Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

Cómo la tecnología Deep CDR™ y Multiscanning Metascan™ Multiscanning los requisitos de seguridad de la norma PCI DSS

Por OPSWAT
Comparte esta publicación

El equipo de seguridad de una empresa de procesamiento de pagos marca un archivo PDF adjunto para su revisión. Procede de un proveedor conocido, el análisis antivirus no detecta ninguna firma en la base de datos y se envía a la bandeja de entrada del departamento financiero sin que nadie le preste atención. En el interior de ese PDF hay una carga maliciosa diseñada específicamente para evitar ser detectada: no tiene ninguna firma conocida, no presenta ningún comportamiento sospechoso, nada que el motor antivirus haya sido entrenado para detectar. Para cuando alguien se da cuenta, el archivo ya ha cumplido su objetivo.

Esto no es una hipótesis. Las macros incrustadas, los objetos OLE, el JavaScript dentro de los archivos PDF y los scripts ofuscados en los archivos de Office son vectores de ataque habituales en los ataques contra los servicios financieros. Y los formatos de archivo preferidos por los atacantes (PDF, Excel, Word) son los mismos que transportan a diario los datos de los titulares de tarjetas a través de un entorno de pago. Los informes, los extractos, las solicitudes de apertura de cuentas y la correspondencia con los proveedores se transmiten en forma de archivos, lo que significa que cada uno de esos formatos es también un posible punto de entrada al entorno de datos de los titulares de tarjetas.

Si has marcado el requisito 5 de la norma PCI DSS 4.0.1 como «cubierto» porque tienes un antivirus instalado en todos tus terminales, vale la pena preguntarse qué es lo que realmente cubre esa protección. Los antivirus y los sistemas EDR (Endpoint y respuestaEndpoint ) son herramientas potentes y necesarias. Además, se basan en una premisa concreta: que, para detener una amenaza, es necesario reconocerla. En nuestra primera entrada de esta serie analizamos en qué aspectos la norma PCI DSS 4.0.1 eleva el listón en materia de protección contra el malware en general. En esta entrada profundizamos un poco más en una laguna concreta: cómo las amenazas transmitidas a través de archivos eluden los antivirus por su propio diseño y qué medidas permiten subsanar esa laguna en un entorno de pagos.

Qué hace realmente un antivirus y cuáles son sus límites

Los antivirus y los sistemas EDR son eficaces en aquello para lo que fueron diseñados: reconocer amenazas que ya han sido identificadas. La detección basada en firmas compara un archivo con una base de datos de malware conocido. La detección basada en el comportamiento de los sistemas EDR busca patrones que coincidan con ataques anteriores. Ambos enfoques dependen de haber visto algo similar anteriormente.

Esa dependencia es también su limitación. Una carga útil de «día cero» no tiene ninguna firma con la que compararse. Un archivo diseñado para eludir el análisis estático —mediante ofuscación, cifrado o manipulación estructural— puede pasar la inspección sin activar ni una sola alerta. Los atacantes saben exactamente cómo funcionan las herramientas basadas en la detección, y por eso gran parte de la superficie de ataque moderna se basa en eludirlas, en lugar de superarlas. Nada de esto significa que los antivirus y los EDR estén haciendo mal su trabajo. Significa que se les está pidiendo que realicen una tarea que, por definición, no puede abarcar amenazas que aún nadie ha catalogado.

Amenazas relacionadas con los archivos en el entorno de datos de los titulares de tarjetas

Esto es especialmente relevante para el CDE (entorno de datos del titular de la tarjeta). Los datos de los titulares de tarjetas no circulan únicamente a través de canales de red. Circulan a través de archivos: informes, extractos, registros de transacciones y correspondencia con proveedores. Cuando un archivo malicioso entra en ese entorno sin ser detectado, el resultado no es solo una alerta de malware no detectada. Se trata de una violación de los límites que la norma PCI DSS exige a las organizaciones que controlen. Un archivo que pasa el análisis antivirus porque su carga útil no se reconoce sigue siendo un archivo dentro del CDE que contiene esa carga útil. El resultado del análisis no cambia el contenido del archivo.

Qué hace, en cambio, la tecnología Deep CDR™

En lugar de preguntarse si un archivo es malicioso, la tecnología Deep CDR™ parte de la base de que cualquier archivo podría serlo y lo trata en consecuencia. El proceso descompone el archivo en sus partes componentes, elimina cualquier elemento capaz de contener contenido ejecutable o amenazas activas (macros, scripts incrustados, objetos OLE) y reconstruye una versión limpia y totalmente funcional en el formato original. Esa reconstrucción también se lleva a cabo de forma recursiva: un archivo comprimido anidado dentro de otro, o un documento con un archivo incrustado, se depura en cada capa, no solo en la más externa. Descubre el rendimiento de la tecnología Deep CDR™.

La diferencia radica en el mecanismo, no en el marketing. Las herramientas basadas en la detección intentan identificar la amenaza. La tecnología Deep CDR™ elimina lo que la amenaza necesitaría para funcionar, independientemente de si ya se ha identificado o no. Un exploit de día cero y un malware conocido reciben el mismo tratamiento, ya que la herramienta no intenta reconocer ninguno de los dos. Lo que hace es eliminar por completo el mecanismo de propagación. El resultado es un archivo que se abre, se muestra y funciona igual que el original, pero sin los componentes que podrían suponer una amenaza activa. Las pruebas independientes lo confirman: la tecnología Deep CDR™ fue la primera solución CDR en alcanzar un 100 % de protección y precisión en la prueba de CDR independiente de SE Labs.

A efectos de la norma PCI DSS, lo que importa es lo que esto supone para el Requisito 5—Proteger todos los sistemas contra el malware y actualizar periódicamente el software o los programas antivirus—: un control que aborda la clase específica de amenazas que la detección basada en firmas es estructuralmente incapaz de detectar, y que se aplica en el momento en que un archivo entra en el entorno, en lugar de a posteriori.

Cómo se ajustan las tecnologías Metascan Multiscanning Deep CDR™ a la norma PCI DSS 4.0.1

La norma PCI DSS 4.0.1 no exige un único tipo de control contra el malware. Exige una protección por capas que aborde tanto las amenazas conocidas como las desconocidas. Una sola herramienta, por muy bien que funcione en su tarea específica, no puede cumplir ese requisito por sí sola. Ahí es donde la combinación de detección y prevención cobra relevancia para cumplir con los requisitos específicos.

Requisito 1: Instalar y mantener controles de seguridad de la red

El requisito 1 tiene por objeto evitar que el riesgo procedente de dispositivos que se conectan tanto a redes no fiables como al CDE se propague a este último. La tecnología Multiscanning Deep CDR™ contribuyen directamente a ese objetivo: la cobertura antimalware por capas en el tráfico de red, el correo electrónico, los terminales y los soportes extraíbles bloquea múltiples puntos de entrada a la vez, mientras que la combinación de Multiscanning y CDR garantiza que los archivos y datos que cruzan el límite entre las redes no fiables y el CDE lleguen desinfectados y libres de contenido malicioso, independientemente del canal por el que hayan llegado.

Requisito 5: Proteger todos los sistemas y redes contra Software malicioso

A nivel de requisitos, Multiscanning Metascan Multiscanning más de 30 motores antivirus) y la tecnología Deep CDR™ (que reconstruye los archivos en formatos seguros para neutralizar amenazas de día cero y amenazas incrustadas) son las dos capacidades principales que cubren este requisito de principio a fin. Juntas cubren las dos vertientes del mandato antimalware: la detección avanzada de amenazas transmitidas por archivos para la versión 5.2/5.2.1, en la que cada archivo se procesa mediante la tecnología Deep CDR™ y Multiscanning Metascan Multiscanning se le permita acceder a un entorno protegido; el análisis por capas para la versión 5.3.2, en la que el análisis múltiple, el entorno aislado y la neutralización y reconstrucción de contenidos son los controles de apoyo recomendados; y la detección de phishing basada en archivos adjuntos para la versión 5.4, en la que MetaDefender Email Security Multiscanning de Metascan Multiscanning el análisis en entorno aislado para detectar archivos adjuntos maliciosos antes de que lleguen al usuario.

  • Requisito 5.2 (prevención y detección de malware). Aquí es donde las dos tecnologías realizan una labor distinta y complementaria. Metascan Multiscanning analiza los archivos mediante más de treinta motores antivirus comerciales, lo que proporciona a la detección de amenazas conocidas una profundidad que ningún motor por sí solo puede igualar; y, dado que esos motores combinan firmas con heurística y aprendizaje automático, Metascan también detecta una parte significativa del malware desconocido, lo que sitúa su tasa de detección global en el 99,2 % de las amenazas conocidas y desconocidas combinadas. La tecnología Deep CDR™ se encarga de la pequeña fracción de amenazas que el análisis pasa por alto y previene los exploits de día cero. Juntas, detienen las amenazas conocidas y desactivan el mecanismo de entrega de aquellas que el análisis por sí solo dejaría pasar, antes de que lleguen a suponer un problema.
  • Requisito 5.3.2 (análisis en tiempo real o periódico). La tecnología Deep CDR™ funciona en línea, en el punto de entrada. Cada archivo se procesa en el momento en que entra en el entorno, y no mediante un análisis programado. De este modo, se cumple la expectativa de inspección en tiempo real en el tráfico web, el correo electrónico y los canales de transferencia de archivos de forma simultánea, en lugar de depender de análisis periódicos para detectar lo que se ha colado entretanto.
  • Requisito 5.4 (mecanismos antiphishing).MetaDefender Security™ combina Multiscanning de Metascan Multiscanning el análisis en entorno aislado (sandbox) para detectar archivos adjuntos maliciosos o sospechosos antes de que lleguen a la bandeja de entrada, mientras que MetaDefender añade un análisis dinámico de los archivos adjuntos sospechosos en un entorno controlado para detectar cargas útiles de día cero u ofuscadas que eluden el análisis basado en firmas. MetaDefender amplía esa visibilidad a la capa de red, señalando las conexiones sospechosas y la entrega de cargas útiles vinculadas a campañas de phishing.

Requisito 6: Desarrollar y mantener Secure y Software Secure

Requisito 6.3 (identificación de vulnerabilidades). Los archivos que contienen exploits dirigidos a vulnerabilidades conocidas de software suponen un riesgo a nivel de archivo, no solo a nivel de red. Dado que la tecnología Deep CDR™ elimina el mecanismo de distribución del exploit antes de que el archivo llegue al usuario o al sistema, aborda este riesgo en el punto en el que, de otro modo, se produciría la intrusión, independientemente de si la vulnerabilidad subyacente ya ha sido corregida o no.

¿Tienes curiosidad por saber cómo se ajusta esto a tu propio ámbito de aplicación de la norma PCI DSS? Consigue la Guía de cumplimiento de la norma PCI DSS para conocer con más detalle cómo encajan las tecnologías Metascan Multiscanning Deep CDR™.

El lugar que ocupan Multiscanning el CDR en la pila

El valor de este enfoque por capas depende del lugar en el que se aplique. Una cobertura que se limite únicamente al punto final deja desprotegido el resto del recorrido del archivo, y los datos de los titulares de tarjetas cruzan el límite del CDE a través de más canales de los que tienen en cuenta la mayoría de las matrices de cumplimiento. En un entorno de pagos, los puntos de mayor valor son aquellos en los que los archivos cruzan habitualmente ese límite.

  • Seguridad de las aplicaciones web: Las aplicaciones que reciben datos de titulares de tarjetas también constituyen una vía de entrada para que archivos maliciosos y amenazas de día cero accedan al CDE a través de cargas de archivos o interacciones basadas en archivos.
  • Pasarela de correo electrónico: los archivos adjuntos se depuran antes de su envío, lo que elimina los documentos de Office manipulados con fines maliciosos y los archivos PDF maliciosos, el formato de envío más habitual en los ataques de spearphishing en el sector de los servicios financieros.
  • Proxy web / ICAP: El tráfico HTTP y HTTPS se inspecciona en tiempo real, y los archivos descargados de Internet se reconstruyen antes de que lleguen a los sistemas internos.
  • Soportes extraíbles: Los archivos de USB se limpian en el quiosco antes de entrar en el CDE. Esto cumple directamente con el requisito 5.3.3 y elimina los soportes extraíbles como vector de ataque.
  • Transferencia gestionada de archivos: los archivos intercambiados con socios y proveedores se depuran durante la transmisión, no solo en el momento de su recepción.

La plataforma MetaDefender™OPSWAT aplica de forma sistemática Multiscanning Metascan Multiscanning la tecnología Deep CDR™ en todos estos puntos, junto con la tecnología Proactive DLP™ y otras capacidades, de modo que la cobertura no depende del canal por el que llegue un archivo. Tampoco depende del formato en el que llegue el archivo: la tecnología Deep CDR™ cubre más de 200 tipos de archivos, desde los PDF, hojas de cálculo y documentos de Word que predominan en los flujos de trabajo de pagos hasta las imágenes, archivos comprimidos y otros formatos que, en la práctica, traspasan los límites del entorno de datos corporativo (CDE).

Ya sea algo conocido o nuevo, el resultado es el mismo

Vuelve al PDF del principio de este artículo. No había nada hipotético en ello, ni nada que requiriera una mala ejecución por parte de nadie. El proveedor era legítimo, el análisis no detectó nada sospechoso y el archivo se entregó exactamente como estaba previsto. Ese es el escenario que el Requisito 5 pretende evitar, y también es el escenario que un mapeo basado únicamente en un antivirus no puede cubrir por completo.

La tecnología Deep CDR™ reconstruye los archivos sin los componentes que podrían resultar peligrosos, por lo que la cuestión de si la carga útil era conocida o nueva ni siquiera tiene que plantearse. Metascan Multiscanning lo mismo con cualquier elemento que contenga una firma. Gracias a ambas tecnologías, un archivo que llega a la bandeja de entrada del departamento financiero es o bien una amenaza que ha sido detectada, o bien una amenaza que ha perdido los componentes necesarios para funcionar; nunca una amenaza que simplemente aún no se haya reconocido.

Conclusiones

  • Los datos de pago circulan a través de archivos empresariales —informes, extractos, correspondencia con proveedores— que no se incluyen en una revisión de seguridad de la red.
  • La cobertura abarca tanto las amenazas conocidas como las desconocidas: más de 30 motores antivirus detectan el malware conocido, y la tecnología Deep CDR™ elimina los componentes que una amenaza de día cero necesitaría para ejecutarse, sin necesidad de identificar primero la amenaza.
  • Esto cumple con los requisitos específicos de la norma PCI DSS (5.2, 5.3.2, 5.4, 1.5/1.5.1, 11.5/11.5.1), con un registro centralizado que demuestra que el control está activo cuando lo comprueba un evaluador.

¿Quieres saber exactamente en qué aspectos la tecnología Deep CDR™ y Multiscanning al conjunto completo de requisitos de la norma PCI DSS 4.0.1? Descarga la Guía de cumplimiento de la norma PCI DSS y la lista de comprobación para obtener un desglose detallado, control por control.

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.