Il team di sicurezza di un gestore di pagamenti segnala un allegato PDF affinché venga esaminato. Il file proviene da un fornitore noto, risulta pulito al controllo di tutte le firme presenti nel database dell’antivirus e viene recapitato nella casella di posta del reparto finanziario senza che nessuno vi presti particolare attenzione. All’interno di quel PDF si nasconde un payload creato appositamente per eludere il rilevamento: nessuna firma nota, nessun comportamento sospetto, nulla che il motore antivirus sia mai stato addestrato a individuare. Quando qualcuno se ne accorge, il file ha già fatto il suo lavoro.
Non si tratta di un'ipotesi. Macro incorporate, oggetti OLE, JavaScript all'interno dei PDF e script offuscati nei file di Office sono vettori di attacco standard nelle operazioni contro i servizi finanziari. E i formati di file preferiti dagli aggressori (PDF, Excel, Word) sono gli stessi che ogni giorno trasportano i dati dei titolari di carte all’interno di un ambiente di pagamento. Rapporti, estratti conto, richieste di apertura di conti e corrispondenza con i fornitori viaggiano tutti sotto forma di file, il che significa che ciascuno di questi formati rappresenta anche un potenziale punto di ingresso nell’ambiente contenente i dati dei titolari di carte.
Se avete contrassegnato il Requisito 5 dello standard PCI DSS 4.0.1 come “soddisfatto” perché sui vostri endpoint è installato un antivirus, vale la pena chiedersi cosa copra effettivamente tale protezione. L’antivirus e l’EDR (Endpoint and Response) sono strumenti potenti e indispensabili. Sono inoltre basati su un presupposto specifico: che una minaccia debba essere riconosciuta per poter essere bloccata. Il nostro primo articolo di questa serie ha esaminato in che modo lo standard PCI DSS 4.0.1 innalzi il livello di protezione contro il malware in generale. Questo articolo approfondisce ulteriormente una lacuna specifica: come le minacce veicolate dai file riescano a eludere l’antivirus per come sono progettate e cosa permetta di colmare tale lacuna in un ambiente di pagamento.
Cosa fa realmente un antivirus e quali sono i suoi limiti
Gli antivirus e le soluzioni EDR sono efficaci nello scopo per cui sono stati progettati: riconoscere le minacce già identificate. Il rilevamento basato sulle firme confronta un file con un database di malware noti. Il rilevamento comportamentale nelle soluzioni EDR individua modelli compatibili con attacchi precedenti. Entrambi gli approcci si basano sul fatto di aver già riscontrato qualcosa di simile in precedenza.
Questa dipendenza rappresenta anche un limite. Un payload zero-day non ha una firma con cui confrontarlo. Un file progettato per eludere l’analisi statica, tramite offuscamento, crittografia o manipolazione strutturale, può superare l’ispezione senza far scattare un solo allarme. Gli autori degli attacchi sanno esattamente come funzionano gli strumenti basati sul rilevamento, ed è per questo che gran parte della moderna superficie di attacco è costruita proprio per eluderli piuttosto che per sopraffarli. Nulla di tutto ciò significa che gli antivirus e gli EDR stiano svolgendo male il loro lavoro. Significa piuttosto che viene loro richiesto di svolgere un compito che, per definizione, non può coprire minacce che nessuno ha ancora catalogato.
Minacce legate ai file nell'ambito dei dati dei titolari di carte
Ciò è particolarmente rilevante per il CDE (Cardholder Data Environment, ambiente dei dati dei titolari di carta). I dati dei titolari di carta non circolano solo attraverso i canali di rete, ma anche tramite file: rapporti, estratti conto, registri delle transazioni, corrispondenza con i fornitori. Quando un file dannoso entra in quell’ambiente senza essere rilevato, il risultato non è solo un allarme di malware non rilevato, ma una violazione del perimetro che lo standard PCI DSS impone alle organizzazioni di controllare. Un file che supera il controllo antivirus perché il suo payload non viene riconosciuto rimane comunque un file all’interno del CDE che trasporta quel payload. Il risultato della scansione non modifica il contenuto del file.
Cosa fa invece la tecnologia Deep CDR™
Anziché chiedersi se un file sia dannoso, la tecnologia Deep CDR™ parte dal presupposto che qualsiasi file possa esserlo e lo tratta di conseguenza. Il processo scompone il file nelle sue parti costitutive, rimuove qualsiasi elemento in grado di veicolare contenuti eseguibili o minacce attive (macro, script incorporati, oggetti OLE) e ricostruisce una versione pulita e pienamente funzionante nel formato originale. Tale ricostruzione avviene in modo ricorsivo: un archivio annidato all’interno di un altro archivio, o un documento con un file incorporato al suo interno, viene sanificato a ogni livello, non solo in quello più esterno. Scopri le prestazioni della tecnologia Deep CDR™.
La differenza sta nel meccanismo, non nel marketing. Gli strumenti basati sul rilevamento cercano di identificare la minaccia. La tecnologia Deep CDR™ rimuove ciò di cui la minaccia avrebbe bisogno per funzionare, indipendentemente dal fatto che sia stata già identificata o meno. Un exploit zero-day e un malware noto ricevono lo stesso trattamento, perché lo strumento non cerca di riconoscere nessuno dei due. Rimuove del tutto il meccanismo di diffusione. Il risultato è un file che si apre, viene visualizzato e funziona esattamente come l’originale, ma privo dei componenti che potrebbero veicolare una minaccia attiva. Test indipendenti lo confermano: la tecnologia Deep CDR™ è stata la prima soluzione CDR a raggiungere il 100% di protezione e accuratezza nel test CDR standalone condotto da SE Labs.
Ai fini dello standard PCI DSS, ciò che conta è il significato che ciò assume per il Requisito 5— Proteggere tutti i sistemi dal malware e aggiornare regolarmente i software o i programmi antivirus: si tratta di un controllo che affronta quella specifica classe di minacce che il rilevamento basato sulle firme è strutturalmente incapace di individuare, applicato nel momento stesso in cui un file entra nell’ambiente piuttosto che a posteriori.
In che modo le tecnologie Metascan Multiscanning Deep CDR™ sono conformi alla norma PCI DSS 4.0.1
Lo standard PCI DSS 4.0.1 non richiede un unico tipo di controllo contro il malware, bensì una protezione a più livelli in grado di affrontare sia le minacce note che quelle sconosciute. Un singolo strumento, per quanto efficace possa essere nel proprio compito specifico, non può soddisfare da solo tali requisiti. È proprio in questo contesto che l’abbinamento tra rilevamento e prevenzione diventa fondamentale per soddisfare requisiti specifici.
Requisito 1: Installazione e manutenzione dei controlli di sicurezza di rete
Il requisito 1 è stato definito per impedire che il rischio proveniente da dispositivi che si collegano sia a reti non attendibili sia al CDE si diffonda all’interno di quest’ultimo. La tecnologia Multiscanning Deep CDR™ supportano direttamente tale obiettivo: una copertura anti-malware a più livelli su traffico di rete, e-mail, endpoint e supporti rimovibili blocca contemporaneamente più punti di ingresso, mentre la combinazione di Multiscanning e CDR garantisce che i file e i dati che attraversano il confine tra reti non affidabili e il CDE arrivino puliti e privi di contenuti dannosi, indipendentemente dal canale attraverso cui sono transitati.
Requisito 5: Proteggere tutti i sistemi e le reti dal Software dannoso
A livello di requisiti, Metascan Multiscanning oltre 30 motori antivirus) e la tecnologia Deep CDR™ (che ricostruisce i file in formati sicuri per neutralizzare le minacce zero-day e quelle incorporate) sono le due funzionalità principali che soddisfano questo requisito dall’inizio alla fine. Insieme coprono entrambe le parti del mandato anti-malware: il rilevamento avanzato delle minacce veicolate dai file per la versione 5.2/5.2.1, in cui ogni file viene elaborato tramite la tecnologia Deep CDR™ e Multiscanning Metascan Multiscanning essere ammesso in un ambiente protetto; la scansione a più livelli per la versione 5.3.2, in cui la scansione multipla, il sandboxing e la neutralizzazione e ricostruzione dei contenuti sono i controlli di supporto raccomandati; e il rilevamento del phishing basato sugli allegati per la versione 5.4, in cui MetaDefender Email Security Multiscanning Metascan Multiscanning l’analisi in sandbox per intercettare gli allegati dannosi prima che raggiungano l’utente.
- Requisito 5.2 (prevenzione e rilevamento del malware). È proprio in questo ambito che le due tecnologie svolgono un lavoro distinto e complementare. Metascan Multiscanning analizza i file utilizzando oltre trenta motori antivirus commerciali, garantendo un livello di rilevamento delle minacce note che nessun singolo motore è in grado di eguagliare da solo; inoltre, poiché tali motori combinano le firme con l’euristica e l’apprendimento automatico, Metascan rileva anche una quota significativa di malware sconosciuto, portando il suo tasso di rilevamento complessivo al 99,2% delle minacce note e sconosciute combinate. La tecnologia Deep CDR™ gestisce quella minima parte di minacce sfuggite alla scansione e previene gli exploit zero-day. Insieme, le minacce note vengono intercettate e quelle che la sola scansione lascerebbe passare perdono il loro meccanismo di diffusione prima ancora di diventare un problema.
- Requisito 5.3.2 (scansione in tempo reale o periodica). La tecnologia Deep CDR™ opera in linea, nel punto di acquisizione. Ogni file viene elaborato nel momento stesso in cui entra nell’ambiente, non nell’ambito di una scansione programmata. Ciò soddisfa l’esigenza di un’ispezione in tempo reale su traffico web, posta elettronica e canali di trasferimento file contemporaneamente, anziché affidarsi a scansioni periodiche per individuare ciò che è sfuggito nel frattempo.
- Requisito 5.4 (meccanismi anti-phishing).MetaDefender Security™ combina la tecnologia Metascan Multiscanning l’analisi in sandbox per intercettare allegati dannosi o sospetti prima che raggiungano la casella di posta in arrivo, mentre MetaDefender aggiunge un’analisi dinamica degli allegati sospetti in un ambiente controllato per intercettare payload zero-day o offuscati che eludono la scansione basata su firme. MetaDefender estende tale visibilità al livello di rete, segnalando connessioni sospette e la distribuzione di payload collegati a campagne di phishing.
Requisito 6: Sviluppare e mantenere Secure e Software Secure
Requisito 6.3 (identificazione delle vulnerabilità). I file che contengono exploit mirati a vulnerabilità software note rappresentano un rischio a livello di file, non solo a livello di rete. Poiché la tecnologia Deep CDR™ rimuove il meccanismo di diffusione dell’exploit prima che il file raggiunga un utente o un sistema, essa affronta questo rischio nel punto in cui altrimenti entrerebbe, indipendentemente dal fatto che la vulnerabilità sottostante sia stata già corretta o meno.
Sei curioso di sapere come questo si rapporta al tuo ambito di applicazione dello standard PCI DSS? Scarica la Guida alla conformità PCI DSS per scoprire più nel dettaglio in quali ambiti si inseriscono le tecnologie Metascan Multiscanning Deep CDR™.
Il ruolo Multiscanning del CDR nella struttura a livelli
Il valore di questo approccio a più livelli dipende dal contesto in cui viene implementato. Una copertura limitata all’endpoint lascia il resto del percorso del file senza protezione, e i dati dei titolari di carte attraversano il confine del CDE attraverso un numero di canali superiore a quello preso in considerazione dalla maggior parte delle matrici di conformità. In un ambiente di pagamento, i punti di maggiore rilevanza sono proprio quelli in cui i file attraversano abitualmente tale confine.
- Sicurezza delle applicazioni web: le applicazioni che ricevono i dati dei titolari di carte di credito rappresentano anche una via di accesso per file dannosi e minacce zero-day che possono penetrare nel CDE tramite upload o interazioni basate su file.
- Gateway e-mail: gli allegati vengono sottoposti a un processo di sanificazione prima dell'invio, il che elimina i documenti Office manipolati a fini malevoli e i PDF dannosi, il formato di diffusione più comune per gli attacchi di spearphishing nel settore dei servizi finanziari.
- Proxy web / ICAP: il traffico HTTP e HTTPS viene ispezionato in tempo reale e i file scaricati da Internet vengono ricostruiti prima che raggiungano i sistemi interni.
- Supporti rimovibili: i file provenienti da USB vengono cancellati in modo sicuro presso il chiosco prima di entrare nel CDE. Ciò soddisfa direttamente il requisito 5.3.3 ed elimina i supporti rimovibili come vettore di attacco.
- Trasferimento gestito dei file: i file scambiati con partner e fornitori vengono ripuliti durante il trasferimento, non solo al momento della ricezione.
La piattaforma MetaDefender™OPSWAT applica in modo coerente la tecnologia Metascan Multiscanning Deep CDR™ in tutti questi punti, insieme alla tecnologia Proactive DLP™ e ad altre funzionalità, in modo che la copertura non dipenda dal canale attraverso cui un file viene trasmesso. Non dipende nemmeno dal formato in cui il file arriva: la tecnologia Deep CDR™ copre oltre 200 tipi di file, dai PDF, fogli di calcolo e documenti Word che dominano i flussi di lavoro relativi ai pagamenti, alle immagini, agli archivi e ad altri formati che, nella pratica, attraversano i confini del CDE.
Che sia noto o nuovo, il risultato è lo stesso
Torniamo al PDF citato all’inizio di questo articolo. Nulla in esso era ipotetico, né richiedeva una cattiva esecuzione da parte di nessuno. Il fornitore era affidabile, la scansione non ha rilevato nulla di sospetto e il file è stato consegnato esattamente come previsto. Questo è lo scenario che il Requisito 5 mira a prevenire, ed è anche lo scenario che una mappatura basata esclusivamente sull’antivirus non è in grado di coprire completamente.
La tecnologia Deep CDR™ ricostruisce i file eliminando i componenti potenzialmente pericolosi, così non si pone nemmeno la questione se il payload fosse già noto o nuovo. Metascan Multiscanning una funzione analoga per qualsiasi elemento che presenti una firma. Grazie a queste due tecnologie, un file che arriva nella casella di posta del reparto finanziario è o una minaccia che è stata individuata, oppure una minaccia che ha perso le parti necessarie al suo funzionamento — mai una minaccia che semplicemente non è stata ancora riconosciuta.
Punti chiave
- I dati relativi ai pagamenti transitano attraverso documenti aziendali — rapporti, rendiconti, corrispondenza con i fornitori — che non rientrano nell'ambito di una verifica della sicurezza della rete.
- La protezione copre sia le minacce note che quelle sconosciute: oltre 30 motori antivirus rilevano il malware noto, mentre la tecnologia Deep CDR™ rimuove i componenti necessari all’esecuzione di una minaccia zero-day, senza dover prima identificarla.
- Ciò è conforme a specifici requisiti dello standard PCI DSS (5.2, 5.3.2, 5.4, 1.5/1.5.1, 11.5/11.5.1), con una registrazione centralizzata che dimostra che il controllo è attivo al momento della verifica da parte di un valutatore.
Vuoi sapere esattamente in che misura la tecnologia Deep CDR™ e Multiscanning l'insieme completo dei requisiti PCI DSS 4.0.1? Scarica la Guida alla conformità PCI DSS e la lista di controllo per un'analisi dettagliata, controllo per controllo.
