Veri Diyotu Aracılığıyla Günlükler, Uyarılar ve Telemetri Verilerinin Gönderilmesi

Nasıl Yapılır?
Site çevirileri için yapay zeka kullanıyoruz ve doğruluk için çaba göstersek de her zaman %100 kesin olmayabilir. Anlayışınız için teşekkür ederiz.

Deep CDR™ Teknolojisi ve Metascan™ Multiscanning , PCI DSS Güvenlik Gerekliliklerini Nasıl Multiscanning ?

Yazan OPSWAT
Bu Gönderiyi Paylaş

Bir ödeme işleyicisinin güvenlik ekibi, incelenmesi için bir PDF ekini işaretler. Dosya, bilinen bir tedarikçiden gelmiştir; antivirüs veritabanındaki tüm imzalar açısından tarama sonucu temiz çıkmıştır ve ikinci bir inceleme yapılmadan finans departmanının gelen kutusuna iletilir. Bu PDF’nin içinde, tespit edilmekten kaçınmak için özel olarak oluşturulmuş bir yük bulunmaktadır: bilinen hiçbir imza, işaretlenmiş hiçbir davranış, antivirüs motorunun yakalamak üzere eğitildiği hiçbir şey yoktur. Kimse farkına vardığında, dosya çoktan işini tamamlamıştır.

Bu varsayım değildir. PDF’lerdeki gömülü makrolar, OLE nesneleri, JavaScript kodları ve Office dosyalarındaki şifrelenmiş komut dosyaları, finansal hizmetlere yönelik saldırılarda yaygın olarak kullanılan standart bulaşma vektörleridir. Saldırganların tercih ettiği dosya formatları (PDF, Excel, Word) ise, her gün ödeme ortamında kart sahibi verilerinin aktarılmasında kullanılan formatlarla aynıdır. Raporlar, ekstreler, hesap başvuru formları ve tedarikçilerle yapılan yazışmaların tümü dosya olarak aktarılır; bu da, bu formatların her birinin aynı zamanda kart sahibi verileri ortamına potansiyel bir giriş noktası olduğu anlamına gelir.

Uç noktalarınızda antivirüs yazılımı kullanıldığı için PCI DSS 4.0.1’in 5. Gerekliliğini “kapsanmış” olarak işaretlediyseniz, bu kapsamın gerçekte neyi ifade ettiğini sorgulamakta fayda var. Antivirüs ve EDR (Endpoint ve Müdahale), güçlü ve gerekli araçlardır. Ayrıca, bu araçlar belirli bir varsayım üzerine kurulmuştur: Bir tehdidin durdurulabilmesi için önce tanınması gerekir. Bu serideki ilk blog yazımızda, PCI DSS 4.0.1'in genel olarak kötü amaçlı yazılım koruması konusunda çıtayı nereye yükselttiğine bakmıştık. Bu yazıda ise belirli bir güvenlik açığına daha derinlemesine değineceğiz: Dosya kaynaklı tehditlerin tasarım gereği antivirüs programlarını nasıl atlattığı ve ödeme ortamında bu açığı neyin kapattığı.

Antivirüs Aslında Ne Yapar ve Nerede Sınırları Vardır?

Antivirüs ve EDR, tasarlandıkları amaca uygun olarak, halihazırda tanımlanmış tehditleri tespit etmede etkilidir. İmza tabanlı algılama, bir dosyayı bilinen kötü amaçlı yazılım veritabanıyla karşılaştırır. EDR’deki davranışsal algılama ise önceki saldırılarla tutarlı kalıpları izler. Her iki yaklaşım da daha önce benzer bir durumun görülmüş olmasına dayanır.

Bu bağımlılık aynı zamanda bir sınırlamadır. Sıfırıncı gün yükünün eşleşecek bir imzası yoktur. Gizleme, şifreleme veya yapısal manipülasyon yoluyla statik analizden kaçmak üzere tasarlanmış bir dosya, tek bir uyarı bile tetiklemeden denetimden geçebilir. Saldırganlar, algılama tabanlı araçların nasıl çalıştığını tam olarak bilirler; işte bu nedenle modern saldırı yüzeyinin büyük bir kısmı, bu araçları alt etmekten ziyade onlardan kaçınmaya dayalı olarak oluşturulmuştur. Bunların hiçbiri, antivirüs ve EDR'nin işlerini kötü yaptıkları anlamına gelmez. Bu, onlardan, tanımı gereği henüz kimse tarafından kataloglanmamış tehditleri kapsayamayacak bir işi yapmalarının istendiği anlamına gelir.

Kart Sahibi Verileri Ortamında Dosya Tabanlı Tehditler

Bu durum özellikle CDE (kart sahibi veri ortamı) için önemlidir. Kart sahibi verileri yalnızca ağ kanalları üzerinden aktarılmaz. Bu veriler dosyalar aracılığıyla da aktarılır: raporlar, ekstreler, işlem günlükleri, tedarikçilerle yapılan yazışmalar. Kötü amaçlı bir dosya bu ortama fark edilmeden girdiğinde, sonuç sadece gözden kaçan bir kötü amaçlı yazılım uyarısı değildir. Bu, PCI DSS’nin kuruluşların kontrol etmesini gerektirdiği sınırın ihlalidir. Yükü tanınmadığı için antivirüs taramasından geçen bir dosya, yine de CDE içinde o yükü taşıyan bir dosyadır. Tarama sonucu, dosyanın içeriğini değiştirmez.

Deep CDR™ Teknolojisi Bunun Yerine Ne Yapar?

Deep CDR™ Teknolojisi, bir dosyanın zararlı olup olmadığını sorgulamak yerine, her dosyanın zararlı olabileceğini varsayar ve ona göre işlem yapar. Bu süreç, dosyayı bileşenlerine ayırır, yürütülebilir içerik veya aktif tehditler (makrolar, gömülü komut dosyaları, OLE nesneleri) taşıyabilecek her şeyi ayıklar ve orijinal formatında temiz, tamamen işlevsel bir sürüm oluşturur. Bu yeniden yapılandırma işlemi de yinelemeli olarak gerçekleşir: başka bir arşivin içine yerleştirilmiş bir arşiv veya kendi içinde gömülü bir dosyaya sahip bir belge, sadece en dıştaki katmanda değil, her katmanda temizlenir. Deep CDR™ Teknolojisinin performansı hakkında bilgi edinin.

Aradaki fark, pazarlama stratejisinde değil, işleyiş mekanizmasında yatmaktadır. Algılama tabanlı araçlar, tehdidi tanımlamaya çalışır. Deep CDR™ Teknolojisi ise, tehdidin henüz tanımlanmış olup olmadığına bakılmaksızın, tehdidin işlev görmesi için gerekli olan unsurları ortadan kaldırır. Sıfırıncı gün istismarı ile bilinen bir kötü amaçlı yazılım, aynı muameleye tabi tutulur; çünkü araç, ikisini de tanımaya çalışmaz. Tehdidin yayılma mekanizmasını tamamen ortadan kaldırır. Sonuçta ortaya çıkan dosya, aktif bir tehdit taşıyabilecek bileşenler hariç tutulmuş olmakla birlikte, orijinaliyle aynı şekilde açılır, görüntülenir ve çalışır. Bağımsız testler de bunu doğrulamaktadır: Deep CDR™ Teknolojisi, SE Labs’ın Bağımsız CDR Testinde%100 Koruma ve Doğruluk oranına ulaşan ilk CDR çözümü olmuştur.

PCI DSS bağlamında önemli olan, bunun 5. Gereklilik— Tüm sistemleri kötü amaçlı yazılımlara karşı korumak ve antivirüs yazılımlarını veya programlarını düzenli olarak güncellemek — açısından ne anlama geldiğidir: Bu, imza tabanlı algılamanın yapısal olarak yakalayamadığı belirli bir tehdit sınıfını ele alan ve bir dosyanın ortama girdiği anda, olay gerçekleştikten sonra değil, uygulanan bir kontrol mekanizmasıdır.

Metascan Multiscanning Deep CDR™ Teknolojisinin PCI DSS 4.0.1 ile Uyumluluğu

PCI DSS 4.0.1, tek bir tür kötü amaçlı yazılım kontrolü talep etmez. Hem bilinen hem de bilinmeyen tehditleri ele alan katmanlı bir koruma talep eder. Tek bir araç, kendi özel görevinde ne kadar iyi performans gösterirse göstersin, bunu tek başına karşılayamaz. İşte bu noktada, algılama ile önlemeyi bir araya getirmek, belirli gereklilikler açısından önem kazanır.

Gereklilik 1: Ağ Güvenliği Kontrollerinin Kurulması ve Sürdürülmesi

1. Gereklilik, hem güvenilir olmayan ağlara hem de CDE’ye erişen cihazlardan kaynaklanan risklerin CDE’ye yayılmasını önlemek amacıyla getirilmiştir. Multiscanning Deep CDR™ Teknolojisi bu hedefi doğrudan destekler: ağ trafiği, e-posta, uç noktalar ve çıkarılabilir ortamlar üzerinde katmanlı kötü amaçlı yazılım koruması, birden fazla giriş noktasını aynı anda kapatırken, çoklu tarama ve CDR'nin birleşimi, güvenilir olmayan ağlar ile CDE arasındaki sınırı geçen dosya ve verilerin, hangi kanaldan gelirlerse gelsinler, temizlenmiş ve kötü amaçlı içerikten arındırılmış olarak ulaşmasını sağlar.

5. Gereklilik: Tüm Sistemleri ve Ağları Kötü Amaç Software Korumak

Gereksinim düzeyinde, Metascan Multiscanning 30’dan fazla antivirüs motoru) ve Deep CDR™ Teknolojisi (sıfırıncı gün ve gömülü tehditleri etkisiz hale getirmek için dosyaları güvenli biçimlere dönüştüren), bu gereksinimi baştan sona karşılayan iki başlıca yetenektir. Bu iki özellik birlikte, kötü amaçlı yazılımla mücadele gerekliliğinin her iki yönünü de kapsamaktadır: 5.2/5.2.1 sürümleri için Gelişmiş Dosya Kaynaklı Tehdit Algılama; bu özellikte her dosya, korumalı bir ortama girmesine izin Multiscanning Deep CDR™ Teknolojisi ve Metascan Multiscanning ile işlenir; 5.3.2 sürümü için katmanlı tarama; burada çoklu tarama, sanal ortam (sandboxing) ve içerik etkisizleştirme ile yeniden yapılandırma önerilen destekleyici denetimlerdir; ve 5.4 sürümü için Ek Tabanlı Kimlik Avı Algılama; burada MetaDefender Email Security , Metascan Multiscanning sanal ortam analiziniEmail Security kötü amaçlı eklerin kullanıcıya ulaşmadan yakalanmasını sağlar.

  • Gereklilik 5.2 (kötü amaçlı yazılım önleme ve algılama). İşte bu noktada, bu iki teknoloji birbirinden farklı ve birbirini tamamlayıcı işlevler yerine getirir. Metascan Multiscanning, dosyaları otuzdan fazla ticari antivirüs motorundan geçirerek, tek bir motorun tek başına ulaşamayacağı derinlikte bilinen tehditlerin tespitini sağlar. Ayrıca, bu motorlar imzaları sezgisel yöntemler ve makine öğrenimi ile birleştirdiğinden, Metascan bilinmeyen kötü amaçlı yazılımların da önemli bir kısmını yakalar ve bilinen ve bilinmeyen tehditlerin toplamında %99,2'lik bir genel tespit oranına ulaşır. Deep CDR™ Teknolojisi, taramanın gözden kaçırdığı az sayıdaki tehdidi ele alır ve sıfırıncı gün istismarlarını önler. Bu iki teknolojinin birleşimi sayesinde, bilinen tehditler yakalanır ve tarama tek başına geçmesine izin vereceği tehditler, sorun yaratmaya fırsat bulamadan dağıtım mekanizmalarını yitirir.
  • Gereklilik 5.3.2 (gerçek zamanlı veya periyodik tarama). Deep CDR™ Teknolojisi, veri alım noktasında, akış içinde çalışır. Her dosya, önceden planlanmış bir tarama sırasında değil, ortama girer girmez işlenir. Bu sayede, aralarda sızan içerikleri yakalamak için periyodik taramalara güvenmek yerine, web trafiği, e-posta ve dosya aktarım kanalları genelinde gerçek zamanlı denetim beklentisi aynı anda karşılanır.
  • Gereklilik 5.4 (kimlik avı önleme mekanizmaları).MetaDefender Security™, Metascan Multiscanning sanal ortam analizini bir araya getirerek, zararlı veya şüpheli eklerin gelen kutusuna ulaşmadan yakalanmasını sağlar; MetaDefender ise, imza tabanlı taramadan kaçan sıfırıncı gün veya gizlenmiş yükleri tespit etmek için şüpheli eklerin kontrollü bir ortamda dinamik analizini gerçekleştirir. MetaDefender , bu görünürlüğü ağ katmanına genişleterek, kimlik avı kampanyalarıyla bağlantılı şüpheli bağlantıları ve yük aktarımlarını işaretler.

6. Gereklilik: Secure ve Software Geliştirmek ve Bunların Bakımını Yapmak

Gereklilik 6.3 (güvenlik açığı tespiti). Bilinen yazılım güvenlik açıklarını hedef alan istismar kodları içeren dosyalar, yalnızca ağ düzeyinde değil, dosya düzeyinde de bir risk oluşturur. Deep CDR™ Teknolojisi, bir dosya kullanıcıya veya sisteme ulaşmadan önce istismar kodunun dağıtım mekanizmasını ortadan kaldırdığı için, altta yatan güvenlik açığına henüz yama uygulanmış olsun ya da olmasın, bu riski giriş yapacağı noktada ortadan kaldırır.

Bunun kendi PCI DSS kapsamınızla nasıl örtüştüğünü merak mı ediyorsunuz? PCI DSS Uyumluluk Kılavuzu'nu edinin Metascan Multiscanning Deep CDR™ teknolojilerinin hangi alanlara uygun olduğunu daha ayrıntılı olarak inceleyin.

Multiscanning CDR’nin Yığın İçindeki Yeri

Bu katmanlı yaklaşımın değeri, uygulandığı yere bağlıdır. Yalnızca uç noktada mevcut olan koruma, dosyanın geri kalan yolculuğunu korumasız bırakır ve kart sahibi verileri, çoğu uyum matrisinin hesaba kattığından daha fazla kanal üzerinden CDE sınırını aşar. Bir ödeme ortamında, en yüksek öneme sahip noktalar, dosyaların bu sınırı rutin olarak aştığı noktalardır.

  • Web uygulaması güvenliği: Kart sahibi verilerini alan uygulamalar, kötü amaçlı dosyaların ve sıfırıncı gün tehditlerinin yüklemeler veya dosya tabanlı etkileşimler yoluyla CDE’ye girmesine de yol açmaktadır.
  • E-posta ağ geçidi: Ekler, teslim edilmeden önce temizlenir; bu sayede, finans hizmetleri sektöründe spearphishing saldırılarında en yaygın olarak kullanılan format olan, kötü amaçlı Office belgeleri ve zararlı PDF dosyaları ortadan kaldırılır.
  • Web proxy / ICAP: HTTP ve HTTPS trafiği gerçek zamanlı olarak taranır ve internetten indirilen dosyalar, iç sistemlere ulaşmadan önce yeniden oluşturulur.
  • Çıkarılabilir ortamlar: USB dosyalar, CDE’ye girmeden önce kioskta temizlenir. Bu, 5.3.3 numaralı gerekliliği doğrudan karşılar ve çıkarılabilir ortamların bir saldırı vektörü olarak kullanılmasını engeller.
  • Yönetilen dosya aktarımı: İş ortakları ve tedarikçilerle paylaşılan dosyalar, yalnızca alındıkları anda değil, aktarım sırasında da temizlenir.

OPSWAT MetaDefender™ Platformu, Proactive DLP™ Teknolojisi ve diğer özelliklerin yanı sıra Metascan Multiscanning Deep CDR™ Teknolojisini bu noktalarda tutarlı bir şekilde uygular; böylece kapsama alanı, bir dosyanın hangi kanaldan geldiğine bağlı kalmaz. Ayrıca, bir dosyanın hangi formatta geldiğine de bağlı değildir: Deep CDR™ Teknolojisi, ödeme iş akışlarında yaygın olarak kullanılan PDF'ler, elektronik tablolar ve Word belgelerinden, pratikte CDE sınırını aşan görüntülere, arşivlere ve diğer formatlara kadar 200'den fazla dosya türünü kapsar.

Bilinen ya da Yeni, Sonuç Aynıdır

Bu yazının başındaki PDF dosyasına geri dönün. Bu olayda hiçbir şey varsayımsal değildi ve hiçbir şeyin gerçekleşmesi için kimsenin hatalı bir işlem yapması gerekmiyordu. Satıcı meşruydu, tarama sonucu temiz çıktı ve dosya tam olarak istenildiği gibi teslim edildi. İşte Gereklilik 5, tam da bu tür senaryoları önlemek için var; aynı zamanda bu, yalnızca antivirüs yazılımına dayalı bir eşleştirme sisteminin tam olarak hesaba katamayacağı bir senaryodur.

Deep CDR™ Teknolojisi, dosyaları tehlikeli olabilecek bileşenleri içermeyecek şekilde yeniden oluşturur; böylece yükün bilinen mi yoksa yeni mi olduğu sorusuna en başından itibaren cevap verilmesi gerekmez. Metascan Multiscanning ise imza taşıyan her şey için benzer bir işlem Multiscanning . Bu iki teknolojinin birleşimi sayesinde, finans biriminin gelen kutusuna ulaşan bir dosya ya yakalanmış bir tehdit ya da çalışması için gerekli parçalarını kaybetmiş bir tehdittir — asla henüz tanınmamış bir tehdit değildir.

Önemli Noktalar

  • Ödeme verileri, ağ güvenliği incelemesinin kapsamadığı iş belgeleri — raporlar, ekstreler, tedarikçilerle yapılan yazışmalar — üzerinden aktarılır.
  • Koruma, hem bilinen hem de bilinmeyen tehditleri kapsar: 30’dan fazla antivirüs motoru, bilinen kötü amaçlı yazılımları tespit eder; Deep CDR™ Teknolojisi ise, tehdidi önceden tanımlamaya gerek kalmadan, bir sıfırıncı gün saldırısının çalışması için gerekli bileşenleri ortadan kaldırır.
  • Bu durum, belirli PCI DSS gereklilikleriyle (5.2, 5.3.2, 5.4, 1.5/1.5.1, 11.5/11.5.1) uyumludur; merkezi günlük kaydı sayesinde, bir denetçi kontrol yaptığında kontrol mekanizmasının çalıştığı gösterilir.

Deep CDR™ Teknolojisi ve Multiscanning PCI DSS 4.0.1 gereklilik setinin tamamına tam olarak hangi kısımlara Multiscanning görmek ister misiniz? Kontrol maddeleri bazında ayrıntılı bir analiz için PCI DSS Uyumluluk Kılavuzu ve Kontrol Listesi’ni indirin.

OPSWAT ile Güncel Kalın!

En son şirket güncellemelerini almak için bugün kaydolun, hikayeler, etkinlik bilgileri ve daha fazlası.