PCI DSS dosya güvenliği uygulamaları, yalnızca uç noktalarda değil, tüm veri alım kanalları üzerinden CDE’ye (kart sahibi veri ortamı) giren her dosyanın taranmasını, temizlenmesini ve değerlendirilmesini kapsar. PCI DSS 4.0.1, kötü amaçlı yazılımdan koruma kapsamını web, e-posta, bulut depolama, yönetilen dosya aktarımı, çıkarılabilir ortamlar ve yazılım bağımlılıklarına genişletir.
PCI DSS (Ödeme Kartı Sektörü Veri Güvenliği Standardı) uyumluluğundan sorumlu güvenlik ekiplerinin çoğu gerekli çalışmaları tamamlamıştır. EDR (Endpoint ve Müdahale) sistemi devreye alınmıştır. Kötü amaçlı yazılımdan koruma yazılımı çalışmaktadır. 5. gerekliliğin yanında bir onay işareti bulunmaktadır. Bunlar hayati önem taşıyan güvenlik önlemleridir; ancak düzenleyici gerekliliklerin daha geniş kapsamı söz konusu olduğunda, geleneksel güvenlik kontrolleri yetersiz kalabilir.
PCI DSS 4.0.1, önceki sürümlerin yoruma açık bıraktığı bir hususu açıkça belirtmektedir: kötü amaçlı yazılımdan koruma kapsamı, dosyaların CDE’ye giriş yaptığı, CDE içinde dolaştığı ve CDE’den çıkış yaptığı her kanala uzanmaktadır. Sıfır gün saldırıları. Web trafiği. E-posta. Cloud . Yönetilen dosya aktarımı. Çıkarılabilir ortamlar. Software .
Uç noktalar, birçok kapsama alanından sadece biridir. Diğer alanlar değerlendirilmediyse, güvenlik açığı söz konusudur ve denetçiler nereye bakacaklarını bilirler.
Bu yazı, standardın gerektirdiği hususların tam kapsamını ortaya koymaktadır; böylece kendi uyum durumunuzu dürüstçe değerlendirebilirsiniz. Gereklilikler bazında daha ayrıntılı bir referans için, PCI DSS Eşleştirme Kılavuzu ve Başlangıç Kontrol Listesi, her bir kontrolü somut önerilerle birlikte ayrıntılı olarak ele almaktadır.
Önemli Çıkarımlar
PCI DSS 4.0.1, dosya güvenliğini çok kanallı bir disiplin olarak ele alır. Kötü amaçlı yazılımdan koruma kapsamı, yalnızca uç noktalara değil, web, e-posta, bulut, yönetilen dosya aktarımı, çıkarılabilir ortamlar ve yazılım bağımlılıklarını da kapsamalıdır.
Tek bir uç noktakoruması, diğer tüm kanalların son aşamasındadır. Bir dosya uç nokta aracısına ulaştığında, diğer altı denetim noktası bu dosyayı çoktan onaylamış ya da reddetmiştir.
Yalnızca imza tespiti, standardı karşılamaya yetmez. 5. gereklilik , tüm kötü amaçlı yazılım türlerinin kapsanmasını ve sıfırıncı gün tehditlerinin davranışsal olarak tespit edilmesini öngörmektedir.
Çıkarılabilir ortamlar için açık bir yükümlülük bulunmaktadır. 5.3.3 numaralı gereklilik , çıkarılabilir ortamların takıldığında otomatik olarak taranmasını zorunlu kılar; manuel prosedürler bu şartı karşılamaz.
Software kapsam dahilindedir. 6.3.2 numaralı gereklilik , özel ve kişiye özel yazılımların güvenli bir şekilde geliştirilmesini ve üçüncü taraf bileşenlerin envanterinin tutulmasını şart koşmaktadır.
PCI DSS 4.0.1, dosya güvenliği konusunda ne gibi gereklilikler getiriyor?
Kanalları tek tek incelemeden önce, argümanı spesifikasyonun kendisine dayandırmak yerinde olacaktır.
5. Gereklilik, tehdit yüzeyini açık bir şekilde tanımlamaktadır: "Kötü amaçlı yazılımlar, çalışanların e-posta kullanımı (örneğin, oltalama yoluyla) ve İnternet, mobile ile depolama aygıtlarının kullanımı dahil olmak üzere, iş amaçlı onaylanmış birçok faaliyet sırasında ağa sızabilir ve bu da sistemdeki güvenlik açıklarının istismar edilmesine yol açabilir." Bu, ödeme ortamlarındaki dosya tabanlı saldırılar için temel tehdit modelidir.
Standart ayrıca, yalnızca imza tabanlı algılamanın yeterli olmadığını da belirtmektedir: “Her tür kötü amaçlı yazılımı ele alan kötü amaçlı yazılım önleme çözümlerinin kullanılması, sistemleri mevcut ve gelişmekte olan kötü amaçlı yazılım tehditlerinden korumaya yardımcı olur.” Burada kilit ifadeler “her tür” ve “mevcut ve gelişmekte olan”dır. Yalnızca bilinen tehditleri tanıyan algılama yöntemi, standardın açıkça işaret ettiği bir güvenlik açığına yol açar.
5.2.1 numaralı gereklilik daha da ileri gider – standarttaki İyi Uygulama kılavuzunda, “kuruluşların ‘sıfırıncı gün’ saldırılarının (daha önce bilinmeyen bir güvenlik açığından yararlanan saldırılar) farkında olmalarının ve davranışsal özelliklere odaklanan, beklenmedik davranışlara karşı uyarı veren ve buna tepki gösteren çözümleri değerlendirmenin faydalı olduğu” belirtilmektedir. Bu, davranışsal ve sezgisel algılamanın kapsamın tam olması açısından önemli olduğunun standart tarafından kabul edildiğini göstermektedir.
6 ve 11 numaralı gereklilikler kapsamı daha da genişletmektedir. 6.3.2 numaralı gereklilik, özel olarak geliştirilmiş ve özelleştirilmiş yazılımlardaki güvenlik açıklarının tespit edilmesini şart koşarak, yazılım tedarik zinciri riskini doğrudan ele almaktadır. 11.3.1.2 numaralı gereklilik ise kimlik doğrulamalı dahili tarama yapılmasını şart koşmaktadır. Bu iki gereklilik bir araya geldiğinde, PCI DSS uyumlu bir ortamda dosya güvenliğinin tek bir kontrol önlemi değil, tüm mimariye yayılan bir disiplin olduğunu ortaya koymaktadır.
PCI DSS’nin Secure sağlamanızı beklediği yedi dosya alım kanalı hangileridir?
İşte burada, pek çok uyum programında henüz ölçülmemiş bir eksiklik bulunmaktadır.
Yutma Kanalı | PCI DSS Gerekliliği | Endpoint Neden Bunu Gözden Kaçırıyor? | Boşluğu Ne Doldurur? |
Web trafiği | Madde 5, 6 | Bir web proxy üzerinden aktarılan dosyalar hiçbir zaman uç nokta ajanıyla temas etmez | Ağ geçidinde çoklu motorlu tarama |
E-posta ve ekler | Gereklilik 1, 5 | Tek motorlu imza taraması, makroları, arşivleri ve gömülü istismar kodlarını gözden kaçırır | Multiscanning, dosya temizleme, veri kaybını önleme |
Cloud depolama | Madde 5, 6 | SharePoint, OneDrive veya S3’e doğrudan yapılan yüklemeler, uç nokta denetimini atlar | Depolanan dosyaların taranması + veri kaybının önlenmesi |
Yönetilen dosya aktarımı | Madde 5, 6 | Güvenilir ortak dosyaları iş akışına zaten dahil olarak gelir | Hareket halindeki dosyaların taranması + dosya temizleme |
Çıkarılabilir depolama ortamları | Gereklilik 1, 5, 9 | Manuel tarama ilkeleri, otomatik tarama zorunluluğunu karşılamamaktadır | Harici cihazlardan gelen kötü amaçlı yazılımları önlemek için takıldığında otomatik tarama (kiosk) |
Software | Gereklilik 6 | Üçüncü taraf bileşenlerdeki bilinen CVE’ler, kötü amaçlı yazılım imzaları değildir | Yazılım Geliştirme Yaşam Döngüsü (SDLC) vulnerability detection dosya (yazılım bileşenleri) vulnerability detection |
Uç Noktalar | Talep 5 | Diğer tüm kanalların akış yönünün aşağısında yer alır; tehditleri en son yakalar | EDR / uç nokta antivirüs |
- Web trafiği: HTTPS üzerinden bir web portalına indirilen veya yüklenen dosyalar, herhangi bir uç noktaya ulaşmadan önce ağdan geçer.
- E-posta ve ekler: E-posta, dosya tabanlı tehditlerin yayılmasında hâlâ en yaygın yol olmaya devam ediyor. Ek taraması, imza eşleştirmenin ötesine geçmelidir. Sıkıştırılmış arşivler, makro içeren belgeler ve gömülü istismar kodları barındıran dosyaların tümü, bu taramayı atlatmak üzere tasarlanmıştır.
- Yerel ve Cloud : Dosyalar, SharePoint, OneDrive, S3 ve benzeri platformlarla sürekli olarak senkronize edilir.
- Yönetilen dosya aktarımı: Tedarikçilerle yapılan alışverişler, iş ortaklarıyla entegrasyonlar ve müşterilerin gönderdiği dosyalar, her birinin kendine özgü risk profiline sahip gelen dosya akışları oluşturur.
- Çıkarılabilir ortamlar: 5.3.3 numaralı gereklilik, standarttaki daha spesifik yükümlülüklerden biridir: Kötü amaçlı yazılımdan koruma yazılımı, çıkarılabilir ortamlar takıldığında bunları otomatik olarak taramalıdır. USB , ödeme ortamlarında aktif bir saldırı vektörüdür; özellikle de genellikle tek harici veri yolu olarak kullanılan hava boşluklu sistemlerde durum böyledir.
- Software ve bağımlılıklar. Gereklilik 6.3.2, üçüncü taraf kütüphaneler ve gömülü bileşenlerin CDE (Common Vulnerability and Exposure) maruziyetinin önemli bir kaynağı olması nedeniyle getirilmiştir. Bir bağımlılıkta bilinen bir CVE (Common Vulnerability and Exposure) içeren bir ikili dosya, imza tabanlı kötü amaçlı yazılım algılamasının yakalayamayacağı bir risk oluşturur. Bu, geleneksel anlamda bir kötü amaçlı yazılım değil, istismar edilmeyi bekleyen bir güvenlik açığıdır.
- Uç Noktalar. Bu, çoğu ekibin kapsama alanına dahil ettiği tek kanaldır. Endpoint , bir cihaza gelen, üzerinde çalıştırılan veya cihazda kalıcı hale gelen öğeleri tarar. Bu kapsama gereklidir, ancak bu listedeki diğer tüm kanalların son aşamasını oluşturur. Bir dosya uç noktaya ulaştığında, diğer altı denetim noktası zaten geçilmiş veya başarısızlıkla sonuçlanmıştır.
Neden Tek Bir Antivirüs ile Endpoint Yeterli Değildir?
EDR ve tek uç noktalı antivirüs programları mükemmel araçlardır, ancak kapsamları tasarım gereği sınırlıdır.
Endpoint , cihazlarda neler olup bittiğini izleyerek cihazları korur: diske yazılan dosyalar, yürütülen işlemler, başlatılan ağ bağlantıları. Web proxy’si, e-posta ağ geçidi, bulut senkronizasyon API veya USB üzerinden aktarılan dosyaları incelemezler. Bu, kapsamla ilgili bir konudur; bir ürün eksikliği değildir.
PCI DSS 4.0.1, bu kapsam sorusuna kesin bir yanıt vermektedir. Standart, tehdit yüzeyini, dosyaların ağa girdiği her kanal olarak tanımlamaktadır. Endpoint , CDE’nin içinde halihazırda bulunan verileri güvence altına alır. Dosya güvenliği ise ağa giriş sürecini güvence altına alır.
Bu güvenlik açığı teorik bir sorun değildir. Bir saldırganın, yalnızca tek motorlu bir ağ geçidi tarafından taranan bir oltalama eki yoluyla, bir yazılım tedarikçisi tarafından sağlanan bir yazılım paketindeki kötü amaçlı bir bağımlılık yoluyla ya da bakım süresi sırasında takılan bir USB yoluyla bir yük iletmesi durumunda — bu yolların hiçbiri, iş işten geçene kadar uç nokta ajanıyla temas etmez. Standart, sizden bu kanalları kapatmanızı istemektedir.
PCI DSS 4.0.1 kapsamında eksiksiz dosya güvenliği neye benzer?
Dosya güvenliği konusunda 4.0.1 denetimlerinden temiz çıkan kuruluşlar, ortak bir mimariye sahiptir: her veri alım noktasında denetim ve çok katmanlı savunma sistemi.
Bu, ağ geçidi düzeyinde çoklu motorlu tarama anlamına gelir. Dosyaları birden fazla antivirüs motorunda eşzamanlı olarak taramak, algılama oranlarını önemli ölçüde artırır ve standardın “tüm türler” ifadesinin gerektirdiği kapsam derinliğini sağlar. Bu, antivirüsün algılayamadığı unsurları etkisiz hale getiren dosya temizleme anlamına gelir: Deep CDR™ Teknolojisi, henüz kataloglanmamış sıfırıncı gün istismarları da dahil olmak üzere potansiyel olarak zararlı içeriği ayıklayarak dosyaları güvenli ve kullanılabilir biçimlere dönüştürür. Bu, yazılım paketleri ve ikili dosyaların üretim sistemlerine ulaşmadan önce bilinen CVE’lere karşı dosya düzeyinde güvenlik açığı değerlendirmesi yapılması anlamına gelir. Ayrıca, sadece uç nokta telemetrisi ile sınırlı kalmayıp tüm kanallarda merkezi günlük kaydı tutulması anlamına gelir; böylece Gereklilik 11’in denetim şartları fiilen karşılanabilir.
MetaDefender™, dosyaların CDE’ye ulaşmadan önce tüm alım kanallarında taranması, temizlenmesi ve değerlendirilmesi amacıyla tasarlanmış OPSWAT dosya güvenlik platformudur.
OPSWAT uyumluluk kılavuzunda belirtildiği üzere:OPSWAT MetaDefender , 5. Gereklilik için sektörün en güçlü yeteneklerinden bazılarınıMetaDefender . Metascan™ Multiscanning , 30’dan fazla ticari antivirüs motorunu Multiscanning bilinen kötü amaçlı yazılımları olağanüstü bir doğrulukla tespit ederken, Deep CDR™ Teknolojisi ise dosyaları güvenli ve kullanılabilir biçimlere dönüştürerek sıfırıncı gün ve gömülü tehditleri proaktif olarak etkisiz hale getirir.”
Bu eksiklik, güvenlik ekiplerinin dikkatsizliği nedeniyle değil, PCI DSS 4.0.1 standardının daha kapsamlı bir yaklaşım gerektirmesi nedeniyle ortaya çıkmaktadır. Denetimden önce bu eksikliği gideren ekipler, standardın gerektirdiğinden fazlasını yapmıyorlar. Sadece standardın gerektirdiği her şeyi yerine getiriyorlar.
Sonraki Adımlar
4.0.1 sürümünün gerektirdiği tüm unsurlar ışığında mevcut kapsamınızı değerlendirmeye hazır mısınız?
PCI DSS Eşleştirme Kılavuzu + PCI DSS Başlangıç Kontrol Listesi’ni indirin Mevcut kontrollerinizle yedi dosya alım kanalının her birini karşılaştırarak eksikliklerin nerede olduğunu belirleyin.
Sıkça Sorulan Sorular
PCI DSS 4.0.1 uyumluluğu için tek bir uç nokta koruması yeterli midir?
Hayır. PCI DSS 4.0.1, kötü amaçlı yazılımdan koruma kapsamını, dosyaların CDE’ye girdiği her kanala genişletir. Geleneksel uç nokta koruması, cihazları güvence altına alır ancak web proxy’leri, e-posta ağ geçitleri, bulut senkronizasyonu veya çıkarılabilir ortamlar üzerinden aktarılan dosyaları denetlemez. OPSWAT MetaDefender , bu boşluğu doldurmak için çok katmanlı teknolojilerle entegre olur.
PCI DSS, çıkarılabilir ortamlarda kötü amaçlı yazılım taraması yapılmasını zorunlu kılar mı?
Evet. Çıkarılabilir bir ortam takıldığında, bağlandığında veya mantıksal olarak bağlandığında, 5.3.3 numaralı gereklilik, sistemlerin veya süreçlerin otomatik olarak taranmasını ya da sürekli davranış analizini zorunlu kılar. Manuel tarama politikaları bu gerekliliği karşılamaz.
PCI DSS 4.0.1 ile ilgili dosya alım kanalları nelerdir?PCI DSS 4.0.1 ile ilgili dosya alım kanalları nelerdir?
Web trafiği, e-posta ve ekleri, bulut depolama, yönetilen dosya aktarımı, çıkarılabilir ortamlar, yazılım bağımlılıkları ve uç noktalar.
PCI DSS 4.0.1, yazılım tedarik zinciri riskini ele alıyor mu?
Evet. 6.3.2 numaralı gereklilik, özel ve kişiye özel yazılımların güvenli bir şekilde geliştirilmesini, güvenlik açıklarının tespit edilip giderilmesini ve güvenlik açıkları ile yama yönetimini kolaylaştırmak amacıyla üçüncü taraf yazılım bileşenlerinin bir envanterinin tutulmasını şart koşmaktadır.
Kart Sahibi Veri Ortamı (CDE) nedir?
CDE, kart sahibi verilerini depolayan, işleyen veya ileten kişiler, süreçler ve teknolojinin yanı sıra bunlarla bağlantılı tüm sistemlerden oluşur. PCI DSS dosya güvenliği denetimleri, bu alana giren, içinde dolaşan ve bu alandan çıkan dosyalara uygulanır.
