As práticas de segurança de ficheiros da norma PCI DSS abrangem a verificação, a limpeza e a avaliação de todos os ficheiros que entram no CDE (ambiente de dados do titular do cartão), em todos os canais de ingestão, e não apenas nos terminais. A norma PCI DSS 4.0.1 alarga a cobertura antimalware à Web, ao e-mail, ao armazenamento na nuvem, à transferência gerida de ficheiros, aos suportes removíveis e às dependências de software.
A maioria das equipas de segurança responsáveis pela conformidade com a norma PCI DSS (Payment Card Industry Data Security Standard) já realizou o trabalho necessário. O EDR (Endpoint and Response) está implementado. O antimalware está a funcionar. O requisito n.º 5 está assinalado. Estas são medidas de segurança essenciais, mas quando se trata do âmbito mais alargado dos requisitos regulamentares, os controlos de segurança tradicionais podem revelar-se insuficientes.
A norma PCI DSS 4.0.1 é explícita quanto a um aspeto que as versões anteriores deixavam aberto à interpretação: a cobertura antimalware estende-se a todos os canais através dos quais os ficheiros entram, circulam e saem do CDE. Vulnerabilidades de dia zero. Tráfego web. E-mail. Cloud . Transferência gerida de ficheiros. Suportes removíveis. Software .
Os terminais são apenas uma das muitas áreas abrangidas pela auditoria. Se as outras não tiverem sido avaliadas, existe um risco, e os auditores sabem onde procurar.
Este artigo apresenta uma visão geral completa do âmbito de aplicação da norma, para que possa avaliar com honestidade o seu próprio nível de conformidade. Para uma referência mais aprofundada, requisito a requisito, o Guia de Mapeamento e a Lista de Verificação para Iniciantes do PCI DSS analisam cada controlo em pormenor, com recomendações concretas.
Principais conclusões
A norma PCI DSS 4.0.1 encara a segurança de ficheiros como uma disciplina multicanal. A proteção contra malware deve abranger a Web, o e-mail, a nuvem, a transferência gerida de ficheiros, os suportes removíveis e as dependências de software, e não apenas os terminais.
A proteçãonum único terminalocorre a jusante de todos os outros canais. Quando um ficheiro chega ao agente do terminal, já passou ou foi rejeitado em seis outros pontos de inspeção.
A deteção por assinatura, por si só, não cumpre a norma. O requisito n.º 5 exige a cobertura de todos os tipos de malware e a deteção comportamental de ameaças de dia zero.
Os suportes amovíveis estão sujeitos a uma obrigação explícita. O requisito 5.3.3 exige a verificação automática dos suportes amovíveis no momento da inserção; as políticas manuais não são consideradas válidas.
Software estão abrangidas. O requisito 6.3.2 exige que o software desenvolvido à medida e personalizado seja desenvolvido de forma segura e que seja mantido um inventário dos componentes de terceiros.
O que exige a norma PCI DSS 4.0.1 em matéria de segurança de ficheiros?
Antes de analisar os canais, vale a pena basear a argumentação na própria especificação.
O requisito 5 descreve claramente a superfície de ameaça: «O malware pode entrar na rede durante muitas atividades aprovadas pela empresa, incluindo o correio eletrónico dos colaboradores (por exemplo, através de phishing) e a utilização da Internet, mobile e de dispositivos de armazenamento, resultando na exploração de vulnerabilidades do sistema.» Este é o principal modelo de ameaça para ataques baseados em ficheiros em ambientes de pagamento.
A norma estabelece também que a deteção de assinaturas, por si só, não é suficiente: «A utilização de soluções antimalware que abordem todos os tipos de malware ajuda a proteger os sistemas contra ameaças de malware atuais e em evolução.» As expressões-chave são «todos os tipos» e «atuais e em evolução». A deteção que apenas reconhece ameaças conhecidas deixa uma lacuna que a norma identifica explicitamente.
O requisito 5.2.1 vai mais longe — as suas orientações de boas práticas referem que é «benéfico que as entidades estejam cientes dos ataques de “dia zero” (aqueles que exploram uma vulnerabilidade até então desconhecida) e considerem soluções que se centrem nas características comportamentais e que alertem e reajam a comportamentos inesperados». Trata-se do próprio reconhecimento da norma de que a deteção comportamental e heurística é importante para uma cobertura completa.
Os requisitos 6 e 11 alargam ainda mais o âmbito de aplicação. O requisito 6.3.2 exige que as vulnerabilidades de segurança em software desenvolvido à medida e personalizado sejam identificadas, abordando diretamente o risco da cadeia de abastecimento de software. O requisito 11.3.1.2 exige a realização de análises internas autenticadas. Em conjunto, estabelecem que a segurança dos ficheiros num ambiente em conformidade com a norma PCI DSS não é um controlo isolado, mas sim uma disciplina aplicada em toda a arquitetura.
Quais são os sete canais de receção de ficheiros que a norma PCI DSS exige que Secure?
É aqui que muitos programas de conformidade apresentam uma lacuna que ainda não foi avaliada.
Canal de ingestão | Requisito da norma PCI DSS | Por que é que Endpoint não conseguem detetar isso? | O que colmata a lacuna |
Tráfego na Web | Req. 5, 6 | Os ficheiros em trânsito através de um proxy da Web nunca passam pelo agente do terminal | Digitalização de vários motores no ponto de acesso |
E-mail e anexos | Req. 1, 5 | A análise de assinaturas com um único motor não deteta macros, arquivos nem exploits incorporados | Multiscanning, limpeza de ficheiros, prevenção da perda de dados |
Armazenamento Cloud | Req. 5, 6 | Os uploads diretos para o SharePoint, o OneDrive ou o S3 contornam a inspeção de pontos finais | Análise de ficheiros em repouso + prevenção da perda de dados |
Gestão da transferência de ficheiros | Req. 5, 6 | Os ficheiros dos parceiros de confiança já chegam integrados no fluxo de trabalho | Análise de ficheiros em movimento + limpeza de ficheiros |
Suportes removíveis | Req. 1, 5, 9 | As políticas de verificação manual não cumprem a exigência de verificação automática | Análise automática aquando da inserção (quiosque) para impedir a entrada de malware proveniente de dispositivos externos |
Software | Requisito 6 | As vulnerabilidades CVE conhecidas em componentes de terceiros não são assinaturas de malware | vulnerability detection em ficheiros (artefactos de software) vulnerability detection as fases do SDLC |
Pontos finais | Req. 5 | A jusante de todos os outros canais; deteta as ameaças em último lugar | EDR / Antivírus para terminais |
- Tráfego web: Os ficheiros descarregados ou carregados num portal web através de HTTPS passam pela rede antes de chegarem a qualquer terminal.
- E-mail e anexos: O e-mail continua a ser o mecanismo de distribuição mais comum para ameaças baseadas em ficheiros. A análise de anexos tem de ir além da comparação de assinaturas. Arquivos comprimidos, documentos com macros ativadas e ficheiros com exploits incorporados são todos concebidos para contornar essa análise.
- Cloud local e Cloud : os ficheiros são sincronizados constantemente de e para o SharePoint, o OneDrive, o S3 e plataformas semelhantes.
- Transferência de ficheiros gerida: as trocas com fornecedores, as integrações com parceiros e os envios de ficheiros por parte dos clientes criam fluxos de ficheiros recebidos que apresentam o seu próprio perfil de risco.
- Suportes removíveis: O requisito 5.3.3 é uma das obrigações mais específicas da norma: o software antimalware deve analisar automaticamente os suportes removíveis quando estes são inseridos. USB constituem um vetor de ataque ativo em ambientes de pagamento, incluindo sistemas isolados (air-gapped), onde são frequentemente a única via de transferência de dados externa.
- Software e dependências. O requisito 6.3.2 existe porque as bibliotecas de terceiros e os componentes incorporados constituem uma fonte significativa de exposição a CDE. Um ficheiro binário que inclua uma vulnerabilidade CVE (Common Vulnerability and Exposure) conhecida numa das suas dependências representa um risco que a deteção de malware baseada em assinaturas não consegue identificar. Trata-se de uma vulnerabilidade à espera de ser explorada, e não de malware no sentido tradicional.
- Terminais. Este é o canal que a maioria das equipas já tem coberto. Endpoint analisam o que chega, é executado ou permanece num dispositivo. Essa cobertura é necessária, mas surge a jusante de todos os outros canais desta lista. Quando um ficheiro chega a um terminal, já passou ou falhou em seis outros pontos de inspeção.
Por que razão Endpoint com um único antivírus não é suficiente
O EDR e o antivírus para um único terminal são excelentes ferramentas, mas o seu âmbito de aplicação é limitado por definição.
Endpoint protegem os dispositivos ao monitorizar o que acontece no equipamento: ficheiros gravados no disco, processos executados, ligações de rede iniciadas. Não inspecionam ficheiros que transitam por um proxy da Web, um gateway de e-mail, uma API de sincronização na nuvem ou um USB . Trata-se de uma questão de âmbito, não de uma deficiência do produto.
A norma PCI DSS 4.0.1 responde de forma definitiva a essa questão relativa ao âmbito de aplicação. A norma descreve a superfície de ameaça como todos os canais através dos quais os ficheiros entram na rede. Endpoint protege o que já se encontra dentro do CDE. A segurança dos ficheiros protege a transição.
A lacuna não é teórica. Um atacante que introduza uma carga maliciosa através de um anexo de phishing analisado apenas por um gateway de motor único, ou através de uma dependência maliciosa num pacote de software fornecido pelo fabricante, ou ainda através de um USB ligado durante uma janela de manutenção — nenhuma dessas vias passa por um agente de terminal até ser tarde demais. São esses os canais que a norma lhe pede para bloquear.
Como se traduz a segurança total dos ficheiros ao abrigo da norma PCI DSS 4.0.1?
As organizações com auditorias 4.0.1 sem irregularidades em matéria de segurança de ficheiros partilham uma arquitetura comum: inspeção em todos os pontos de entrada de dados, com várias camadas de defesa.
Isso significa uma análise com múltiplos motores ao nível do gateway. A análise simultânea de ficheiros com vários motores antivírus aumenta drasticamente as taxas de deteção e proporciona a profundidade de cobertura exigida pela formulação «todos os tipos» da norma. Significa a sanitização de ficheiros que neutraliza o que o antivírus não consegue detetar: a tecnologia Deep CDR™ reconstrói os ficheiros em formatos seguros e utilizáveis, removendo conteúdo potencialmente malicioso, incluindo exploits de dia zero que ainda não foram catalogados. Significa uma avaliação de vulnerabilidades ao nível do ficheiro em relação a CVEs conhecidos para pacotes de software e ficheiros binários antes de estes chegarem aos sistemas de produção. E significa um registo centralizado em todos os canais, e não apenas na telemetria dos terminais, para que os requisitos de auditoria do Requisito 11 possam ser efetivamente cumpridos.
O MetaDefender™ é a plataforma de segurança de ficheiros OPSWAT, concebida para analisar, sanitizar e avaliar ficheiros em todos os canais de ingestão antes de estes chegarem ao CDE.
Conforme referido no guia de conformidade OPSWAT: «OPSWAT MetaDefender algumas das funcionalidades mais robustas do setor no que diz respeito ao Requisito 5. Multiscanning Metascan™ Multiscanning mais de 30 motores antivírus comerciais para detetar malware conhecido com uma precisão excecional, enquanto a tecnologia Deep CDR™ neutraliza de forma proativa ameaças de dia zero e ameaças incorporadas, reconstruindo os ficheiros em formatos seguros e utilizáveis.»
Essa lacuna existe não porque as equipas de segurança tenham sido negligentes, mas porque a norma PCI DSS 4.0.1 exige algo mais abrangente. As equipas que a colmatam antes de uma auditoria não estão a fazer mais do que o exigido pela norma. Estão apenas a cumprir tudo o que esta exige.
Próximos passos
Está pronto para avaliar a sua cobertura atual em relação a todos os requisitos da versão 4.0.1?
Descarregue o Guia de Mapeamento da PCI DSS + Lista de Verificação para Iniciantes da PCI DSS para mapear os seus controlos existentes em relação a cada um dos sete canais de ingestão de ficheiros e identificar onde existem lacunas.
Perguntas mais frequentes
A proteção de um único ponto final é suficiente para garantir a conformidade com a norma PCI DSS 4.0.1?
Não. A norma PCI DSS 4.0.1 alarga a cobertura antimalware a todos os canais através dos quais os ficheiros entram no CDE. A proteção tradicional de terminais protege os dispositivos, mas não inspeciona os ficheiros que transitam por proxies da Web, gateways de e-mail, sincronização na nuvem ou suportes removíveis. OPSWAT MetaDefender integra-se com tecnologias multicamadas para colmatar esta lacuna.
A norma PCI DSS exige a verificação de malware em suportes removíveis?
Sim. Quando um suporte removível é inserido, ligado ou montado logicamente, o requisito 5.3.3 exige a realização de análises automáticas ou uma análise comportamental contínua dos sistemas ou processos. As políticas de análise manual não cumprem este requisito.
Quais são os canais de ingestão de ficheirosrelacionados com a norma PCI DSS 4.0.1?
Tráfego na Web, e-mail e anexos, armazenamento na nuvem, transferência gerida de ficheiros, suportes removíveis, dependências de software e terminais.
A norma PCI DSS 4.0.1 aborda os riscos relacionados com a cadeia de abastecimento de software?
Sim. O requisito 6.3.2 exige que o software desenvolvido à medida e personalizado seja desenvolvido de forma segura, que as vulnerabilidades de segurança sejam identificadas e corrigidas e que seja mantido um inventário dos componentes de software de terceiros, a fim de facilitar a gestão de vulnerabilidades e de correções.
O que é o ambiente de dados do titular do cartão (CDE)?
O CDE é constituído pelas pessoas, pelos processos e pela tecnologia que armazenam, processam ou transmitem dados dos titulares de cartões, bem como por quaisquer sistemas ligados a ele. Os controlos de segurança de ficheiros da norma PCI DSS aplicam-se aos ficheiros que entram, circulam e saem do CDE.
