تشمل ممارسات أمن الملفات وفقًا لمعيار PCI DSS عملية الفحص والتطهير والتقييم لكل ملف يدخل إلى بيئة بيانات حامل البطاقة (CDE)، عبر جميع قنوات الاستقبال، وليس فقط عبر نقاط النهاية. ويوسع البند 4.0.1 من معيار PCI DSS نطاق الحماية من البرامج الضارة ليشمل الويب، والبريد الإلكتروني، والتخزين السحابي، ونقل الملفات المُدار، والوسائط القابلة للإزالة، وتبعيات البرامج.
لقد أنجزت معظم فرق الأمن المسؤولة عن الامتثال لمعيار PCI DSS (معيار أمن بيانات صناعة بطاقات الدفع) المهام المطلوبة. تم نشر نظام EDR (Endpoint والاستجابةEndpoint ). وبرامج مكافحة البرمجيات الخبيثة قيد التشغيل. ويظهر علامة اختيار بجانب الشرط رقم 5. هذه تدابير أمنية حيوية، ولكن عندما يتعلق الأمر بالنطاق الأوسع للمتطلبات التنظيمية، فقد تقصر الضوابط الأمنية التقليدية عن تلبية المتطلبات.
تتناول معيار PCI DSS 4.0.1 بشكل صريح مسألة كانت الإصدارات السابقة قد تركتها مفتوحة للتفسير، وهي أن نطاق الحماية من البرامج الضارة يمتد ليشمل كل قناة تنتقل عبرها الملفات إلى بيئة البيانات المركزية (CDE) وداخلها ومنها. الثغرات الأمنية من نوع «صفر يوم». حركة المرور على الويب. البريد الإلكتروني. Cloud . نقل الملفات المُدار. الوسائط القابلة للإزالة. Software .
تعد النقاط الطرفية مجرد واحدة من مجالات التغطية العديدة. وإذا لم يتم تقييم المجالات الأخرى، فسيكون هناك ثغرة أمنية، وسيعرف المدققون أين يبحثون.
يستعرض هذا المنشور النطاق الكامل لما تتطلبه المعايير، حتى تتمكن من تقييم مدى تغطيتك لها بصدق. وللحصول على مرجع أكثر تفصيلاً يتناول كل متطلب على حدة، فإن «دليل التوافق مع معايير PCI DSS وقائمة مراجعة المبتدئين» يقسمان كل إجراء رقابي إلى أجزاء مع تقديم توصيات محددة.
الماخذ الرئيسية
تتعامل معايير PCI DSS 4.0.1 مع أمن الملفات باعتباره مجالًا متعدد القنوات. ويجب أن تمتد تغطية برامج مكافحة البرمجيات الخبيثة لتشمل الويب، والبريد الإلكتروني، والسحابة، ونقل الملفات المُدار، والوسائط القابلة للإزالة، وتبعيات البرامج، وليس فقط أجهزة المستخدمين النهائيين.
تأتي الحمايةالخاصة بنقطة النهاية الواحدةفي مرحلة لاحقة من كل القنوات الأخرى. فبحلول الوقت الذي يصل فيه الملف إلى وكيل نقطة النهاية، يكون الملف قد اجتاز بالفعل ست نقاط فحص أخرى أو فشل في اجتيازها.
لا يكفي الكشف عن التوقيعات وحده لاستيفاء المعيار. فالشرط رقم 5 ينص على تغطية جميع أنواع البرامج الضارة والكشف السلوكي عن تهديدات «اليوم صفر».
تخضع الوسائط القابلة للإزالة لالتزام صريح. ينص الشرط 5.3.3 على ضرورة إجراء فحص تلقائي للوسائط القابلة للإزالة فور إدخالها؛ ولا تُعتبر الإجراءات اليدوية مستوفية لهذا الشرط.
تندرجSoftware ضمن نطاق هذا المعيار. ينص الشرط 6.3.2 على ضرورة تطوير البرامج المصممة خصيصًا والمخصصة بطريقة آمنة، والحفاظ على قائمة جرد بمكونات الأطراف الثالثة.
ما هي متطلبات معيار PCI DSS 4.0.1 فيما يتعلق بأمن الملفات؟
قبل الخوض في التفاصيل، من المفيد أن نستند في حجتنا إلى المواصفات نفسها.
يصف الشرط رقم 5 نطاق التهديد بوضوح: «يمكن للبرامج الضارة أن تتسلل إلى الشبكة خلال العديد من الأنشطة التي تقرها المؤسسة، بما في ذلك البريد الإلكتروني للموظفين (على سبيل المثال، عبر التصيد الاحتيالي) واستخدام الإنترنت mobile وأجهزة التخزين، مما يؤدي إلى استغلال نقاط الضعف في النظام.» وهذا هو نموذج التهديد الأساسي للهجمات القائمة على الملفات في بيئات الدفع.
كما ينص المعيار على أن الكشف عن التوقيعات وحده لا يكفي: «إن استخدام حلول مكافحة البرامج الضارة حلول تتعامل مع جميع أنواع البرامج الضارة يساعد في حماية الأنظمة من التهديدات الحالية والمتطورة للبرامج الضارة». والعبارات الأساسية هنا هي «جميع الأنواع» و«الحالية والمتطورة». فالكشف الذي يقتصر على التعرف على التهديدات المعروفة فقط يترك ثغرة يحددها المعيار صراحةً.
ويذهب الشرط 5.2.1 إلى أبعد من ذلك — حيث تشير إرشادات «الممارسات الجيدة» الخاصة به إلى أنه «من المفيد للكيانات أن تكون على دراية بهجمات «اليوم صفر» (تلك التي تستغل ثغرة أمنية لم تكن معروفة من قبل) وأن تنظر حلول على الخصائص السلوكية وتقوم بالتنبيه والاستجابة للسلوك غير المتوقع». وهذا اعتراف من المعيار نفسه بأهمية الكشف السلوكي والاستدلالي لتحقيق تغطية كاملة.
ويوسع الشرطان 6 و11 نطاق التطبيق بشكل أكبر. ينص الشرط 6.3.2 على ضرورة تحديد الثغرات الأمنية في البرامج المصممة خصيصًا والمخصصة، مما يعالج بشكل مباشر مخاطر سلسلة توريد البرمجيات. وينص الشرط 11.3.1.2 على إجراء فحص داخلي معتمد. ويؤكد هذان الشرطان معًا أن أمن الملفات في بيئة متوافقة مع معيار PCI DSS ليس إجراءً تحكميًّا منفردًا، بل نظامًا يُطبق على مستوى البنية التحتية بأكملها.
ما هي القنوات السبع لاستلام الملفات التي يتوقع معيار PCI DSS منك Secure؟
وهنا تكمن ثغرة في العديد من برامج الامتثال لم يتم قياسها بعد.
قناة الابتلاع | متطلبات معيار PCI DSS | لماذاأدوات Endpoint ؟ | ما الذي يسد الفجوة؟ |
حركة المرور على الويب | الطلبان 5 و6 | الملفات التي تمر عبر وكيل الويب لا تمر أبدًا عبر وكيل نقطة النهاية | المسح متعدد المحركات عند البوابة |
البريد الإلكتروني والمرفقات | المتطلبان 1 و5 | يفوت المسح المميز للمحركات الفردية الملفات الماكرو والأرشيفات والثغرات المدمجة | Multiscanning، تطهير الملفات، منع فقدان البيانات |
التخزين سحابة | الطلبان 5 و6 | يتجاوز التحميل المباشر إلى SharePoint أو OneDrive أو S3 عملية فحص نقاط النهاية | فحص الملفات المخزنة + منع فقدان البيانات |
النقل المُدار للملفات | الطلبان 5 و6 | تصل ملفات الشركاء الموثوق بهم وهي موجودة بالفعل ضمن مسار العمل | فحص الملفات أثناء نقلها + تطهير الملفات |
الوسائط القابلة للإزالة | المتطلبات 1 و5 و9 | لا تفي سياسات المسح اليدوي بمتطلبات المسح التلقائي | الفحص التلقائي عند الإدخال (كشك) لمنع دخول البرامج الضارة من الأجهزة الخارجية |
Software | الطلب رقم 6 | لا تُعد الثغرات الأمنية المعروفة (CVE) في مكونات الجهات الخارجية توقيعات لبرامج ضارة | vulnerability detection في الملفات (منتجات البرمجيات) vulnerability detection مراحل دورة حياة تطوير البرمجيات (SDLC) |
نقاط النهاية | الطلب رقم 5 | تأتي في نهاية سلسلة جميع القنوات الأخرى؛ وتكون آخر من يتلقى التهديدات | EDR / برامج مكافحة الفيروسات لنقاط النهاية |
- حركة مرور الويب: تمر الملفات التي يتم تنزيلها أو تحميلها إلى بوابة ويب عبر بروتوكول HTTPS عبر الشبكة قبل أن تصل إلى أي نقطة طرفية.
- البريد الإلكتروني والمرفقات: لا يزال البريد الإلكتروني هو الوسيلة الأكثر شيوعًا لنقل التهديدات القائمة على الملفات. ويجب أن يتجاوز فحص المرفقات مجرد مطابقة التوقيعات. فالأرشيفات المضغوطة، والمستندات التي تدعم الماكرو، والملفات التي تحتوي على ثغرات أمنية مضمنة، كلها مصممة للتحايل على هذا الفحص.
- Cloud المحلي Cloud : تتم مزامنة الملفات باستمرار من وإلى SharePoint وOneDrive وS3 والمنصات المماثلة.
- نقل الملفات المُدار: تؤدي عمليات التبادل مع الموردين، وعمليات التكامل مع الشركاء، وتقديم الملفات من قبل العملاء إلى تدفقات ملفات واردة تنطوي كل منها على مخاطرها الخاصة.
- الوسائط القابلة للإزالة: يُعد الشرط 5.3.3 أحد الالتزامات الأكثر تحديدًا في المعيار؛ حيث يجب أن يقوم برنامج مكافحة البرامج الضارة بفحص الوسائط القابلة للإزالة تلقائيًّا عند إدخالها. وتُعد USB وسيلة هجوم نشطة في بيئات الدفع، بما في ذلك الأنظمة المعزولة شبكيًّا (air-gapped)، حيث غالبًا ما تكون هذه الأجهزة المسار الوحيد للبيانات الخارجية.
- Software والتبعيات. تم وضع الشرط 6.3.2 لأن المكتبات والمكونات المدمجة التابعة لأطراف ثالثة تشكل مصدرًا مهمًا للتعرض لمخاطر CDE. فالملف الثنائي الذي يأتي مع تبعيات تحتوي على ثغرة أمنية معروفة (CVE: Common Vulnerability and Exposure) ينطوي على خطر لا يمكن للكشف عن البرامج الضارة القائم على التوقيعات اكتشافه. إنها ثغرة أمنية تنتظر من يستغلها، وليست برنامجًا ضارًا بالمعنى التقليدي.
- نقاط النهاية. هذه هي القناة الوحيدة التي تغطيها معظم الفرق. تعمل Endpoint على فحص كل ما يصل إلى الجهاز أو يتم تنفيذه أو يستمر وجوده عليه. هذه التغطية ضرورية، لكنها تأتي في مرحلة لاحقة مقارنة بجميع القنوات الأخرى الواردة في هذه القائمة. فبحلول الوقت الذي يصل فيه الملف إلى نقطة النهاية، تكون ست نقاط فحص أخرى قد اجتازته أو رفضته بالفعل.
لماذا لا تكفي Endpoint بواسطة برنامج مكافحة فيروسات واحد؟
تعد EDR وبرامج مكافحة الفيروسات المخصصة لنقطة نهاية واحدة أدوات ممتازة، لكن نطاق عملها محدود بحكم تصميمها.
تعمل Endpoint على حماية الأجهزة من خلال مراقبة ما يحدث على الجهاز نفسه: الملفات التي يتم تسجيلها على القرص، والعمليات التي يتم تنفيذها، واتصالات الشبكة التي يتم إقامتها. وهي لا تفحص الملفات التي تمر عبر وكيل الويب، أو بوابة البريد الإلكتروني، أو API المزامنة السحابية، أو USB . وهذه مسألة تتعلق بنطاق العمل، وليست عيبًا في المنتج.
تقدم معايير PCI DSS 4.0.1 إجابة قاطعة على سؤال النطاق هذا. تصف المعايير «مساحة التهديد» بأنها كل قناة تدخل الملفات عبرها إلى الشبكة. تعمل Endpoint على تأمين ما هو موجود بالفعل داخل بيئة البيانات المركزية (CDE)، بينما تعمل حماية الملفات على تأمين عملية العبور.
هذه الثغرة ليست مجرد مسألة نظرية. فإذا قام مهاجم بإيصال حمولة ضارة عبر مرفق تصيد لم يتم فحصه إلا بواسطة بوابة ذات محرك واحد، أو عبر تبعيات ضارة في حزمة برمجيات مقدمة من أحد الموردين، أو عبر USB تم توصيله خلال فترة الصيانة — فإن أياً من هذه المسارات لا يمر عبر وكيل نقطة النهاية إلا بعد فوات الأوان. وهذه هي القنوات التي يطلب منك المعيار إغلاقها.
كيف يبدو الأمن الكامل للملفات وفقًا لمعيار PCI DSS 4.0.1؟
تشترك المؤسسات التي حصلت على تقييم «نظيف» في عمليات تدقيق الإصدار 4.0.1 المتعلقة بأمن الملفات في بنية مشتركة تتمثل في إجراء الفحص عند كل نقطة استلام، مع وجود طبقات متعددة من الحماية.
وهذا يعني إجراء فحص متعدد المحركات على مستوى البوابة. ففحص الملفات باستخدام محركات مكافحة الفيروسات المتعددة في آن واحد يزيد معدلات الكشف بشكل كبير ويوفر عمق التغطية الذي تتطلبه عبارة «جميع الأنواع» الواردة في المعيار. كما يعني تطهير الملفات الذي يعمل على تحييد ما لا تستطيع برامج مكافحة الفيروسات اكتشافه: تعمل تقنية Deep CDR™ على إعادة بناء الملفات إلى تنسيقات آمنة وقابلة للاستخدام من خلال إزالة المحتوى الذي يُحتمل أن يكون ضارًا، بما في ذلك الثغرات الأمنية من نوع «يوم الصفر» التي لم يتم تصنيفها بعد. وهذا يعني تقييم الثغرات الأمنية على مستوى الملفات مقارنةً بـ CVEs المعروفة لحزم البرامج والملفات الثنائية قبل وصولها إلى أنظمة الإنتاج. كما يعني التسجيل المركزي عبر جميع القنوات، وليس فقط القياس عن بُعد لنقاط النهاية، بحيث يمكن بالفعل تلبية متطلبات التدقيق الواردة في الشرط رقم 11.
MetaDefender™ هي منصة أمان الملفات OPSWAT المصممة لفحص الملفات وتطهيرها وتقييمها عبر جميع قنوات الاستلام قبل وصولها إلى بيئة البيانات المركزية (CDE).
وكما يشير دليل الامتثال OPSWAT:MetaDefender OPSWAT MetaDefender بعضًا من أقوى القدرات في القطاع فيما يتعلق بالمتطلب رقم 5. Multiscanning Metascan™ Multiscanning أكثر من 30 محركًا تجاريًّا لمكافحة الفيروسات للكشف عن البرامج الضارة المعروفة بدقة استثنائية، بينما تعمل تقنية Deep CDR™ على تحييد التهديدات من نوع «صفر يوم» والتهديدات المضمنة بشكل استباقي من خلال إعادة بناء الملفات إلى تنسيقات آمنة وقابلة للاستخدام.»
لا توجد هذه الثغرة بسبب إهمال فرق الأمن، بل لأن المعيار PCI DSS 4.0.1 يتطلب نطاقًا أوسع. والفرق التي تعمل على سد هذه الثغرة قبل إجراء التدقيق لا تفعل أكثر مما يتطلبه المعيار؛ بل إنها تنفذ كل ما ينص عليه المعيار فحسب.
الخطوات التالية
هل أنت مستعد لتقييم تغطيتك الحالية مقارنةً بالنطاق الكامل لمتطلبات الإصدار 4.0.1؟
قم بتنزيل «دليل التوافق مع معيار PCI DSS» + «قائمة مراجعة المبتدئين لمعيار PCI DSS» لمقارنة ضوابطك الحالية مع كل قناة من القنوات السبع لاستلام الملفات وتحديد نقاط الضعف الموجودة.
الأسئلة المتداولة
هل تكفي حماية نقطة نهاية واحدة للامتثال لمعيار PCI DSS 4.0.1؟
لا. يوسع معيار PCI DSS 4.0.1 نطاق الحماية من البرامج الضارة ليشمل كل قناة تدخل الملفات عبرها إلى بيئة البيانات المركزية (CDE). تعمل الحماية التقليدية لنقاط النهاية على تأمين الأجهزة، لكنها لا تفحص الملفات التي تمر عبر بروكسيات الويب، أو بوابات البريد الإلكتروني، أو المزامنة السحابية، أو الوسائط القابلة للإزالة. يتكامل OPSWAT MetaDefender مع تقنيات متعددة الطبقات لسد هذه الفجوة.
هل يتطلب معيار PCI DSS إجراء فحص للبرمجيات الخبيثة على الوسائط القابلة للإزالة؟
نعم. عند إدخال وسائط قابلة للإزالة أو توصيلها أو تركيبها منطقياً، ينص الشرط 5.3.3 على إجراء عمليات فحص تلقائية أو تحليل سلوكي مستمر للأنظمة أو العمليات. ولا تستوفي سياسات الفحص اليدوي هذا الشرط.
ما هي قنوات استلام الملفاتالمتعلقة بمعيار PCI DSS 4.0.1؟
حركة المرور على الويب، والبريد الإلكتروني والمرفقات، والتخزين السحابي، ونقل الملفات المُدار، والوسائط القابلة للإزالة، وتبعيات البرامج، ونقاط النهاية.
هل تتناول معيار PCI DSS 4.0.1 مخاطر سلسلة التوريد الخاصة بالبرمجيات؟
نعم. ينص الشرط 6.3.2 على ضرورة تطوير البرامج المصممة خصيصًا والمخصصة بطريقة آمنة، وتحديد الثغرات الأمنية ومعالجتها، والحفاظ على قائمة بمكونات البرامج التابعة لأطراف ثالثة لتسهيل إدارة الثغرات الأمنية والتصحيحات.
ما المقصود ببيئة بيانات حامل البطاقة (CDE)؟
يُقصد بـ«CDE» الأفراد والعمليات والتقنيات التي تقوم بتخزين بيانات حاملي البطاقات أو معالجتها أو نقلها، بالإضافة إلى أي أنظمة متصلة بها. وتسري ضوابط أمن الملفات الخاصة بمعيار PCI DSS على الملفات التي تدخل إلى «CDE» أو تنتقل داخلها أو تخرج منها.
