Novi nivo sigurnosti MFP-a: imageRUNNER ADVANCE III

Novi nivo sigurnosti MFP-a: imageRUNNER ADVANCE III

Sa povećanjem ugrađenih funkcija, uredski MFP-ovi su odavno prevazišli trivijalno skeniranje/štampanje. Sada su se pretvorili u potpuno nezavisne uređaje, integrisane u visokotehnološke lokalne i globalne mreže, povezujući korisnike i organizacije ne samo unutar jedne kancelarije, već i širom sveta.

U ovom članku, zajedno sa praktičnim stručnjakom za informacijsku sigurnost Lukom Safonovim LukaSafonov Pogledajmo glavne prijetnje modernim uredskim MFP-ovima i načine kako ih spriječiti.

Moderna kancelarijska oprema ima svoje čvrste diskove i operativne sisteme, zahvaljujući kojima MFP uređaji mogu samostalno obavljati širok spektar zadataka upravljanja dokumentima, oslobađajući opterećenje drugih uređaja. Međutim, tako visoka tehnička opremljenost ima i lošu stranu. Budući da MFP-ovi aktivno učestvuju u prenosu podataka preko mreže, bez odgovarajuće zaštite postaju ranjivost u cjelokupnom mrežnom okruženju organizacije. Sigurnost svakog sistema određena je stepenom zaštite najslabije karike. Stoga, svi troškovi zaštitnih mera za servere i računare preduzeća postaju besmisleni ako za napadača ostane rupa kroz MFP. Razumijevajući problem zaštite povjerljivih informacija, Canon programeri su povećali nivo sigurnosti treće verzije platforme imageRUNNER ADVANCE, o čemu će biti riječi u članku.

Glavne prijetnje

Postoji nekoliko potencijalnih rizika povezanih s korištenjem MFP-a u organizacijama:

  • Hakovanje sistema kroz neovlašćeni pristup MFP-u i korišćenje kao „referentne tačke“;
  • Korišćenje MFP-a za eksfiltriranje korisničkih podataka;
  • Presretanje podataka prilikom ispisa ili skeniranja;
  • Pristup podacima osoba bez odgovarajuće dozvole;
  • Pristup odštampanim ili skeniranim povjerljivim informacijama;
  • Pristup osjetljivim podacima na uređajima koji su na kraju radnog vijeka.
  • Slanje dokumenata faksom ili e-poštom na pogrešnu adresu, namjerno ili kao rezultat greške u kucanju;
  • Neovlašteno pregledavanje povjerljivih informacija pohranjenih na nezaštićenim MFP uređajima;
  • Zajednički snop ispisanih poslova koji pripadaju različitim korisnicima.

„Zaista, moderni MFP uređaji često sadrže ogroman potencijal za napadača. Naše iskustvo u projektu pokazuje da nekonfigurisani uređaji, odnosno uređaji bez odgovarajućeg nivoa zaštite, daju napadačima ogromnu priliku da prošire tzv. "napadnu površinu". Ovo je dobijanje liste naloga, mrežno adresiranje, mogućnost slanja e-mail poruka i još mnogo toga. Hajde da pokušamo da saznamo da li su rešenja koja nudi Canon sposobna da neutrališu ove pretnje.”

Za svaku vrstu ranjivosti, nova platforma imageRUNNER ADVANCE pruža čitav niz komplementarnih mjera koje pružaju zaštitu na više nivoa. Treba napomenuti da je razvoj zahtijevao specifičan pristup zbog specifičnosti rada MFP-a. Prilikom štampanja i skeniranja dokumenata, informacije prelaze iz digitalnog u analogni ili obrnuto. Svaka od ovih vrsta informacija zahtijeva fundamentalno različite metode osiguranja zaštite. Obično se na spoju tehnologija, zbog njihove heterogenosti, formira najranjivije mjesto.

„MFP-ovi su često lak plijen i za pentestere i za napadače. Po pravilu, to je zbog nemarnog odnosa prema postavljanju ovakvih uređaja i njihove relativno lake dostupnosti, kako u kancelarijskom okruženju, tako iu mrežnoj infrastrukturi. Jedan od najnovijih slučajeva je indikativni napad koji se dogodio 29. novembra 2018. godine, kada je korisnik Twittera pod pseudonimom TheHackerGiraffe "hakovao" više od 50 mrežnih štampača i na njima štampao letke pozivajući ljude da se pretplate na YouTube kanal određeni PewDiePie. Na Redditu, TheHackerGiraffe je rekao da može kompromitovati više od 000 uređaja, ali se ograničio na samo 800. Istovremeno, haker je naglasio da je glavni problem to što nikada ranije nije uradio ništa slično, već sve pripreme i sve. Sam hak mu je oduzeo samo pola sata."

Kada Canon razvija tehnologije, proizvode i usluge, razmatramo njihov potencijalni uticaj na radno okruženje korisnika. Zbog toga Canon kancelarijski multifunkcionalni štampači dolaze sa širokim spektrom ugrađenih i opcionih bezbednosnih funkcija koje pomažu preduzećima svih veličina da postignu nivo bezbednosti koji im je potreban.

Novi nivo sigurnosti MFP-a: imageRUNNER ADVANCE III

Canon ima jedan od najstrožih režima testiranja sigurnosti u cijeloj industriji uredske opreme. Tehnologije koje se koriste u uređajima su testirane na usklađenost sa standardima kompanije. Velika pažnja se poklanja sigurnosnim provjerama sa ažuriranim pregledima, čiji su rezultati dobili pozitivne povratne informacije o radu uređaja od kompanija kao što su Kaspersky Lab, COMLOGIC, TerraLink i JTI Rusija i drugih.

“Uprkos činjenici da je u modernoj stvarnosti logično povećati sigurnost svojih proizvoda, ne slijede sve kompanije ovaj princip. Kompanije počinju razmišljati o zaštiti nakon incidenata hakovanja (i pritiska korisnika) određenih proizvoda. S ove strane, indikativan je Canonov temeljit pristup implementaciji metoda i mjera zaštite.”

Neovlašteni pristup MFP-u

Vrlo često su nezaštićeni MFP među prioritetnim metama kako unutrašnjih prekršilaca (insajdera), tako i eksternih. U modernoj stvarnosti, korporativna mreža nije ograničena na jednu kancelariju, već uključuje grupu odjela i korisnika s različitim geografskim lokacijama. Centralizovani tok dokumenata zahteva daljinski pristup i uključivanje MFP-a u korporativnu mrežu. Umreženi uređaji za štampanje pripadaju Internetu stvari, ali njihovoj zaštiti se često ne poklanja dužna pažnja, što dovodi do ukupne ranjivosti cjelokupne infrastrukture.

U cilju zaštite od ove vrste prijetnji, poduzete su sljedeće mjere:

  • Filter IP i MAC adresa – konfigurirajte da dozvolite komunikaciju samo sa uređajima koji imaju određene IP ili MAC adrese. Ova funkcija regulira prijenos podataka kako unutar mreže tako i izvan nje.
  • Konfiguracija proxy servera - zahvaljujući ovoj funkciji, možete delegirati kontrolu MFP konekcija na proxy server. Ova funkcija se preporučuje kada se povezujete na uređaje izvan korporativne mreže.
  • IEEE 802.1X autentifikacija je još jedna zaštita od povezivanja uređaja koje server za autentifikaciju nije ovlastio. Neovlašteni pristup blokira LAN prekidač.
  • Veza putem IPSec-a – štiti od pokušaja presretanja ili dešifriranja IP paketa koji se prenose preko mreže. Preporučuje se korištenje s dodatnom TLS komunikacijskom enkripcijom.
  • Upravljanje lukama - dizajnirano za zaštitu od insajderske pomoći napadačima. Ova funkcija je odgovorna za konfiguriranje parametara porta u skladu sa sigurnosnom politikom.
  • Automatsko upisivanje certifikata – Ova funkcija daje administratorima sistema praktičan alat za automatsko izdavanje i obnavljanje sigurnosnih certifikata.
  • Wi-Fi direct – ova funkcija je dizajnirana za bezbedno štampanje sa mobilnih uređaja. Da biste to učinili, mobilni uređaj ne mora biti povezan na korporativnu mrežu. Koristeći Wi-Fi Direct, kreira se lokalna peer-to-peer veza između uređaja i MFP-a.
  • Praćenje dnevnika – svi događaji koji se odnose na korištenje MFP-a, uključujući i blokirane zahtjeve za povezivanje, snimaju se u različitim sistemskim logovima u realnom vremenu. Analizom zapisa možete otkriti potencijalne i postojeće prijetnje, izgraditi preventivnu sigurnosnu politiku i provesti stručnu procjenu curenja informacija koje je već došlo.
  • Device Encryption—Ova opcija šifrira zadatke za štampanje dok se šalju sa korisničkog računara na višenamenski štampač. Također možete šifrirati skenirane PDF podatke tako što ćete omogućiti sveobuhvatan skup sigurnosnih funkcija.
  • Ispis gostiju sa mobilnih uređaja. Softver za sigurno upravljanje štampanjem i skeniranjem na mreži eliminiše uobičajene sigurnosne probleme povezane sa mobilnom i gostujućom štampanjem tako što pruža eksterne metode za slanje zadataka štampanja kao što su e-pošta, veb i mobilna aplikacija. Ovo osigurava da MFP radi iz sigurnog izvora, minimizirajući vjerovatnoću hakovanja.

“Djeljenje takvih uređaja, osim pogodnosti i smanjenja troškova, povlači i rizike pristupa informacijama trećih strana. Ovo mogu koristiti ne samo napadači, već i beskrupulozni zaposlenici za sticanje lične koristi ili insajderske informacije. A veliki potencijal informacija koje se obrađuju – od tehnoloških tajni do finansijske dokumentacije – značajan je prioritet za napad ili nelegitimnu upotrebu.”

Novost u novoj verziji platforme imageRUNNER ADVANCE je mogućnost povezivanja uređaja za štampanje na dvije mreže. Ovo je veoma zgodno kada se MFP koristi istovremeno u korporativnom i gostujućem režimu.

Zaštita podataka na vašem tvrdom disku

Vaš višenamenski štampač uvek sadrži veliku količinu podataka koje treba zaštititi—od zadataka za štampanje u čekanju do primljenih faksova, skeniranih slika, adresara, dnevnika aktivnosti i istorije poslova.

U stvari, disk je samo privremeno skladište, a čuvanje informacija na njemu duže nego što je potrebno povećava ranjivost korporativnog sigurnosnog sistema. Kako biste spriječili da se to dogodi, možete postaviti raspored čišćenja tvrdog diska u postavkama. Pored činjenice da se zadaci za štampanje brišu odmah nakon završetka ili kada štampanje ne uspe, druge datoteke se mogu brisati prema rasporedu kako bi se obrisali preostali podaci.

„Nažalost, čak i mnogi IT profesionalci su slabo svjesni uloge tvrdog diska u modernim uređajima za štampanje. Prisustvo čvrstog diska može značajno smanjiti trajanje pripremne faze štampanja. Čvrsti diskovi obično čuvaju sistemske informacije, grafičke datoteke i rasterske slike za štampanje kopija. Osim nepravilnog odlaganja MFP-a i mogućnosti curenja podataka, postoji mogućnost demontaže/krađe tvrdog diska radi analize ili izvođenja specijaliziranih napada za eksfiltriranje podataka, na primjer korištenjem Printer Exploitation Toolkit-a.”

Canon uređaji nude niz alata za zaštitu vaših podataka tokom životnog ciklusa uređaja, istovremeno održavajući njihovu povjerljivost, integritet i dostupnost.
Mnogo pažnje se poklanja zaštiti podataka na hard disku. Informacije koje se tamo čuvaju mogu imati različite stepene povjerljivosti. Stoga se HDD enkripcija koristi na svih 26 modela uređaja unutar 7 različitih serija nove verzije platforme imageRUNNER ADVANCE. Usklađen je sa sigurnosnim standardom američke vlade FIPS 140-2 Level 2, kao i sa japanskim ekvivalentom JCVMP.

„Važno je imati sistem za pristup informacijama koji uzima u obzir korisničke uloge i nivoe pristupa. Na primjer, u mnogim kompanijama je strogo zabranjeno raspravljanje o platama među zaposlenima, a curenje platnih listića ili informacija o bonusima može izazvati ozbiljan sukob u timu. Nažalost, znam za takve slučajeve, u jednom od njih je to dovelo do otpuštanja službenice odgovorne za ovakvu vrstu curenja.

  • Enkripcija tvrdog diska. imageRUNNER ADVANCE uređaji šifriraju sve podatke na vašem tvrdom disku za povećanu sigurnost.
  • Čišćenje čvrstog diska. Neki podaci, kao što su podaci kopirani ili skenirani, ili podaci dokumenta odštampani sa računara, pohranjuju se na čvrstom disku štampača ograničeno vreme i brišu se nakon što se posao završi.
  • Inicijalizacija svih podataka i parametara. Da biste spriječili gubitak podataka prilikom zamjene ili odlaganja tvrdog diska, možete prepisati sve dokumente i podatke na tvrdom disku, a zatim resetirati postavke na njihove zadane vrijednosti.
  • Sigurnosna kopija tvrdog diska. Kompanije sada imaju mogućnost da prave rezervne kopije podataka sa hard diska uređaja na opcioni čvrsti disk. Kada pravite rezervnu kopiju, podaci na oba čvrsta diska su potpuno šifrovani.
  • Komplet hard diska koji se može ukloniti. Ova opcija vam omogućava da uklonite tvrdi disk iz uređaja radi bezbednog skladištenja dok se uređaj ne koristi.

Curenje kritičnih podataka

Sve kompanije se bave povjerljivim dokumentima kao što su ugovori, sporazumi, računovodstveni dokumenti, podaci o kupcima, planovi razvojnih odjela i još mnogo toga. Ako takvi dokumenti dođu u pogrešne ruke, posljedice mogu biti od oštećenja reputacije do velikih novčanih kazni ili čak tužbi. Napadači mogu steći kontrolu nad imovinom kompanije, insajderskim ili povjerljivim informacijama.

“Ne kradu vrijedne informacije samo konkurenti ili prevaranti. Česti su slučajevi kada se zaposleni odlučuju za razvoj vlastitog posla ili tajno zarađuju dodatni novac prodajom informacija vani. U takvim situacijama štampač postaje njihov glavni pomoćnik. Svaki prijenos podataka unutar kompanije je lako pratiti. Osim toga, nisu obični zaposlenici ti koji imaju pristup vrijednim informacijama. A šta bi moglo biti lakše za običnog menadžera nego da ukrade vrijedan dokument koji miruje? Svako se može nositi sa ovim zadatkom. Štampane dokumente čak ni ne treba uvijek iznositi izvan organizacije. Dovoljno je brzo fotografisati materijale koji leže okolo na telefonu sa dobrom kamerom.”

Novi nivo sigurnosti MFP-a: imageRUNNER ADVANCE III

Canon nudi niz sigurnosnih rješenja koja će vam pomoći da zaštitite osjetljive dokumente tokom cijelog njihovog životnog ciklusa.

Povjerljivost štampanih dokumenata

Korisnik može postaviti PIN za štampanje tako da dokument počne da se štampa tek nakon što unese ispravan PIN na uređaju. To vam omogućava da zaštitite povjerljive dokumente.

„MFP-i se često mogu vidjeti u javno dostupnim područjima organizacije radi pogodnosti korisnika. To mogu biti dvorane i sale za sastanke, hodnici i recepcije. Samo upotreba identifikatora (PIN kodova, pametnih kartica) garantuje sigurnost informacija u kontekstu nivoa pristupa korisnika. Zapaženi su slučajevi kada su korisnici dobili pristup prethodno poslanim dokumentima, skeniranim pasošima itd. kao rezultat neadekvatne kontrole i nedostatka funkcija čišćenja podataka.”

Na imageRUNNER ADVANCE uređaju, administrator može pauzirati sve poslate zadatke za štampanje, zahtijevajući od korisnika da se prijave za štampanje, čime štiti privatnost svih štampanih materijala.

Zadaci za štampanje ili skenirani dokumenti mogu se pohraniti u poštanske sandučiće radi lakšeg pristupa u bilo koje vrijeme. Poštanski sandučići mogu biti zaštićeni PIN kodom kako bi se osiguralo da samo određeni korisnici mogu pristupiti njihovom sadržaju. Koristite ovaj bezbedni prostor na svom uređaju za skladištenje dokumenata koji se često štampaju (kao što su memorandum i obrasci) koji zahtevaju pažljivo rukovanje.

Potpuna kontrola nad slanjem dokumenata i faksova

Da bi smanjili rizik od curenja informacija, administratori mogu ograničiti pristup različitim primaocima, na primjer onima koji nisu u adresaru na LDAP serveru, koji nisu registrovani u sistemu ili na određenom domenu.

Da biste spriječili slanje dokumenata netačnim primateljima, morate onemogućiti automatsko popunjavanje za adrese e-pošte.

Postavljanje PIN koda za zaštitu će zaštititi adresar uređaja od neovlaštenog pristupa korisnika.

Zahtevanje od korisnika da ponovo unesu broj faksa sprečiće slanje dokumenata pogrešnim primaocima.

Zaštita dokumenata i faksova u poverljivoj fascikli ili PIN-u će sačuvati dokumente bezbedno uskladištene u memoriji bez potrebe za štampanjem.

Provjera izvora i autentičnosti dokumenta

Potpis uređaja može se dodati skeniranim PDF ili XPS dokumentima pomoću ključa i mehanizma sertifikacije tako da primalac može provjeriti izvor i autentičnost dokumenta.

„U elektronskom dokumentu, elektronski digitalni potpis (EDS) je njegov rekvizit, dizajniran da zaštiti ovaj elektronski dokument od krivotvorenja i omogućava vam da identifikujete vlasnika sertifikata ključa potpisa, kao i da utvrdite odsustvo izobličenja informacija u elektronski dokument. Time se osigurava sigurnost poslanog dokumenta i tačna identifikacija njegovog vlasnika, što pomaže u održavanju pouzdanosti informacija.”

Korisnički potpis vam omogućava da pošaljete PDF ili XPS datoteke sa jedinstvenim digitalnim potpisom korisnika dobijenim od sertifikacione kuće. Na taj način će primalac moći provjeriti ko je potpisao dokument.

Integracija sa ADOBE LIFECYCLE MANAGEMENT ES

Korisnici mogu osigurati PDF datoteke i primijeniti dosljedne i dinamičke politike na njih kako bi kontrolirali pristup i prava korištenja, te zaštitili povjerljive i vrijedne informacije od nenamjernog ili zlonamjernog otkrivanja. Sigurnosne politike se održavaju na nivou servera, tako da se dozvole mogu mijenjati čak i nakon što je datoteka distribuirana. Uređaji serije imageRUNNER ADVANCE mogu se konfigurisati za integraciju sa Adobe ES.

Bezbedno štampanje sa uniFLOW MyPrintAnywhere vam omogućava da šaljete zadatke za štampanje putem univerzalnog drajvera i štampate ih na bilo kom štampaču na vašoj mreži.

Sprečavanje duplikata

Upravljački programi vam omogućavaju da odštampate vidljive oznake na stranici koje se pojavljuju na vrhu sadržaja dokumenta. Ovo se može koristiti za informiranje zaposlenika o povjerljivosti dokumenta i sprječavanje njegovog kopiranja.

Štampanje/kopiranje sa nevidljivim vodenim žigovima - Dokumenti će se štampati ili kopirati sa skrivenim tekstom ugrađenim u pozadini, koji će se pojaviti kada se napravi duplikat i služiće kao sredstvo odvraćanja.

Mogućnosti uniFLOW softvera iz NTware-a (dio Canon grupe kompanija) pružaju dodatne efikasne alate za osiguranje sigurnosti dokumenata.
Korišćenje uniFLOW-a u kombinaciji sa iW SAM Express-om omogućiće vam da digitalizujete i arhivirate dokumente poslate na štampač ili primljene sa uređaja, kao i da analizirate tekstualne podatke i atribute kada odgovarate na bezbednosne pretnje.

Pratite izvor dokumenta pomoću ugrađenog koda.

Blokiranje skeniranja dokumenata – Ova opcija ugrađuje skriveni kod u odštampane dokumente i kopije što sprečava njihovo dalje kopiranje na uređaju na kojem je ova funkcija omogućena. Administrator može koristiti ovu opciju za sve poslove ili samo poslove koje je korisnik izabrao. TL i QR kodovi su dostupni za ugradnju.

“Kao rezultat testiranja i upoznavanja sa funkcionalnostima tehnologije imageRUNNER ADVANCE III, uspjeli smo potvrditi osnovnu usklađenost sa modernim IT sigurnosnim politikama. Gore navedene zaštitne mjere ispunjavaju osnovne sigurnosne zahtjeve i mogu minimizirati rizike od kršenja sigurnosti informacija.”

Najnoviji imageRUNNER ADVANCE uređaji opremljeni su funkcijom sigurnosne politike koja omogućava administratoru da upravlja svim sigurnosnim postavkama u jednom meniju i uređuje ih prije nego što ih primijeni kao konfiguraciju uređaja. Nakon primjene, korištenje uređaja i promjene postavki moraju biti u skladu s ovom politikom. Sigurnosna politika može biti zaštićena posebnom lozinkom kako bi se pružila dodatna kontrola i zaštita i može joj pristupiti samo odgovorni stručnjak za IT sigurnost.

“Neophodno je pronaći i održavati ravnotežu između sigurnosti i udobnosti, mudro koristeći tehnološka dostignuća i tehnička rješenja za zaštitu informacija, koristiti kvalifikovano osoblje i vješto upravljati sredstvima koja su osigurana kako bi se osigurala sigurnost kompanije.”

Pomoć u pripremi materijala - Luka Safonov, šef praktične laboratorije
sigurnosna analiza, Jet Information Systems.

Samo registrovani korisnici mogu učestvovati u anketi. Prijavite semolim.

Koliko je vaš pristup korporativnoj sigurnosti sveobuhvatan?

  • Politika korporativne sigurnosti primjenjuje se na flotu multifunkcionalnih uređaja

  • Flota uređaja za štampanje kompanije osigurava bezbedno korišćenje ličnih uređaja korisnika

  • Kompanija osigurava da je infrastruktura za štampanje ažurna i da se zakrpe i ažuriranja instaliraju na pravovremen i efikasan način

  • Gosti kompanije mogu da štampaju i skeniraju bez ugrožavanja korporativne mreže

  • IT odjel kompanije ima dovoljno vremena za rješavanje sigurnosnih pitanja

  • Kompanija je pronašla ravnotežu između osiguravanja sigurnosti i jednostavnosti korištenja uređaja

2 korisnika je glasalo. Nema uzdržanih.

izvor: www.habr.com

Kupite pouzdan hosting za sajtove sa DDoS zaštitom, VPS VDS servere 🔥 Kupite pouzdan web hosting sa DDoS zaštitom, VPS VDS servere | ProHoster