Übertragung von Protokollen, Warnmeldungen und Telemetriedaten über eine Datendiode

Erfahren Sie, wie
Wir verwenden künstliche Intelligenz für Website-Übersetzungen, und obwohl wir uns um Genauigkeit bemühen, kann es sein, dass sie nicht immer 100%ig präzise sind. Wir danken Ihnen für Ihr Verständnis.

Wie die Deep CDR™-Technologie und Metascan™ Multiscanning die Sicherheitsanforderungen des PCI DSS Multiscanning

Von OPSWAT
Jetzt teilen

Das Sicherheitsteam eines Zahlungsabwicklers kennzeichnet einen PDF-Anhang zur Überprüfung. Er stammt von einem bekannten Anbieter, wird anhand aller Signaturen in der Antiviren-Datenbank als unbedenklich eingestuft und ohne weitere Überprüfung an den Posteingang der Finanzabteilung weitergeleitet. In diesem PDF befindet sich eine Nutzlast, die speziell darauf ausgelegt ist, einer Erkennung zu entgehen: keine bekannte Signatur, kein auffälliges Verhalten, nichts, worauf die Antiviren-Engine jemals trainiert wurde, es zu erkennen. Bis jemand etwas bemerkt, hat die Datei ihre Aufgabe bereits erfüllt.

Das ist keine hypothetische Annahme. Eingebettete Makros, OLE-Objekte, JavaScript in PDF-Dateien und verschleierte Skripte in Office-Dateien sind gängige Übertragungswege bei Angriffen auf Finanzdienstleister. Und die von Angreifern bevorzugten Dateiformate (PDF, Excel, Word) sind genau dieselben Formate, in denen täglich Karteninhaberdaten durch eine Zahlungsumgebung übertragen werden. Berichte, Kontoauszüge, Kontoanträge und Korrespondenz mit Lieferanten werden alle als Dateien versendet, was bedeutet, dass jedes dieser Formate auch ein potenzieller Einstiegspunkt in die Umgebung mit Karteninhaberdaten ist.

Wenn Sie Anforderung 5 von PCI DSS 4.0.1 als „erfüllt“ ausgewiesen haben, weil auf Ihren Endgeräten Antiviren-Software eingesetzt wird, sollten Sie sich fragen, was diese Abdeckung tatsächlich abdeckt. Antivirenprogramme und EDR (Endpoint and Response) sind leistungsstarke, unverzichtbare Tools. Sie basieren jedoch auf einer bestimmten Annahme: Eine Bedrohung muss erst erkannt werden, um gestoppt werden zu können. In unserem ersten Blogbeitrag dieser Reihe haben wir uns damit befasst, inwiefern PCI DSS 4.0.1 die Anforderungen an den Malware-Schutz generell erhöht. Dieser Beitrag geht noch einen Schritt weiter und beleuchtet eine konkrete Lücke: Wie dateibasierte Bedrohungen aufgrund ihrer Konzeption Antivirenprogramme umgehen und wie diese Lücke in einer Zahlungsumgebung geschlossen werden kann.

Was ein Antivirenprogramm eigentlich leistet – und wo seine Grenzen liegen

Antivirenprogramme und EDR-Lösungen erfüllen ihre eigentliche Aufgabe gut: das Erkennen bereits identifizierter Bedrohungen. Bei der signaturbasierten Erkennung wird eine Datei mit einer Datenbank bekannter Malware abgeglichen. Die verhaltensbasierte Erkennung in EDR-Lösungen achtet auf Muster, die mit früheren Angriffen übereinstimmen. Beide Ansätze setzen voraus, dass bereits etwas Ähnliches beobachtet wurde.

Diese Abhängigkeit ist zugleich auch die Einschränkung. Eine Zero-Day-Nutzlast lässt sich mit keiner Signatur abgleichen. Eine Datei, die durch Verschleierung, Verschlüsselung oder strukturelle Manipulation so gestaltet wurde, dass sie einer statischen Analyse entgeht, kann die Überprüfung passieren, ohne auch nur einen einzigen Alarm auszulösen. Angreifer wissen genau, wie erkennungsbasierte Tools funktionieren, weshalb ein Großteil der modernen Angriffsfläche darauf ausgerichtet ist, diese zu umgehen, anstatt sie zu überwinden. Das bedeutet keineswegs, dass Antiviren- und EDR-Lösungen ihre Aufgabe schlecht erfüllen. Es bedeutet vielmehr, dass von ihnen eine Aufgabe verlangt wird, die per Definition keine Bedrohungen abdecken kann, die noch niemand katalogisiert hat.

Dateibasierte Bedrohungen im Umfeld von Karteninhaberdaten

Dies ist insbesondere für die CDE (Cardholder Data Environment, Umgebung mit Karteninhaberdaten) von Bedeutung. Karteninhaberdaten werden nicht ausschließlich über Netzwerkkanäle übertragen. Sie werden auch über Dateien weitergegeben: Berichte, Kontoauszüge, Transaktionsprotokolle, Korrespondenz mit Lieferanten. Wenn eine schädliche Datei unentdeckt in diese Umgebung gelangt, ist das Ergebnis nicht nur eine verpasste Malware-Warnung. Es handelt sich um einen Verstoß gegen die Sicherheitsgrenzen, deren Einhaltung Organisationen gemäß PCI DSS gewährleisten müssen. Eine Datei, die die Antivirensoftware passiert, weil ihre Nutzlast nicht erkannt wird, ist dennoch eine Datei innerhalb der CDE, die diese Nutzlast enthält. Das Scan-Ergebnis ändert nichts daran, was sich in der Datei befindet.

Was die Deep CDR™-Technologie stattdessen leistet

Anstatt zu prüfen, ob eine Datei schädlich ist, geht die Deep CDR™-Technologie davon aus, dass jede Datei schädlich sein könnte, und behandelt sie entsprechend. Der Prozess zerlegt eine Datei in ihre Bestandteile, entfernt alles, was ausführbaren Inhalt oder aktive Bedrohungen enthalten könnte (Makros, eingebettete Skripte, OLE-Objekte), und erstellt eine saubere, voll funktionsfähige Version im Originalformat neu. Diese Rekonstruktion erfolgt zudem rekursiv: Ein in einem anderen Archiv verschachteltes Archiv oder ein Dokument mit einer eigenen eingebetteten Datei wird auf jeder Ebene bereinigt, nicht nur auf der äußersten. Erfahren Sie mehr über die Leistungsfähigkeit der Deep CDR™-Technologie.

Der Unterschied liegt im Mechanismus, nicht im Marketing. Erkennungsbasierte Tools versuchen, die Bedrohung zu identifizieren. Die Deep CDR™-Technologie entfernt das, was die Bedrohung benötigt, um zu funktionieren – unabhängig davon, ob sie bereits identifiziert wurde oder nicht. Ein Zero-Day-Exploit und eine bekannte Malware werden gleich behandelt, da das Tool nicht versucht, eines von beiden zu erkennen. Es entfernt vielmehr den Übertragungsmechanismus vollständig. Das Ergebnis ist eine Datei, die sich genauso öffnen, anzeigen und funktionieren lässt wie das Original – jedoch ohne die Komponenten, die eine aktive Bedrohung darstellen könnten. Unabhängige Tests bestätigen dies: Die Deep CDR™-Technologie war die erste CDR-Lösung, die im Standalone-CDR-Test von SE Labs 100 % Schutz und Genauigkeit erreichte.

Im Hinblick auf den PCI DSS kommt es darauf an, was dies für Anforderung 5 bedeutet– „Alle Systeme vor Malware schützen und Antivirensoftware oder -programme regelmäßig aktualisieren“: eine Kontrollmaßnahme, die sich gegen jene spezifische Klasse von Bedrohungen richtet, die durch signaturbasierte Erkennung strukturell nicht erfasst werden können, und die bereits in dem Moment angewendet wird, in dem eine Datei in die Umgebung gelangt, und nicht erst im Nachhinein.

Wie sich Metascan Multiscanning die Deep CDR™-Technologie auf PCI DSS 4.0.1 beziehen

PCI DSS 4.0.1 schreibt keine bestimmte Art von Malware-Schutz vor. Es verlangt vielmehr einen mehrschichtigen Schutz, der sowohl bekannte als auch unbekannte Bedrohungen abdeckt. Ein einzelnes Tool kann diese Anforderung – ganz gleich, wie gut es seine spezifische Aufgabe erfüllt – allein nicht erfüllen. Hier kommt die Kombination aus Erkennung und Prävention ins Spiel, um bestimmte Anforderungen zu erfüllen.

Anforderung 1: Netzwerksicherheitsmaßnahmen einrichten und aufrechterhalten

Anforderung 1 dient dazu, zu verhindern, dass sich Risiken von Geräten, die sowohl mit nicht vertrauenswürdigen Netzwerken als auch mit der CDE in Kontakt kommen, in diese ausbreiten. Multiscanning die Deep CDR™-Technologie unterstützen dieses Ziel direkt: Ein mehrschichtiger Malware-Schutz für Netzwerkverkehr, E-Mails, Endgeräte und Wechselmedien verschließt mehrere Einstiegspunkte gleichzeitig, während das kombinierte Multiscanning und CDR sicherstellen, dass Dateien und Daten, die die Grenze zwischen nicht vertrauenswürdigen Netzwerken und der CDE überschreiten, bereinigt und frei von schädlichen Inhalten ankommen – unabhängig davon, über welchen Kanal sie übertragen wurden.

Anforderung 5: Schutz aller Systeme und Netzwerke vor Software

Auf der Anforderungsebene sind das Multiscanning über 30 Antiviren-Engines) und die Deep CDR™-Technologie (die Dateien in sichere Formate rekonstruiert, um Zero-Day- und eingebettete Bedrohungen zu neutralisieren) die beiden wichtigsten Funktionen, die diese Anforderung durchgängig erfüllen. Zusammen decken sie beide Aspekte der Anti-Malware-Anforderungen ab: die erweiterte Erkennung dateibasierter Bedrohungen für 5.2/5.2.1, bei der jede Datei mittels Deep CDR™-Technologie und Metasc Multiscanning verarbeitet wird, Multiscanning sie in eine geschützte Umgebung gelangt; mehrschichtige Überprüfung für 5.3.2, bei der Multiscanning, Sandboxing sowie die Entschärfung und Rekonstruktion von Inhalten als empfohlene unterstützende Kontrollmaßnahmen dienen; und die Erkennung von Anhang-basiertem Phishing für 5.4, bei der MetaDefender Email Security Multiscanning Sandbox-AnalyseEmail Security , um bösartige Anhänge abzufangen, bevor sie einen Benutzer erreichen.

  • Anforderung 5.2 (Prävention und Erkennung von Malware). Hier leisten die beiden Technologien unterschiedliche, sich ergänzende Arbeit. Metascan Multiscanning überprüft Dateien mit mehr als dreißig kommerziellen Antiviren-Engines und erreicht so bei der Erkennung bekannter Bedrohungen eine Tiefe, die keine einzelne Engine allein erreichen kann – und da diese Engines Signaturen mit Heuristiken und maschinellem Lernen kombinieren, erkennt Metascan auch einen bedeutenden Anteil unbekannter Malware, wodurch die Gesamterkennungsrate bei 99,2 % aller bekannten und unbekannten Bedrohungen liegt. Die Deep CDR™-Technologie kümmert sich um den kleinen Rest an Bedrohungen, die beim Scannen übersehen werden, und verhindert Zero-Day-Exploits. Gemeinsam werden bekannte Bedrohungen abgefangen, und die Bedrohungen, die beim reinen Scannen durchrutschen würden, verlieren ihren Ausführungsmechanismus, bevor sie überhaupt zu einem Problem werden können.
  • Anforderung 5.3.2 (Echtzeit- oder periodische Überprüfung). Die Deep CDR™-Technologie arbeitet inline, direkt am Erfassungsort. Jede Datei wird beim Eintritt in die Umgebung verarbeitet und nicht im Rahmen eines geplanten Durchlaufs. Damit werden die Erwartungen an eine Echtzeitüberprüfung des Webverkehrs, des E-Mail-Verkehrs und der Dateiübertragungskanäle gleichzeitig erfüllt, anstatt sich auf periodische Scans zu verlassen, um zu erfassen, was zwischendurch durchgerutscht ist.
  • Anforderung 5.4 (Anti-Phishing-Mechanismen).MetaDefender Security™ kombiniert Metascan Multiscanning Sandbox-Analyse, um bösartige oder verdächtige Anhänge abzufangen, bevor sie den Posteingang erreichen, während MetaDefender eine dynamische Analyse verdächtiger Anhänge in einer kontrollierten Umgebung hinzufügt, um Zero-Day- oder verschleierte Payloads zu erkennen, die signaturbasierten Scans entgehen. MetaDefender erweitert diese Transparenz auf die Netzwerkebene und kennzeichnet verdächtige Verbindungen sowie die Übermittlung von Payloads im Zusammenhang mit Phishing-Kampagnen.

Anforderung 6: Entwicklung und Wartung Secure und Software

Anforderung 6.3 (Erkennung von Schwachstellen). Dateien, die Exploits enthalten, die auf bekannte Software-Schwachstellen abzielen, stellen ein Risiko auf Dateiebene dar, nicht nur auf Netzwerkebene. Da die Deep CDR™-Technologie den Mechanismus zur Auslieferung des Exploits entfernt, bevor eine Datei einen Benutzer oder ein System erreicht, wird dieses Risiko genau an der Stelle abgewehrt, an der es andernfalls eindringen würde – unabhängig davon, ob die zugrunde liegende Schwachstelle bereits behoben wurde.

Möchten Sie wissen, inwieweit dies mit Ihrem eigenen PCI-DSS-Anwendungsbereich übereinstimmt? Holen Sie sich den PCI-DSS-Compliance-Leitfaden und erfahren Sie genauer, wo die Technologien „Metascan Multiscanning „Deep CDR™“ zum Einsatz kommen.

Wo Multiscanning CDR in die Architektur passen

Der Nutzen dieses mehrschichtigen Ansatzes hängt davon ab, wo er eingesetzt wird. Eine Absicherung, die nur am Endpunkt besteht, lässt den restlichen Weg der Datei ungeschützt, und Karteninhaberdaten überqueren die CDE-Grenze über mehr Kanäle, als in den meisten Compliance-Matrizen berücksichtigt wird. In einer Zahlungsumgebung sind die Punkte von größter Bedeutung diejenigen, an denen Dateien diese Grenze regelmäßig überschreiten.

  • Sicherheit von Webanwendungen: Anwendungen, die Karteninhaberdaten empfangen, bieten zudem einen Einfallstor für schädliche Dateien und Zero-Day-Bedrohungen, die über Uploads oder dateibasierte Interaktionen in die CDE gelangen können.
  • E-Mail-Gateway: Anhänge werden vor dem Versand bereinigt, wodurch als Angriffsmittel missbrauchte Office-Dokumente und bösartige PDF-Dateien – das häufigste Übertragungsformat für Spearphishing im Finanzdienstleistungssektor – eliminiert werden.
  • Web-Proxy / ICAP: Der HTTP- und HTTPS-Datenverkehr wird in Echtzeit überprüft, und aus dem Internet heruntergeladene Dateien werden rekonstruiert, bevor sie die internen Systeme erreichen.
  • Wechselmedien: Dateien von USB werden am Kiosk bereinigt, bevor sie in die CDE gelangen. Damit wird die Anforderung 5.3.3 direkt erfüllt und Wechselmedien als Angriffsvektor ausgeschlossen.
  • Managed File Transfer: Dateien, die mit Partnern und Lieferanten ausgetauscht werden, werden bereits während der Übertragung bereinigt – nicht erst beim Empfang.

Die MetaDefender™-PlattformOPSWAT wendet an all diesen Punkten konsequent die Metascan Multiscanning Deep CDR™-Technologie an, zusammen mit der Proactive DLP™-Technologie und weiteren Funktionen, sodass die Abdeckung nicht davon abhängt, über welchen Kanal eine Datei gerade eingeht. Sie hängt auch nicht davon ab, in welchem Format eine Datei eintrifft: Die Deep CDR™-Technologie deckt mehr als 200 Dateitypen ab, von PDFs, Tabellenkalkulationen und Word-Dokumenten, die in Zahlungsabläufen vorherrschen, bis hin zu Bildern, Archiven und anderen Formaten, die in der Praxis die Grenzen der CDE überschreiten.

Ob bekannt oder neu – das Ergebnis ist dasselbe

Kehren Sie zu dem PDF-Dokument am Anfang dieses Artikels zurück. Nichts daran war hypothetisch, und nichts daran erforderte eine mangelhafte Ausführung seitens irgendjemandes. Der Anbieter war seriös, der Scan ergab keine Auffälligkeiten, und die Datei wurde genau wie vorgesehen geliefert. Genau dieses Szenario soll Anforderung 5 verhindern, und es ist auch das Szenario, das eine ausschließlich auf Antiviren-Software basierende Zuordnung nicht vollständig abdecken kann.

Die Deep CDR™-Technologie baut Dateien ohne die Komponenten wieder auf, die gefährlich sein könnten, sodass die Frage, ob die Nutzlast bekannt oder neu war, gar nicht erst gestellt werden muss. Metascan Multiscanning dasselbe für alles, was eine Signatur aufweist. Dank dieser beiden Verfahren ist eine Datei, die im Posteingang der Finanzabteilung landet, entweder eine Bedrohung, die abgefangen wurde, oder eine Bedrohung, der die für ihre Funktion notwendigen Teile fehlen – niemals eine Bedrohung, die einfach noch nicht erkannt wurde.

Das Wichtigste auf einen Blick

  • Zahlungsdaten werden in Geschäftsunterlagen – Berichten, Abrechnungen, Korrespondenz mit Lieferanten – weitergegeben, die bei einer Überprüfung der Netzwerksicherheit nicht berücksichtigt werden.
  • Der Schutz erstreckt sich sowohl auf bekannte als auch auf unbekannte Bedrohungen: Über 30 Antiviren-Engines erkennen bekannte Malware, und die Deep CDR™-Technologie entfernt die Komponenten, die ein Zero-Day-Angriff zum Ausführen benötigen würde, ohne dass die Bedrohung zuvor identifiziert werden muss.
  • Dies entspricht bestimmten PCI-DSS-Anforderungen (5.2, 5.3.2, 5.4, 1.5/1.5.1, 11.5/11.5.1), wobei eine zentralisierte Protokollierung sicherstellt, dass die Kontrollmaßnahme zum Zeitpunkt der Überprüfung durch einen Prüfer aktiv ist.

Möchten Sie genau erfahren, inwieweit die Deep CDR™-Technologie und Multiscanning die Anforderungen des PCI DSS 4.0.1 Multiscanning ? Laden Sie den PCI DSS-Compliance-Leitfaden und die Checkliste herunter, um eine detaillierte Aufschlüsselung nach einzelnen Kontrollmaßnahmen zu erhalten.

Bleiben Sie auf dem Laufenden mit OPSWAT!

Melden Sie sich noch heute an, um die neuesten Unternehmensinformationen zu erhalten, Geschichten, Veranstaltungshinweise und mehr.