支付卡行业数据安全标准认证（PCI DSS）的顶级目标是通过控制经由永久性存储器（磁盘等）的信用卡数据安全流来降低信用卡损害风险。

　　然而，由PCI DSS授权的标准控制，以加密和网络分割为例，未必能解决来自非永久性存储器信用卡数据的风险，比如当数据作为文件临时存储在磁盘或内存中时。即使严格遵守PCI DSS 12条要求的组织也深受技术错误和过程处理缺陷的困扰，并且因为人的过失也可能导致客户敏感数据在不该显示的地方显示。这并不表示PCI DSS标准或PA DSS（支付应用程序数据安全标准）没有涉及非加密的信用卡数据的不经意存储。它只是限制在日志文件和检测漏洞中（排除故障）（PCI-DSS–3.2.1-3、PA DSS–1.1.1-3、1.1.5、2.3）。

　　在这里，我们将就特定类型的恶意软件是如何威胁受保护的信用卡敏感数据，以及如何阻止这样的恶意软件破坏数据两方面给出一个提案。

　　对于这个方案，我将给出几个设想来限定一下本次讨论的范围。第一个设想是遵循PCI DSS标准在解决信用卡永久存储器的寻址安全方面很有效。第二个设想是一旦离开POS机和网点，信用卡的数据流就会被加密。提出这两个假设的原因是这些操作会受到内存刮屑恶意软件的威胁。内存刮屑恶意软件（举这个例子的目的是因为它能给出一个全面的定义）可以检测内存，以确定敏感处理程序（如支付应用程序），从永久存储器上提取不该获取的数据。

　　我们有必要对这种恶意软件样本设置一个上下文，假设这个恶意软件已经通过一些攻击向量侵入POS系统，比如一个零日漏洞或者未打补丁系统。大多数企业经常会出现这两种攻击向量。POS机支付系统是零售商和传统公司处理信用卡交易的主要手段。当顾客在POS终端刷卡时，信用卡上的数据，包括个人帐户数据（PAN）和其他相关信息被发送到认可的支付网关上。数据也被发送到零售商的后台支持系统，用于进行退款、营销和审计相关的活动。

　　当内存刮屑恶意软件伪装成服务程序并成功安装后，它将拷贝POS应用系统的处理内存到磁盘，然后解析输出文件，以跟踪数据（此时这些数据可能未被加密）。（需要澄清的是：不是所有的POS应用系统的信息转存都显示未加密的跟踪数据。其中一种情况是当加密PAN数据的程序被调用后，信息才被转存，这使得信息不可读。）Trustwave公司最新发布了一个分析报告，其中记载了这个恶意软件的进展情况，例如它开发了非法技术提高了检测和源跟踪分析的难度，它可以清除自身创建的残存的临时文件，加密从磁盘提取的所有跟踪数据等。最令人头疼的是在遵守支付应用数据安全标准（PA-DSS）的POS终端应用系统中也有可能发生数据泄露。

　　很讽刺的是，这个恶意软件除了有代替识别内存中的恶意软件的功能，还模拟系统内存的取证探查，该样本试图镜像和分析信用卡数据。Trustwave公司的相关文件提到了上述情况，暗示恶意软件正在使用开源内存镜像工具来盗窃数据。有很多获取内存的便利工具，而且大多数都是免费的。比较主流的工具包括win32dd/win64dd、FastDump、FTK Imager、Winen、Kntdd、Memoryze和F-Response。

　　企业应该使用基于主机（IPS、内容完整性检查器、杀毒产品）和基于网络（IDS/IPS、网络设备日志）的监测工具，去识别那些可疑的活动，并且在发现内存有可能被刮屑的情况下分析影响系统的内存镜像。这种分析要求监测工具能够理解操作系统和运行于系统上的管理内存的数据结构。可变系统通过提供可变框架实现了上述要求，它提供随时可用的插件以提取内存中的有用信息。该框架使用Python开源编程语言编写，是一种完全开放的命令行工具。

　　这种被内存刮屑恶意软件使用的方法也能被用来分析内存中的恶意软件。近来，这种从内存（内存取证）中分析和提取恶意软件的处理技术已经取得了很大进展。恶意软件制作者使用加密和反跟踪相结合的机制来阻碍传统的取证和恶意软件侦察技术，但内存取证在这方面很有用。

　　尽管PCI DSS标准或PA DSS标准没有明确讨论内存中的敏感数据问题，但是它们确实讨论了有效防止恶意软件的控制机制。遵循主机硬化准则、加强网络边界安全、自动修补系统和使用具有入侵防御功能的防病毒软件将有助于缓解恶意软件风险。

　　但是这只是解决方案的一部分。如果恶意软件设法进入系统，并且未被检测到，将会发生什么呢？像上面列出的内存取证工具能够帮助分析辨别内存中的恶意软件，但是需要时间来发现系统中的恶意软件。在这段时间内，恶意软件是安全的，可以不受限制地访问系统资源，包括内存。对于这一点，机构应该假设未经授权的数据泄露已经发生，并且应该部署相应的数据破坏响应机制。

　　当前的PA DSS条款里确实讨论了静态数据的问题，但是没有明确讨论保护内存中的敏感数据。一种有效的缓解策略是使用密钥加密密钥，这种策略可以用于加密内存中的密钥，然后将密钥分开放在内存中，使它们很难被复原。这和磁盘的密钥加密（提供不可读的敏感数据）很相似。

　　这个策略还可以通过开发伪密钥数据结构来摆脱恶意软件擦除器。创建一个伪密钥吸引恶意软件擦除器，一旦调用密码函数结束，伪密钥就被归零。执行密钥循环与执行静态数据相似，可以使恶意软件擦除内存变得困难。实施这样一项技术肯定会增加支付系统的开发复杂度和管理成本，但是优势也有很多，比如可以改善当前数据威胁的风险。通过记录这些情况来扩展PCI DSS标准的必要条件才是正确的方向。