e manutenção

MetaDefender o Requisito 6 através de uma visibilidade aprofundada dos componentes de software e dos pacotes de ficheiros antes de estes entrarem em produção.

• A avaliação de vulnerabilidades com vários mecanismos deteta entradas CVE (Common Vulnerability and Exposure) conhecidas em ficheiros binários, instaladores e dependências, para que apenas os componentes seguros e avaliados cheguem ao ambiente.

• MetaDefender Core Server MetaDefender ICAP Server a segurança dos ficheiros das aplicações web e a inspeção do tráfego de conteúdos provenientes de fontes externas ou não confiáveis.

• MetaDefender Software Chain™ reforça os fluxos de trabalho de desenvolvimento através da análise de bibliotecas de terceiros, da verificação de artefactos de código à procura de elementos maliciosos ou vulneráveis e da geração de relatórios SBOM (Software of Materials) que melhoram a transparência das dependências.

A segurança dos ficheiros está no centro dos Requisitos 5, 6 e 11, mas a cobertura MetaDefender estende-se a várias outras áreas da norma. Eis onde contribui.

O requisito 1 exige a implementação e manutenção de controlos de segurança de rede, incluindo firewalls, routers e dispositivos de proteção de perímetro, para salvaguardar o CDE. Isto inclui a aplicação da segmentação da rede, a configuração de políticas e a documentação dos fluxos de dados.

Os controlos de acesso físico protegem o perímetro ao nível da rede, mas os ficheiros atravessam constantemente esse perímetro na camada de conteúdo, que é onde se aplicam os controlos MetaDefender.

Como OPSWAT a manutenção dos controlos de segurança da rede

OPSWAT o Requisito 1, adicionando prevenção de ameaças baseada no conteúdo em pontos de controlo-chave em toda a rede.

• MetaDefender inspecionam, limpam e validam ficheiros que circulam através de canais de e-mail, Web, armazenamento, suportes removíveis e terminais, reduzindo o risco ao nível do conteúdo, mesmo quando os controlos de rede permitem esse tráfego.

• Proactive DLP Metascan Multiscanning, Deep CDR™ e Proactive DLP funcionam em conjunto para impedir que conteúdos maliciosos entrem ou se desloquem dentro de ambientes segmentados.

O requisito 2 garante que todos os componentes do sistema, incluindo servidores, aplicações e dispositivos de rede, sejam configurados de forma segura e mantidos de forma consistente. Isto inclui a eliminação de serviços desnecessários, a aplicação de normas de reforço da segurança e a verificação de que os sistemas se mantêm em conformidade com essas configurações ao longo do tempo.

Como OPSWAT Secure nos componentes do sistema

MetaDefender este requisito ao analisar ficheiros, pacotes de software e programas de instalação em busca de malware e vulnerabilidades conhecidas antes de estes chegarem aos sistemas de produção. Garante assim que apenas componentes seguros e verificados transitem por ambientes com diferentes níveis de confiança.

• Endpoint MetaDefender Endpoint a aplicação de correções e a validação do estado de segurança, enquanto

• Supply Chain MetaDefender Software Supply Chain vulnerabilidades em componentes de terceiros e de código aberto. Requisito 8: Identificar os utilizadores e autenticar o acesso aos componentes do sistema

O requisito 8 estabelece a necessidade de uma identificação única do utilizador e de controlos de autenticação robustos, incluindo a MFA (autenticação multifator), para garantir a segurança do acesso aos sistemas no âmbito do CDE. Este requisito regula as normas relativas às palavras-passe, a gestão de contas, a verificação de identidade e as medidas de proteção contra o roubo de credenciais.

Como OPSWAT a identificação de utilizadores e a autenticação de acesso

MetaDefender o Requisito 8 ao integrar MetaDefender com fornecedores externos de IAM (Gestão de Identidades e Acessos), tais como o Active Directory e plataformas de SSO (Início de Sessão Único), permitindo uma autenticação forte e um acesso administrativo seguro.

• Os inícios de sessão na consola estão protegidos por HTTPS, eCentral Management My OPSWAT Central Management as políticas de autenticação para as contas administrativas locais.

• Proactive DLP também consegue detetar credenciais expostas nos ficheiros analisados.

O requisito 9 centra-se na manutenção de uma segurança física rigorosa dos sistemas, dispositivos e suportes que armazenam ou processam dados de titulares de cartões. Inclui controlos destinados a restringir o acesso físico, gerir visitantes, rastrear suportes sensíveis e garantir o manuseamento e a destruição seguros dos dados de titulares de cartões em formato físico.

Os suportes removíveis constituem um dos poucos vetores de ataque físico que contornam tanto a segmentação da rede como os controlos tradicionais do perímetro. Este é o ponto de intersecção específico entre o Requisito 9 e MetaDefender.

Como OPSWAT Secure o acesso Secure aos dados dos titulares de cartões

O acesso físico a uma rede não requer uma ligação à rede. Os suportes removíveis constituem um dos vetores de ataque físico mais diretos em ambientes de pagamento, incluindo sistemas isolados (air-gapped).

• Kiosk MetaDefender Kiosk Endpoint MetaDefender Endpoint e higienizam USB antes de os ficheiros entrarem ou saírem das redes seguras, impedindo a transferência de malware através de suportes físicos.

• Os controlos centralizados de políticas no My OPSWAT Central Management uma aplicação consistente. O controlo do acesso físico, por si só, continua a ser da responsabilidade da organização, mas MetaDefender a camada de ficheiros no perímetro físico.

O requisito 10 define a necessidade de um registo e monitorização abrangentes que acompanhem todos os acessos aos sistemas, aos dados dos titulares de cartões e aos eventos relevantes para a segurança. Os registos de auditoria completos permitem a análise forense, a responsabilização dos utilizadores e a deteção rápida de atividades suspeitas.

Como OPSWAT o registo e a monitorização em ambientes de dados de titulares de cartões

MetaDefender para o Requisito 10 ao gerar registos detalhados sobre a atividade de análise de malware, ações administrativas, deteções de ameaças e atualizações do motor em todos os seus módulos.

• My OPSWAT Central Management esta informação e integra-se com plataformas SIEM (Gestão de Informações e Eventos de Segurança) para permitir uma correlação mais abrangente e a retenção a longo prazo.

• MetaDefender substitui os sistemas de registo ao nível do sistema operativo ou da rede, mas proporciona uma visibilidade fiável das ameaças relacionadas com ficheiros e da atividade MetaDefender em toda a implementação.