يقوم فريق الأمن التابع لإحدى شركات معالجة المدفوعات بوضع علامة على مرفق PDF لمراجعته. ويأتي هذا المرفق من مورد معروف، ولا تظهر أي نتائج إيجابية عند فحصه مقابل كل التوقيعات الموجودة في قاعدة بيانات برنامج مكافحة الفيروسات، ويتم تسليمه إلى صندوق الوارد الخاص بالقسم المالي دون إلقاء نظرة ثانية عليه. ويحتوي ملف PDF هذا على حمولة مصممة خصيصًا لتفادي الكشف: لا توجد توقيعات معروفة، ولا سلوكيات مشبوهة، ولا أي شيء تم تدريب محرك مكافحة الفيروسات على اكتشافه من قبل. وبحلول الوقت الذي يلاحظ فيه أحدهم الأمر، يكون الملف قد أنجز مهمته بالفعل.
هذا ليس مجرد افتراض. فالماكروات المضمنة، وكائنات OLE، وJavaScript داخل ملفات PDF، والنصوص البرمجية المشوشة في ملفات Office، كلها وسائل نقل معتادة في الهجمات التي تستهدف الخدمات المالية. كما أن تنسيقات الملفات التي يفضلها المهاجمون (PDF، Excel، Word) هي نفس التنسيقات التي تُنقل عبرها بيانات حاملي البطاقات يوميًا في بيئة الدفع. تُنقل التقارير، وكشوف الحسابات، وطلبات فتح الحسابات، والمراسلات مع الموردين، كلها في شكل ملفات، مما يعني أن كل صيغة من هذه الصيغ تمثل أيضًا نقطة دخول محتملة إلى بيئة بيانات حاملي البطاقات.
إذا كنت قد صنفت المتطلب رقم 5 من معيار PCI DSS 4.0.1 على أنه «مغطى» لأن برنامج مكافحة الفيروسات مُثبَّت على جميع نقاط النهاية لديك، فمن الجدير التساؤل عما تشمله هذه التغطية فعليًّا. تعد برامج مكافحة الفيروسات ونظام EDR (Endpoint والاستجابةEndpoint ) أدوات قوية وضرورية. كما أنها مبنية على افتراض محدد، وهو أنه لا بد من التعرف على التهديد لإيقافه. تناولت مدونتنا الأولى في هذه السلسلة النقاط التي يرفع فيها معيار PCI DSS 4.0.1 مستوى الحماية من البرامج الضارة بشكل عام. أما هذا المنشور فيتعمق أكثر في ثغرة محددة، وهي: كيف تتسلل التهديدات المنقولة عبر الملفات عبر برامج مكافحة الفيروسات بحكم تصميمها، وما الذي يسد هذه الثغرة في بيئة الدفع.
ما الذي يفعله برنامج مكافحة الفيروسات فعليًّا، وأين تنتهي قدراته
تُعد برامج مكافحة الفيروسات وأنظمة EDR فعالة في الغرض الذي صُممت من أجله: التعرف على التهديدات التي تم تحديدها بالفعل. يعتمد الكشف القائم على التوقيعات على مقارنة الملف بقاعدة بيانات تحتوي على البرامج الضارة المعروفة. أما الكشف السلوكي في أنظمة EDR فيراقب الأنماط التي تتطابق مع الهجمات السابقة. ويعتمد كلا النهجين على وجود سابقة لشيء مشابه.
وهذا الاعتماد هو أيضًا مصدر القيد. فحمولة هجوم «يوم الصفر» لا تحتوي على توقيع يمكن مطابقته. ويمكن لملف مصمم خصيصًا للتحايل على التحليل الثابت — من خلال التعتيم أو التشفير أو التلاعب بالبنية — أن يجتاز الفحص دون إثارة أي تنبيه. يعرف المهاجمون بالضبط كيف أدوات القائمة على الكشف، ولهذا السبب يتمحور جزء كبير من سطح الهجوم الحديث حول التحايل عليها بدلاً من التغلب عليها. لا يعني أي من هذا أن برامج مكافحة الفيروسات وأنظمة الكشف والاستجابة للأحداث (EDR) تؤدي عملها بشكل سيئ. بل يعني أنه يُطلب منها القيام بمهمة لا يمكنها، بحكم تعريفها، تغطية التهديدات التي لم يقم أحد بتصنيفها بعد.
التهديدات المرتبطة بالملفات في بيئة بيانات حاملي البطاقات
وهذا الأمر مهم بشكل خاص بالنسبة لـ «بيئة بيانات حامل البطاقة» (CDE). فبيانات حامل البطاقة لا تنتقل عبر قنوات الشبكة فحسب، بل تنتقل أيضًا عبر الملفات: مثل التقارير، وكشوف الحسابات، وسجلات المعاملات، والمراسلات مع الموردين. وعندما يدخل ملف ضار إلى تلك البيئة دون أن يتم اكتشافه، فإن النتيجة لا تقتصر على مجرد إغفال تنبيه بوجود برمجيات خبيثة، بل إنها تشكل خرقًا للحدود التي يفرض معيار PCI DSS على المؤسسات التحكم فيها. فالملف الذي يتجاوز برنامج مكافحة الفيروسات لأن حمولته غير معروفة يظل ملفًا داخل بيئة بيانات حامل البطاقة (CDE) يحمل تلك الحمولة. ولا تغير نتيجة الفحص محتوى الملف.
ما تفعله تقنية Deep CDR™ بدلاً من ذلك
بدلاً من التساؤل عما إذا كان الملف ضارًا أم لا، تفترض تقنية Deep CDR™ أن أي ملف قد يكون ضارًا وتتعامل معه على هذا الأساس. تقوم هذه العملية بتفكيك الملف إلى مكوناته الأساسية، وإزالة أي عنصر قادر على حمل محتوى قابل للتنفيذ أو تهديدات نشطة (مثل الماكروات، والبرامج النصية المضمنة، وكائنات OLE)، ثم إعادة بناء نسخة نظيفة وكاملة الوظائف بالصيغة الأصلية. وتتم عملية إعادة البناء هذه بشكل متكرر أيضًا: فالأرشيف المتداخل داخل أرشيف آخر، أو المستند الذي يحتوي على ملف مضمن خاص به، يتم تطهيره في كل طبقة، وليس فقط في الطبقة الخارجية. تعرف على أداء تقنية Deep CDR™.
الفرق يكمن في الآلية، وليس في التسويق. أدوات القائمة على الكشف تحديد التهديد. أما تقنية Deep CDR™ فتقوم بإزالة العناصر التي يحتاجها التهديد ليعمل، بغض النظر عما إذا كان قد تم تحديده أم لا. فتتعامل مع ثغرة «يوم الصفر» وبرنامج ضار معروف بنفس الطريقة، لأن الأداة لا تحاول التعرف على أي منهما. بل إنها تزيل آلية التوصيل تمامًا. والنتيجة هي ملف يُفتح ويُعرض ويعمل بالطريقة نفسها التي كان يعمل بها الملف الأصلي، باستثناء المكونات التي قد تحمل تهديدًا نشطًا. وتؤكد الاختبارات المستقلة ذلك: فقد كانت تقنية Deep CDR™ أول حل CDR يحقق حماية ودقة بنسبة 100% في اختبار SE Labs الخاص بـ Standalone CDR.
لأغراض معيار PCI DSS، ما يهم هو ما يعنيه ذلك بالنسبة للمتطلب رقم 5— حماية جميع الأنظمة من البرامج الضارة وتحديث برامج مكافحة الفيروسات بانتظام: وهو إجراء رقابي يعالج فئة محددة من التهديدات التي يتعذر على الكشف القائم على التوقيعات اكتشافها من الناحية الهيكلية، ويتم تطبيقه في اللحظة التي يدخل فيها الملف إلى البيئة بدلاً من تطبيقه بعد وقوع الحدث.
كيف تتوافق تقنية «Metascan Multiscanning «Deep CDR™» مع معيار PCI DSS 4.0.1
لا يقتصر المعيار PCI DSS 4.0.1 على نوع واحد من ضوابط مكافحة البرامج الضارة. بل يتطلب تغطية متعددة المستويات تتصدى للتهديدات المعروفة والمجهولة على حد سواء. ولا يمكن لأداة واحدة، مهما كان أداؤها جيدًا في مهمتها المحددة، أن تلبي هذا المطلب بمفردها. وهنا تبرز أهمية الجمع بين الكشف والوقاية لتلبية المتطلبات المحددة.
المتطلب 1: تثبيت ضوابط أمن الشبكة وصيانتها
يهدف الشرط رقم 1 إلى منع انتشار المخاطر من الأجهزة التي تتصل بشبكات غير موثوق بها وببيئة البيانات المركزية (CDE) في الوقت نفسه. وتدعم Multiscanning Deep CDR™ هذا الهدف بشكل مباشر: حيث تعمل التغطية المتعددة الطبقات لمكافحة البرامج الضارة عبر حركة مرور الشبكة والبريد الإلكتروني ونقاط النهاية والوسائط القابلة للإزالة على إغلاق نقاط دخول متعددة في آن واحد، بينما يضمن الجمع بين الفحص المتعدد وتقنية CDR وصول الملفات والبيانات التي تعبر الحدود بين الشبكات غير الموثوق بها وبيئة البيانات المركزية (CDE) بعد تطهيرها وتخليصها من المحتوى الضار، بغض النظر عن القناة التي وصلت من خلالها.
المتطلب رقم 5: حماية جميع الأنظمة والشبكات من Software الضارة
على مستوى المتطلبات، يُعد كل من «Metascan Multiscanning الذي يضم أكثر من 30 محركًا لمكافحة الفيروسات) وتقنية «Deep CDR™» (التي تعيد بناء الملفات إلى تنسيقات آمنة لتحييد التهديدات من نوع «صفر يوم» والتهديدات المضمنة) الإمكانات الرئيسيتين اللتين تلبيان هذا المتطلب من البداية إلى النهاية. وهما معًا يغطيان جانبي مهمة مكافحة البرامج الضارة: «الكشف المتقدم عن التهديدات المنقولة عبر الملفات» للإصدار 5.2/5.2.1، حيث تتم معالجة كل ملف عبر تقنية Deep CDR™ وتقنية Metascan Multiscanning السماح بدخوله إلى بيئة محمية؛ الفحص متعدد الطبقات للإصدار 5.3.2، حيث يُعد الفحص المتعدد وبيئة الحماية (sandboxing) وإبطال مفعول المحتوى وإعادة بنائه من الضوابط الداعمة الموصى بها؛ وكشف التصيد الاحتيالي القائم على المرفقات للإصدار 5.4، حيثEmail Security MetaDefender Email Security Multiscanning Metascan Multiscanning بيئة الحماية (sandbox) للكشف عن المرفقات الخبيثة قبل وصولها إلى المستخدم.
- المتطلب 5.2 (الوقاية من البرامج الضارة واكتشافها). وهنا تقوم التقنيتان بدورين متميزين ومتكاملين. تقوم Multiscanning Metascan Multiscanning بفحص الملفات عبر أكثر من ثلاثين محركًا تجاريًا لمكافحة الفيروسات، مما يمنح الكشف عن التهديدات المعروفة عمقًا لا يمكن لأي محرك بمفرده أن يضاهيه — ونظرًا لأن هذه المحركات تجمع بين التوقيعات والطرق الاستدلالية والتعلم الآلي، فإن Metascan تكتشف أيضًا نسبة كبيرة من البرامج الضارة غير المعروفة، مما يرفع معدل الكشف الإجمالي إلى 99.2% من التهديدات المعروفة وغير المعروفة مجتمعة. تتولى تقنية Deep CDR™ معالجة الجزء الضئيل من التهديدات التي يفوتها الفحص وتمنع استغلالات «اليوم صفر». وبالتعاون بينهما، يتم اكتشاف التهديدات المعروفة، كما يتم إبطال آلية توصيل التهديدات التي كان الفحص وحده سيسمح لها بالمرور قبل أن تصبح مشكلة على الإطلاق.
- المتطلب 5.3.2 (الفحص في الوقت الفعلي أو الدوري). تعمل تقنية Deep CDR™ بشكل متكامل، عند نقطة الاستقبال. تتم معالجة كل ملف فور دخوله إلى البيئة، وليس خلال عملية مسح مجدولة. وهذا يلبي متطلبات الفحص في الوقت الفعلي عبر قنوات حركة المرور على الويب والبريد الإلكتروني ونقل الملفات في آن واحد، بدلاً من الاعتماد على عمليات الفحص الدورية لاكتشاف ما تسلل بين الفواصل.
- المتطلب 5.4 (آليات مكافحة التصيد الاحتيالي). يجمعMetaDefender Security™ Multiscanning تقنية Metascan Multiscanning ليل في بيئة العزل (sandbox) للكشف عن المرفقات الخبيثة أو المشبوهة قبل وصولها إلى صندوق الوارد، بينما يضيف MetaDefender تحليلاً ديناميكيًا للمرفقات المشبوهة في بيئة خاضعة للرقابة للكشف عن الحمولات من نوع «يوم الصفر» أو المشوشة التي تتفادى الفحص القائم على التوقيعات. ويوسع MetaDefender نطاق الرؤية هذا ليشمل طبقة الشبكة، حيث يقوم بتمييز الاتصالات المشبوهة وعمليات توصيل الحمولات المرتبطة بحملات التصيد الاحتيالي.
المتطلب رقم 6: تطوير Secure Software Secure وصيانتها
المتطلب 6.3 (تحديد الثغرات الأمنية). تشكل الملفات التي تحمل برامج استغلال تستهدف ثغرات أمنية معروفة في البرامج خطرًا على مستوى الملف، وليس على مستوى الشبكة فحسب. ونظرًا لأن تقنية Deep CDR™ تعمل على إزالة آلية توصيل برامج الاستغلال قبل وصول الملف إلى المستخدم أو النظام، فإنها تعالج هذا الخطر عند النقطة التي كان من المفترض أن يدخل منها، بغض النظر عما إذا كانت الثغرة الأمنية الأساسية قد تم إصلاحها أم لا.
هل تتساءل كيف يتوافق ذلك مع نطاق الامتثال لمعيار PCI DSS الخاص بك؟ احصل على دليل الامتثال لمعيار PCI DSS لإلقاء نظرة عن قرب على المجالات التي تتناسب معها تقنيات Metascan Multiscanning Deep CDR™.
مكان Multiscanning «CDR» في البنية التحتية
تتوقف قيمة هذا النهج المتعدد المستويات على المكان الذي يتم تطبيقه فيه. فالتغطية التي تقتصر على نقطة النهاية فقط تترك بقية مسار الملف دون حماية، كما أن بيانات حاملي البطاقات تعبر حدود بيئة بيانات حاملي البطاقات (CDE) عبر قنوات أكثر مما تأخذه معظم مصفوفات الامتثال في الحسبان. وبالنسبة لبيئة الدفع، فإن النقاط الأكثر أهمية هي تلك التي تعبر فيها الملفات هذا الحد بشكل روتيني.
- أمن تطبيقات الويب: تُعد التطبيقات التي تتلقى بيانات حاملي البطاقات أيضًا مسارًا لدخول الملفات الضارة والتهديدات من نوع «يوم الصفر» إلى بيئة بيانات حاملي البطاقات (CDE) من خلال عمليات التحميل أو التفاعلات القائمة على الملفات.
- بوابة البريد الإلكتروني: يتم تنقية المرفقات قبل إرسالها، مما يمنع وصول مستندات Office المُستغلة كأسلحة وملفات PDF الخبيثة، وهي أكثر صيغ الإرسال شيوعًا في هجمات التصيد الموجهة في الخدمات المالية.
- وكيل الويب / ICAP: يتم فحص حركة مرور HTTP وHTTPS في الوقت الفعلي، كما يتم إعادة بناء الملفات التي يتم تنزيلها من الإنترنت قبل وصولها إلى الأنظمة الداخلية.
- الوسائط القابلة للإزالة: يتم مسح الملفات الموجودة على USB في الكشك قبل دخولها إلى بيئة البيانات المركزية (CDE). وهذا يستوفي الشرط 5.3.3 بشكل مباشر ويقضي على الوسائط القابلة للإزالة كمسار للهجوم.
- نقل الملفات المُدار: يتم تنقية الملفات المتبادلة مع الشركاء والموردين أثناء نقلها، وليس فقط عند استلامها.
تطبق منصة MetaDefender™OPSWAT تقنية Metascan Multiscanning Deep CDR™ بشكل متسق عبر جميع هذه النقاط، إلى جانب تقنية Proactive DLP™ وغيرها من القدرات، بحيث لا تعتمد التغطية على القناة التي يصل الملف عبرها. كما أنها لا تعتمد على التنسيق الذي يصل به الملف: تغطي تقنية Deep CDR™ أكثر من 200 نوع من الملفات، بدءًا من ملفات PDF وجداول البيانات ومستندات Word التي تهيمن على سير عمل عمليات الدفع، وصولًا إلى الصور والأرشيفات والتنسيقات الأخرى التي تتجاوز حدود بيئة البيانات المركزية (CDE) في الممارسة العملية.
سواء كانت معروفة أم جديدة، فإن النتيجة واحدة
ارجع إلى ملف PDF الموجود في بداية هذا المقال. لم يكن فيه أي شيء افتراضي، ولم يتطلب أي شيء منه سوء تنفيذ من جانب أي شخص. كان المورد شرعيًّا، وجاءت نتيجة الفحص سليمة، وتم تسليم الملف تمامًا كما كان مقررًا. هذا هو السيناريو الذي يهدف «الشرط رقم 5» إلى منعه، وهو أيضًا السيناريو الذي لا يمكن لخريطة تعتمد على برنامج مكافحة الفيروسات وحده أن تأخذه في الحسبان بشكل كامل.
تعمل تقنية Deep CDR™ على إعادة بناء الملفات دون المكونات التي قد تشكل خطورة، لذا فإن مسألة ما إذا كانت الحمولة معروفة أم جديدة لا تحتاج إلى إجابة من الأساس. أما Multiscanning Metascan Multiscanning بنفس الدور بالنسبة لأي ملف يحمل توقيعًا. وبفضل هاتين التقنيتين، فإن أي ملف يصل إلى صندوق الوارد الخاص بالقسم المالي يكون إما تهديدًا تم اكتشافه، أو تهديدًا فقد الأجزاء اللازمة لتشغيله — ولن يكون أبدًا تهديدًا لم يتم التعرف عليه بعد.
النقاط الرئيسية
- تنتقل بيانات الدفع عبر ملفات العمل — مثل التقارير، والكشوف، والمراسلات مع الموردين — التي لا تشملها عمليات مراجعة أمن الشبكات.
- تمتد التغطية لتشمل التهديدات المعروفة وغير المعروفة على حد سواء: حيث تعمل أكثر من 30 محركًا لمكافحة الفيروسات على اكتشاف البرامج الضارة المعروفة، بينما تعمل تقنية Deep CDR™ على إزالة المكونات التي يحتاجها تهديد «يوم الصفر» للتشغيل، دون الحاجة إلى تحديد التهديد مسبقًا.
- ويتوافق ذلك مع متطلبات محددة من معيار PCI DSS (5.2، 5.3.2، 5.4، 1.5/1.5.1، 11.5/11.5.1)، مع وجود نظام تسجيل مركزي يثبت أن الإجراء الرقابي قيد التشغيل عند قيام المُقيِّم بالتحقق.
هل تريد أن تعرف بالضبط كيف Multiscanning تقنية Deep CDR™ Multiscanning مع مجموعة متطلبات PCI DSS 4.0.1 الكاملة؟ قم بتنزيل «دليل الامتثال لمع ايير PCI DSS وقائمة المراجعة» للاطلاع على تحليل تفصيلي لكل عنصر من عناصر التحكم على حدة.
