ProHoster > Blog > podávání > Nová úroveň zabezpečení MFP: imageRUNNER ADVANCE III

Nová úroveň zabezpečení MFP: imageRUNNER ADVANCE III

Nová úroveň zabezpečení MFP: imageRUNNER ADVANCE III

S nárůstem vestavěných funkcí kancelářská multifunkční zařízení již dávno přesáhla triviální skenování/tisk. Nyní se proměnily v plnohodnotná nezávislá zařízení, integrovaná do high-tech lokálních i globálních sítí, spojující uživatele a organizace nejen v rámci jedné kanceláře, ale po celém světě.

V tomto článku spolu s praktickým odborníkem na informační bezpečnost Lukou Safonovem LukaSafonov Podívejme se na hlavní hrozby moderních kancelářských multifunkčních zařízení a na způsoby, jak jim předcházet.

Moderní kancelářské vybavení má své vlastní pevné disky a operační systémy, díky nimž mohou multifunkční zařízení samostatně provádět širokou škálu úkolů správy dokumentů a odlehčit tak ostatním zařízením. Tak vysoké technické vybavení má však i stinnou stránku. Vzhledem k tomu, že MFP se aktivně podílejí na přenosu dat po síti, stávají se bez řádné ochrany zranitelnými místy v celém síťovém prostředí organizace. Bezpečnost každého systému je dána stupněm ochrany nejslabšího článku. Jakékoli náklady na ochranná opatření pro podnikové servery a počítače se tedy stanou bezvýznamnými, pokud útočníkovi přes MFP zůstane mezera. Vývojáři Canon pochopili problém ochrany důvěrných informací a zvýšili úroveň zabezpečení třetí verze platformy imageRUNNER ADVANCE, o kterém bude řeč v článku.

Hlavní hrozby

Existuje několik potenciálních rizik spojených s používáním multifunkčních zařízení v organizacích:

  • Hacknutí systému prostřednictvím neoprávněného přístupu k MFP a použití jako „referenčního bodu“;
  • Použití MFP k exfiltraci uživatelských dat;
  • Zachycování dat při tisku nebo skenování;
  • Přístup k údajům osob bez příslušného povolení;
  • Přístup k vytištěným nebo naskenovaným důvěrným informacím;
  • Získejte přístup k citlivým datům na zařízeních s ukončenou životností.
  • zasílání dokumentů faxem nebo e-mailem na nesprávnou adresu, úmyslně nebo v důsledku překlepu;
  • Neoprávněné prohlížení důvěrných informací uložených na nechráněných MFP;
  • Sdílený stoh vytištěných úloh, které patří různým uživatelům.

„Moderní multifunkční zařízení často obsahují obrovský potenciál pro útočníka. Naše projektové zkušenosti ukazují, že nekonfigurovaná zařízení, nebo zařízení bez odpovídající úrovně ochrany, dávají útočníkům obrovskou příležitost rozšířit tzv. „útočný povrch“. Jedná se o získání seznamu účtů, síťových adres, možnost odesílat e-mailové zprávy a mnoho dalšího. Pokusme se zjistit, zda jsou řešení nabízená společností Canon schopna tyto hrozby neutralizovat.“

Pro každý typ zranitelnosti poskytuje nová platforma imageRUNNER ADVANCE celou řadu doplňkových opatření, která poskytují víceúrovňovou ochranu. Je třeba poznamenat, že vývoj vyžadoval specifický přístup vzhledem ke zvláštnostem provozu MFP. Při tisku a skenování dokumentů přecházejí informace z digitální na analogovou nebo naopak. Každý z těchto typů informací vyžaduje zásadně odlišné metody zajištění ochrany. Obvykle na křižovatce technologií vzniká díky jejich heterogenitě nejzranitelnější místo.

„MFP jsou často snadnou kořistí pro pentestery i útočníky. Zpravidla je to dáno nedbalým přístupem k nastavování takových zařízení a jejich relativně snadnou dostupností jak v kancelářském prostředí, tak v síťové infrastruktuře. Jedním z nejnovějších případů je indikativní útok, ke kterému došlo 29. listopadu 2018, kdy uživatel Twitteru pod pseudonymem TheHackerGiraffe „napadl“ více než 50 000 síťových tiskáren a vytiskl na nich letáky vyzývající lidi, aby se přihlásili k odběru kanálu YouTube jistý PewDiePie. TheHackerGiraffe na Redditu uvedl, že by mohl kompromitovat více než 800 000 zařízení, ale omezil se na pouhých 50 000. Hacker zároveň zdůraznil, že hlavním problémem je, že nikdy předtím nic podobného neudělal, ale všechny přípravy a Samotné hacknutí mu trvalo jen půl hodiny."

Když Canon vyvíjí technologie, produkty a služby, zvažujeme jejich potenciální dopad na pracovní prostředí zákazníků. To je důvod, proč jsou kancelářské multifunkční tiskárny Canon vybaveny širokou škálou vestavěných a volitelných funkcí zabezpečení, které pomáhají firmám všech velikostí dosáhnout úrovně zabezpečení, kterou potřebují.

Nová úroveň zabezpečení MFP: imageRUNNER ADVANCE III

Společnost Canon má jeden z nejpřísnějších režimů testování bezpečnosti v celém odvětví kancelářského vybavení. Technologie používané v zařízeních jsou testovány na shodu s firemními standardy. Velká pozornost je věnována bezpečnostním kontrolám s aktuálními testy, jejichž výsledky mají pozitivní ohlasy na provoz zařízení od společností jako Kaspersky Lab, COMLOGIC, TerraLink a JTI Russia a dalších.

„Navzdory tomu, že v moderní realitě je logické zvyšovat bezpečnost svých produktů, ne všechny společnosti se tímto principem řídí. Společnosti začínají přemýšlet o ochraně po incidentech hackerů (a tlaku ze strany uživatelů) určitých produktů. Z této strany je důkladný přístup společnosti Canon k implementaci ochranných metod a opatření orientační.“

Neoprávněný přístup k MFP

Velmi často jsou nechráněná multifunkční zařízení mezi prioritními cíli jak interních narušitelů (insiderů), tak externích. V moderní realitě není podniková síť omezena na jednu kancelář, ale zahrnuje skupinu oddělení a uživatelů s různými geografickými polohami. Centralizovaný tok dokumentů vyžaduje vzdálený přístup a zahrnutí MFP do podnikové sítě. Síťová tisková zařízení patří do internetu věcí, ale jejich ochraně není často věnována patřičná pozornost, což vede k celkové zranitelnosti celé infrastruktury.

K ochraně před tímto typem hrozby byla provedena následující opatření:

  • Filtr IP a MAC adres – nakonfigurujte tak, aby umožňoval komunikaci pouze se zařízeními, která mají konkrétní IP nebo MAC adresy. Tato funkce reguluje přenos dat v rámci sítě i mimo ni.
  • Konfigurace proxy serveru - díky této funkci můžete delegovat řízení MFP připojení na proxy server. Tato funkce se doporučuje při připojování k zařízením mimo podnikovou síť.
  • Autentizace IEEE 802.1X je další ochranou proti připojení zařízení, která nejsou autorizována ověřovacím serverem. Neoprávněný přístup je blokován přepínačem LAN.
  • Připojení přes IPSec – chrání před pokusy zachytit nebo dešifrovat IP pakety přenášené přes síť. Doporučuje se používat s dalším šifrováním komunikace TLS.
  • Správa portů – navržená k ochraně před pomocí zasvěcených útočníků. Tato funkce je zodpovědná za konfiguraci parametrů portu v souladu s bezpečnostní politikou.
  • Automatická registrace certifikátů – Tato funkce poskytuje správcům systému pohodlný nástroj pro automatické vydávání a obnovování bezpečnostních certifikátů.
  • Wi-Fi direct – tato funkce je určena pro zabezpečený tisk z mobilních zařízení. K tomu nemusí být mobilní zařízení připojeno k podnikové síti. Pomocí Wi-Fi direct se vytvoří místní peer-to-peer připojení mezi zařízením a MFP.
  • Sledování protokolů – všechny události související s používáním MFP, včetně zablokovaných požadavků na připojení, jsou v reálném čase zaznamenávány do různých systémových protokolů. Analýzou záznamů můžete odhalit potenciální a existující hrozby, vytvořit preventivní bezpečnostní politiku a provést odborné posouzení úniků informací, ke kterým již došlo.
  • Device Encryption (Šifrování zařízení) – Tato možnost šifruje tiskové úlohy při jejich odesílání z počítače uživatele na multifunkční tiskárnu. Naskenovaná data PDF můžete také šifrovat povolením komplexní sady funkcí zabezpečení.
  • Tisk hostů z mobilních zařízení. Software pro správu bezpečného síťového tisku a skenování odstraňuje běžné bezpečnostní problémy spojené s mobilním a hostovaným tiskem tím, že poskytuje externí metody pro odesílání tiskových úloh, jako je e-mail, web a mobilní aplikace. Tím je zajištěno, že zařízení MFP pracuje ze zabezpečeného zdroje, čímž se minimalizuje pravděpodobnost hackování.

„Sdílení takových zařízení s sebou nese kromě pohodlí a snížení nákladů také rizika přístupu k informacím třetích stran. Toho mohou využít nejen útočníci, ale i bezohlední zaměstnanci k získání osobního prospěchu nebo k získání zasvěcených informací. A velký potenciál zpracovávaných informací – od technologických tajemství po finanční dokumentaci – je významnou prioritou pro útok nebo nelegitimní použití.“

Novinkou nové verze platformy imageRUNNER ADVANCE je možnost připojení tiskových zařízení ke dvěma sítím. To je velmi výhodné, když se zařízení MFP používá současně v podnikovém a hostujícím režimu.

Ochrana dat na vašem pevném disku

Vaše multifunkční tiskárna vždy obsahuje velké množství dat, která je třeba chránit – od tiskových úloh ve frontě po přijaté faxy, naskenované obrázky, adresáře, protokoly aktivit a historii úloh.

Disk je ve skutečnosti pouze dočasné úložiště a uchovávání informací na něm déle, než je nutné, zvyšuje zranitelnost podnikového bezpečnostního systému. Abyste tomu zabránili, můžete v nastavení nastavit plán čištění pevného disku. Kromě toho, že tiskové úlohy jsou vymazány ihned po dokončení nebo při selhání tisku, lze podle plánu odstranit i další soubory, aby se vymazala zbytková data.

„Bohužel i mnoho IT profesionálů si špatně uvědomuje roli pevného disku v moderních tiskových zařízeních. Přítomnost pevného disku může výrazně zkrátit dobu přípravné fáze tisku. Pevné disky obvykle ukládají systémové informace, grafické soubory a rastrované obrázky pro tisk kopií. Kromě nesprávné likvidace multifunkčních zařízení a možnosti úniku dat existuje možnost rozebrání/odcizení pevného disku za účelem analýzy nebo provádění specializovaných útoků za účelem exfiltrace dat, například pomocí Printer Exploitation Toolkit.“

Zařízení Canon nabízejí řadu nástrojů pro ochranu vašich dat po celou dobu životního cyklu zařízení a zároveň zachovávají jejich důvěrnost, integritu a dostupnost.
Velká pozornost je věnována ochraně dat na pevném disku. Informace zde uložené mohou mít různý stupeň důvěrnosti. Proto se šifrování HDD používá na všech 26 modelech zařízení v rámci 7 různých řad nové verze platformy imageRUNNER ADVANCE. Vyhovuje bezpečnostnímu standardu americké vlády FIPS 140-2 Level 2 a také japonskému ekvivalentu JCVMP.

„Je důležité mít systém pro přístup k informacím, který zohledňuje uživatelské role a úrovně přístupu. Například v mnoha firmách je přísně zakázáno diskutovat mezi zaměstnanci o platech a únik výplatních pásek nebo informací o prémiích může vyvolat vážný konflikt v týmu. Bohužel takové případy znám, v jednom z nich to vedlo k propuštění zaměstnance odpovědného za tento druh úniku.“

  • Šifrování pevného disku. Zařízení imageRUNNER ADVANCE šifrují všechna data na vašem pevném disku pro zvýšení bezpečnosti.
  • Čištění pevného disku. Některá data, jako jsou data zkopírovaná nebo naskenovaná nebo data dokumentu vytištěná z počítače, jsou po omezenou dobu uložena na pevném disku tiskárny a po dokončení úlohy jsou vymazána.
  • Inicializace všech dat a parametrů. Chcete-li zabránit ztrátě dat při výměně nebo likvidaci pevného disku, můžete přepsat všechny dokumenty a data na pevném disku a poté obnovit nastavení na výchozí hodnoty.
  • Zálohování pevného disku. Společnosti nyní mají možnost zálohovat data z pevného disku zařízení na volitelný pevný disk. Při zálohování jsou data na obou pevných discích plně šifrována.
  • Sada vyjímatelného pevného disku. Tato možnost umožňuje vyjmout pevný disk ze zařízení pro bezpečné uložení, když se zařízení nepoužívá.

Únik kritických dat

Všechny společnosti se zabývají důvěrnými dokumenty, jako jsou smlouvy, dohody, účetní doklady, zákaznická data, plány vývojového oddělení a mnoho dalšího. Pokud se takové dokumenty dostanou do nesprávných rukou, následky mohou sahat od poškození dobrého jména až po vysoké pokuty nebo dokonce soudní spory. Útočníci mohou získat kontrolu nad majetkem společnosti, vnitřními nebo důvěrnými informacemi.

„Nejsou to jen konkurenti nebo podvodníci, kteří kradou cenné informace. Často dochází k případům, kdy se zaměstnanci rozhodnou rozvíjet vlastní podnikání nebo si tajně přivydělávat prodejem informací navenek. V takových situacích se tiskárna stává jejich hlavním pomocníkem. Jakýkoli přenos dat v rámci společnosti je snadno sledovatelný. Navíc to nejsou běžní zaměstnanci, kdo má přístup k cenným informacím. A co může být pro běžného manažera jednodušší než ukrást ladem ležící cenný dokument? S tímto úkolem se může vyrovnat každý. Tištěné dokumenty ani není vždy nutné odnášet mimo organizaci. Stačí rychle vyfotit materiály ležící nečinně na telefonu s dobrým fotoaparátem.“

Nová úroveň zabezpečení MFP: imageRUNNER ADVANCE III

Canon nabízí řadu bezpečnostních řešení, která vám pomohou chránit citlivé dokumenty po celou dobu jejich životního cyklu.

Důvěrnost tištěných dokumentů

Uživatel si může nastavit PIN pro tisk tak, aby se dokument začal tisknout až po zadání správného PIN na zařízení. To vám umožní chránit důvěrné dokumenty.

„MFP lze často vidět ve veřejně přístupných oblastech organizace pro pohodlí uživatelů. Mohou to být haly a zasedací místnosti, chodby a recepce. Pouze použití identifikátorů (PIN kódů, čipových karet) zaručí bezpečnost informací v kontextu úrovně uživatelského přístupu. Pozoruhodné byly případy, kdy uživatelé získali přístup k dříve odeslaným dokumentům, skenům pasů atd. v důsledku neadekvátních kontrol a nedostatku funkcí čištění dat.“

Na zařízení imageRUNNER ADVANCE může správce pozastavit všechny odeslané tiskové úlohy, což vyžaduje přihlášení uživatelů k tisku, čímž chrání soukromí všech tištěných materiálů.

Tiskové úlohy nebo naskenované dokumenty lze ukládat do poštovních schránek, abyste k nim měli kdykoli snadný přístup. Schránky lze chránit PIN kódem, aby bylo zajištěno, že k jejich obsahu budou mít přístup pouze určení uživatelé. Tento bezpečný prostor ve svém zařízení použijte k ukládání často tištěných dokumentů (jako jsou hlavičkové papíry a formuláře), které vyžadují pečlivé zacházení.

Plná kontrola nad odesíláním dokumentů a faxů

Aby se snížilo riziko úniku informací, mohou administrátoři omezit přístup různým příjemcům, například těm, kteří nejsou v adresáři na serveru LDAP, nejsou registrováni v systému nebo v konkrétní doméně.

Chcete-li zabránit odesílání dokumentů nesprávným příjemcům, musíte zakázat automatické vyplňování e-mailových adres.

Nastavením PIN kódu pro ochranu ochráníte adresář zařízení před neoprávněným přístupem uživatele.

Požadavek, aby uživatelé znovu zadali faxové číslo, zabrání odeslání dokumentů nesprávným příjemcům.

Ochrana dokumentů a faxů v důvěrné složce nebo PIN zajistí dokumenty bezpečně uložené v paměti, aniž byste je museli tisknout.

Ověření zdroje a pravosti dokumentu

K naskenovaným dokumentům PDF nebo XPS lze pomocí klíče a certifikačního mechanismu přidat podpis zařízení, aby si příjemce mohl ověřit zdroj a pravost dokumentu.

„V elektronickém dokumentu je nezbytný elektronický digitální podpis (EDS), který má tento elektronický dokument chránit před paděláním a umožňuje vám identifikovat vlastníka certifikátu podpisového klíče a také prokázat absenci zkreslení informací v elektronický dokument. To zajišťuje bezpečnost přenášeného dokumentu a přesnou identifikaci jeho vlastníka, což pomáhá zachovat spolehlivost informací.“

Uživatelský podpis vám umožňuje odesílat soubory PDF nebo XPS s jedinečným digitálním podpisem uživatele získaným od certifikační společnosti. Příjemce tak bude moci zkontrolovat, kdo dokument podepsal.

Integrace s ADOBE LIFECYCLE MANAGEMENT ES

Uživatelé mohou zabezpečit soubory PDF a aplikovat na ně konzistentní a dynamické zásady pro řízení přístupových a uživatelských práv a chránit důvěrné a cenné informace před neúmyslným nebo škodlivým prozrazením. Bezpečnostní zásady jsou udržovány na úrovni serveru, takže oprávnění lze měnit i po distribuci souboru. Zařízení řady imageRUNNER ADVANCE lze nakonfigurovat pro integraci s Adobe ES.

Bezpečný tisk s uniFLOW MyPrintAnywhere umožňuje odesílat tiskové úlohy prostřednictvím univerzálního ovladače a tisknout je na jakékoli tiskárně ve vaší síti.

Prevence duplikátů

Ovladače umožňují tisknout viditelné značky na stránce, které se zobrazují nad obsahem dokumentu. To lze využít k informování zaměstnanců o důvěrnosti dokumentu a zabránění jeho kopírování.

Tisk/kopírování s neviditelnými vodoznaky – Dokumenty budou vytištěny nebo zkopírovány se skrytým textem vloženým do pozadí, který se objeví při vytvoření duplikátu a působí jako odstrašující prostředek.

Možnosti softwaru uniFLOW od společnosti NTware (součást skupiny společností Canon) poskytují další efektivní nástroje pro zajištění bezpečnosti dokumentů.
Použití uniFLOW v kombinaci s iW SAM Express vám umožní digitalizovat a archivovat dokumenty odeslané na tiskárnu nebo přijaté ze zařízení, stejně jako analyzovat textová data a atributy při reakci na bezpečnostní hrozby.

Sledujte zdroj dokumentu pomocí vloženého kódu.

Blokování skenování dokumentů – Tato možnost vloží do tištěných dokumentů a kopií skrytý kód, který zabrání jejich dalšímu kopírování na zařízení, na kterém je tato funkce povolena. Správce může tuto možnost použít pro všechny úlohy nebo pouze úlohy vybrané uživatelem. TL a QR kódy jsou k dispozici pro vložení.

„Na základě testů a seznámení s funkčností technologie imageRUNNER ADVANCE III jsme byli schopni potvrdit základní shodu s moderními bezpečnostními politikami IT. Výše uvedená ochranná opatření splňují základní bezpečnostní požadavky a mohou minimalizovat rizika narušení bezpečnosti informací.“

Nejnovější zařízení imageRUNNER ADVANCE jsou vybavena funkcí bezpečnostní politiky, která umožňuje správci spravovat všechna nastavení zabezpečení v jedné nabídce a upravovat je před použitím jako konfigurace zařízení. Po použití musí být používání zařízení a změny nastavení v souladu s těmito zásadami. Zásadu zabezpečení lze chránit samostatným heslem, které poskytuje další kontrolu a ochranu, a může k ní přistupovat pouze odpovědný odborník na bezpečnost IT.

"Je nutné najít a udržovat rovnováhu mezi bezpečností a pohodlím, moudře využívat technologický pokrok a technická řešení k ochraně informací, využívat kvalifikovaný personál a obratně řídit poskytnuté finanční prostředky k zajištění bezpečnosti společnosti."

Asistence při přípravě materiálu - Luka Safonov, vedoucí Praktické laboratoře
bezpečnostní analýza, Jet Information Systems.

Průzkumu se mohou zúčastnit pouze registrovaní uživatelé. Přihlásit se, prosím.

Jak komplexní je váš přístup k firemní bezpečnosti?

  • Firemní bezpečnostní politika se vztahuje na flotilu multifunkčních zařízení

  • Flotila tiskových zařízení společnosti zajišťuje bezpečné používání osobních zařízení uživatelů

  • Společnost zajišťuje, že tisková infrastruktura je aktuální a že záplaty a aktualizace jsou instalovány včas a efektivně

  • Firemní hosté mohou tisknout a skenovat, aniž by ohrozili podnikovou síť

  • IT oddělení společnosti má dostatek času na řešení bezpečnostních problémů

  • Společnost našla rovnováhu mezi zajištěním bezpečnosti a snadným používáním zařízení

2 uživatelé hlasovali. Nikdo se nezdržel hlasování.

Zdroj: www.habr.com

Přidat komentář