Comment OPSWAT contribue à la conformité à la norme PCI DSS grâce à la sécurité des fichiers

Les exigences n° 5, 6 et 11 sont celles pour lesquelles la sécurité des fichiers a l'impact le plus direct sur la conformité. C'est également dans ces domaines que l'on observe le plus grand nombre de lacunes en matière de couverture dans les environnements des services financiers.

L'exigence n° 5 impose aux organisations de déployer et de maintenir des solutions anti-malware complètes permettant de prévenir, de détecter et de neutraliser les logiciels malveillants sur l'ensemble des systèmes du CDE. Cela implique notamment de mettre en place des défenses actives et à jour, d'effectuer des analyses en temps réel ou périodiques, et de mettre en œuvre des mécanismes anti-hameçonnage. Le champ d'application s'étend aux passerelles Web et de messagerie, au stockage dans le cloud, aux terminaux et aux supports amovibles.

Comment OPSWAT protéger les systèmes et les réseaux contre Software malveillants

La technologie Metascan™ Multiscanning OPSWAT s'appuie sur plus de 30 moteurs anti-malware commerciaux pour détecter les logiciels malveillants connus avec une précision exceptionnelle, tandis que la technologie Deep CDR™ neutralise de manière proactive les menaces « zero-day » et les menaces intégrées en reconstruisant les fichiers dans des formats sûrs et exploitables.

• MetaDefender assure une inspection approfondie et multicouche du contenu sur l'ensemble des principaux canaux d'acquisition de fichiers.

• La technologie avancée de sandboxing MetaDefender permet de détecter les logiciels malveillants furtifs ou sans fichier qui échappent à la détection basée sur les signatures.

• MetaDefender et MetaDefender sécurisent USB dès leur insertion.

• MetaDefender Security™ bloque les pièces jointes de hameçonnage et les contenus suspects avant leur livraison.

• MetaDefender ICAP analyse le trafic HTTP/S afin de détecter et de bloquer les fichiers malveillants en transit avant qu'ils n'atteignent les systèmes internes.

• My Central Management centralise la journalisation, les mises à jour du moteur et la visibilité sur la conformité à l'échelle de l'ensemble du déploiement.

L'exigence 6 garantit que tous les systèmes et logiciels au sein du CDE sont développés, maintenus et protégés de manière sécurisée tout au long de leur cycle de vie. La norme PCI DSS 4.0.1 met l’accent sur deux objectifs : empêcher l’exploitation des failles de sécurité et réduire les risques liés aux logiciels personnalisés ou tiers. L’exigence 6.3.2 impose notamment de tenir à jour un inventaire de ces composants à des fins de gestion des vulnérabilités. Cela implique d’appliquer les correctifs en temps opportun, d’adopter des pratiques sécurisées tout au long du cycle de vieSoftware (SDLC) et de maintenir des référentiels de code sécurisés.

Comment OPSWAT Secure et Software Développement et maintenance

MetaDefender l'exigence n° 6 grâce à une visibilité approfondie sur les composants logiciels et les paquets de fichiers avant leur mise en production.

• L'évaluation des vulnérabilités multi-fichiers détecte les entrées CVE (Common Vulnerability and Exposure) connues dans les fichiers binaires, les programmes d'installation et les dépendances, afin que seuls les composants sécurisés et évalués soient intégrés à l'environnement.

• MetaDefender Core MetaDefender ICAP Server la sécurité des fichiers des applications Web etServer l'inspection du trafic provenant de sources externes ou non fiables.

• MetaDefender Software Chain™ renforce les processus de développement en analysant les bibliothèques tierces, en inspectant les artefacts de code à la recherche d'éléments malveillants ou vulnérables, et en générant des fichiers SBOM (Software of Materials) qui améliorent la transparence des dépendances.

La sécurité des fichiers est au cœur des exigences n° 5, 6 et 11, mais la couverture MetaDefender s'étend à plusieurs autres domaines de la norme. Voici en quoi il apporte sa contribution.

L'exigence n° 1 impose la mise en place et la maintenance de contrôles de sécurité réseau, notamment des pare-feu, des routeurs et des dispositifs de protection des périmètres, afin de protéger le CDE. Cela implique notamment de mettre en œuvre une segmentation du réseau, de configurer des politiques et de documenter les flux de données.

Les contrôles d'accès physiques sécurisent le périmètre au niveau du réseau, mais les fichiers franchissent constamment ce périmètre au niveau de la couche de contenu, où s'appliquent les contrôles MetaDefender.

Comment OPSWAT au maintien des contrôles de sécurité réseau

OPSWAT l'exigence n° 1 en ajoutant une prévention des menaces basée sur le contenu aux points de contrôle clés du réseau.

• MetaDefender analysent, nettoient et valident les fichiers transitant par les canaux de messagerie électronique, Web, stockage, supports amovibles et terminaux, réduisant ainsi les risques au niveau de la couche de contenu, même lorsque les contrôles réseau autorisent ce trafic.

• Proactive DLP Metascan Multiscanning, Deep CDR™ et Proactive DLP agissent de concert pour empêcher les contenus malveillants de pénétrer dans les environnements segmentés ou de s'y propager.

L'exigence n° 2 garantit que tous les composants du système, y compris les serveurs, les applications et les équipements réseau, sont configurés de manière sécurisée et font l'objet d'une maintenance régulière. Cela implique notamment de supprimer les services superflus, d'appliquer des normes de renforcement de la sécurité et de vérifier que les systèmes restent conformes à ces configurations au fil du temps.

Comment OPSWAT la mise en place de Secure sur les composants du système

MetaDefender cette exigence en analysant les fichiers, les progiciels et les programmes d'installation à la recherche de logiciels malveillants et de vulnérabilités connues avant qu'ils n'atteignent les systèmes de production. Il garantit ainsi que seuls des composants sûrs et vérifiés transitent entre des environnements présentant différents niveaux de confiance.

• MetaDefender Endpoint l'application des correctifs et la validation de la conformité, tandis que

• Supply Chain MetaDefender Software Supply Chain les vulnérabilités présentes dans les composants tiers et open source. Exigence n° 8 : Identifier les utilisateurs et authentifier l'accès aux composants du système

L'exigence n° 8 stipule la nécessité de disposer d'un système d'identification unique des utilisateurs et de contrôles d'authentification robustes, notamment l'authentification multifactorielle (MFA), afin de sécuriser l'accès aux systèmes au sein du CDE. Elle régit les normes relatives aux mots de passe, la gestion des comptes, la vérification d'identité et les mesures de protection contre le vol d'identifiants.

Comment OPSWAT l'identification des utilisateurs et l'authentification des accès

MetaDefender l'exigence n° 8 en intégrant MetaDefender à des fournisseurs externes de gestion des identités et des accès (IAM), tels qu'Active Directory et les plateformes d'authentification unique (SSO), ce qui permet une authentification forte et un accès administratif sécurisé.

• Les connexions à la console sont sécurisées via HTTPS, et My OPSWAT Central Management les politiques d'authentification pour les comptes administratifs locaux.

• Proactive DLP permet également de détecter les identifiants exposés dans les fichiers analysés.

L'exigence n° 9 porte sur le maintien d'une sécurité physique rigoureuse des systèmes, des appareils et des supports qui stockent ou traitent les données des titulaires de carte. Elle comprend des mesures visant à restreindre l'accès physique, à gérer les visiteurs, à assurer le suivi des supports sensibles et à garantir la manipulation et la destruction sécurisées des données des titulaires de carte sous forme physique.

Les supports amovibles constituent l'un des rares vecteurs d'attaque physiques capables de contourner à la fois la segmentation du réseau et les contrôles périmétriques traditionnels. C'est précisément là que se situent le point de convergence entre l'exigence n° 9 et MetaDefender.

Comment OPSWAT Secure l'accès Secure aux données des titulaires de cartes

L'accès physique à un réseau ne nécessite pas de connexion réseau. Les supports amovibles constituent l'un des vecteurs d'attaque physique les plus directs dans les environnements de paiement, y compris les systèmes isolés physiquement.

• MetaDefender Kiosk MetaDefender Endpoint et assainissent USB avant que les fichiers n'entrent ou ne sortent des réseaux sécurisés, empêchant ainsi la transmission de logiciels malveillants via des supports physiques.

• Les contrôles centralisés des politiques dans My OPSWAT Central Management une application cohérente. Le contrôle des accès physiques reste de la responsabilité de l'organisation, mais MetaDefender la couche des fichiers au niveau de la frontière physique.

L'exigence n° 10 définit la nécessité de mettre en place un système complet de journalisation et de surveillance permettant de suivre tous les accès aux systèmes, aux données des titulaires de cartes et aux événements liés à la sécurité. Des journaux d'audit exhaustifs permettent de réaliser des analyses forensiques, d'assurer la responsabilité des utilisateurs et de détecter rapidement toute activité suspecte.

Comment OPSWAT la journalisation et la surveillance dans les environnements traitant les données des titulaires de cartes

MetaDefender à l'exigence n° 10 en générant des journaux détaillés concernant les activités d'analyse des logiciels malveillants, les actions administratives, les détections de menaces et les mises à jour des moteurs au sein de tous ses modules.

• My OPSWAT Central Management ces informations et s'intègre aux plateformes SIEM (Security Information and Event Management) afin de permettre une corrélation plus étendue et une conservation à long terme des données.

• MetaDefender les systèmes de journalisation au niveau du système d'exploitation ou du réseau, mais il offre une visibilité fiable sur les menaces liées aux fichiers et sur l'activité MetaDefender à l'échelle de l'ensemble du déploiement.