Med stigningen i indbyggede funktioner er kontor-MFP'er længe gået længere end triviel scanning/udskrivning. Nu er de blevet til fuldgyldige uafhængige enheder, integreret i højteknologiske lokale og globale netværk, der forbinder brugere og organisationer ikke kun inden for ét kontor, men i hele verden.
I denne artikel, sammen med praktisk informationssikkerhedsekspert Luka Safonov Lad os se på de vigtigste trusler mod moderne kontor-MFP'er og måder at forhindre dem på.
Moderne kontorudstyr har sine egne harddiske og operativsystemer, takket være hvilke MFP'er kan udføre en bred vifte af dokumenthåndteringsopgaver uafhængigt, hvilket letter belastningen på andre enheder. Så højt teknisk udstyr har dog også en bagside. Da MFP'er deltager aktivt i at overføre data over netværket, bliver de uden ordentlig beskyttelse sårbarheder i hele organisationens netværksmiljø. Sikkerheden af ethvert system bestemmes af graden af beskyttelse af det svageste led. Derfor bliver eventuelle omkostninger til beskyttelsesforanstaltninger for virksomhedsservere og computere meningsløse, hvis der stadig er et smuthul for en hacker gennem MFP'en. For at forstå problemet med at beskytte fortrolige oplysninger har Canon-udviklere øget sikkerhedsniveauet for den tredje version af platformen , som vil blive diskuteret i artiklen.
Vigtigste trusler
Der er flere potentielle risici forbundet med brugen af MFP'er i organisationer:
- Hacking af systemet gennem uautoriseret adgang til MFP'en og brug som et "referencepunkt";
- Brug af MFP'er til at eksfiltrere brugerdata;
- Opfangning af data ved udskrivning eller scanning;
- Adgang til data om personer uden passende godkendelse;
- Adgang til trykte eller scannede fortrolige oplysninger;
- Få adgang til følsomme data på udtjente enheder.
- Afsendelse af dokumenter via fax eller e-mail til en forkert adresse, bevidst eller som følge af en tastefejl;
- Uautoriseret visning af fortrolige oplysninger gemt på ubeskyttede MFP'er;
- En delt stak af udskrevne job, der tilhører forskellige brugere.
"Ja, moderne MFP'er indeholder ofte et enormt potentiale for en angriber. Vores projekterfaring viser, at ukonfigurerede enheder, eller enheder uden det passende beskyttelsesniveau, giver angribere en enorm mulighed for at udvide den såkaldte. "angrebsflade". Dette får en liste over konti, netværksadressering, muligheden for at sende e-mails og meget mere. Lad os prøve at finde ud af, om de løsninger, Canon tilbyder, er i stand til at neutralisere disse trusler."
For hver type sårbarhed giver den nye imageRUNNER ADVANCE-platform en lang række supplerende foranstaltninger, der giver beskyttelse på flere niveauer. Det skal bemærkes, at udviklingen krævede en specifik tilgang på grund af MFP-driftens særegenheder. Ved udskrivning og scanning af dokumenter skifter information fra digital til analog eller omvendt. Hver af disse typer information kræver fundamentalt forskellige metoder til at sikre beskyttelse. Normalt dannes det mest sårbare sted i krydsfeltet mellem teknologier på grund af deres heterogenitet.
"MFP'er er ofte et let bytte for både pentestere og angribere. Som regel skyldes dette en uagtsom holdning til opsætning af sådanne enheder og deres relativt lette tilgængelighed, både i kontormiljøet og i netværksinfrastrukturen. Et af de seneste tilfælde er et vejledende angreb, der fandt sted den 29. november 2018, da en Twitter-bruger under pseudonymet TheHackerGiraffe "hackede" mere end 50 netværksprintere og udskrev brochurer på dem, der opfordrede folk til at abonnere på YouTube-kanalen på en visse PewDiePie. På Reddit sagde TheHackerGiraffe, at han kunne kompromittere mere end 000 enheder, men begrænsede sig til kun 800. Samtidig understregede hackeren, at hovedproblemet er, at han aldrig havde gjort noget lignende før, men alle forberedelserne og den. selve hacket tog ham kun en halv time".
Når Canon udvikler teknologier, produkter og tjenester, overvejer vi deres potentielle indvirkning på kundernes arbejdsmiljø. Det er derfor, Canons multifunktionsprintere til kontorer kommer med en lang række indbyggede og valgfrie sikkerhedsfunktioner, der hjælper virksomheder i alle størrelser med at opnå det sikkerhedsniveau, de har brug for.
Canon har en af de strengeste sikkerhedstestsystemer i hele kontorudstyrsindustrien. Teknologier, der bruges i enheder, er testet for overensstemmelse med virksomhedens standarder. Der lægges stor vægt på sikkerhedstjek med ajourførte undersøgelser, hvis resultater har modtaget positiv feedback på driften af enheder fra virksomheder som Kaspersky Lab, COMLOGIC, TerraLink og JTI Russia og andre.
"På trods af det faktum, at det i moderne virkelighed er logisk at øge sikkerheden for deres produkter, følger ikke alle virksomheder dette princip. Virksomheder begynder at tænke på beskyttelse efter hændelser med hacking (og pres fra brugere) af visse produkter. Fra denne side er Canons grundige tilgang til implementering af beskyttelsesmetoder og -foranstaltninger vejledende."
Uautoriseret adgang til MFP
Meget ofte er ubeskyttede MFP'er blandt de prioriterede mål for både interne krænkere (insidere) og eksterne. I moderne virkelighed er et virksomhedsnetværk ikke begrænset til ét kontor, men omfatter en gruppe af afdelinger og brugere med forskellige geografiske placeringer. Centraliseret dokumentflow kræver fjernadgang og inkludering af MFP'er i virksomhedens netværk. Netværksudskrivningsenheder tilhører Internet of Things, men deres beskyttelse bliver ofte ikke givet den nødvendige opmærksomhed, hvilket fører til den overordnede sårbarhed af hele infrastrukturen.
For at beskytte mod denne type trusler er følgende foranstaltninger blevet implementeret:
- IP- og MAC-adressefilter – konfigurer til kun at tillade kommunikation med enheder, der har specifikke IP- eller MAC-adresser. Denne funktion regulerer dataoverførslen både inden for og uden for netværket.
- Proxyserverkonfiguration - takket være denne funktion kan du uddelegere kontrol over MFP-forbindelser til en proxyserver. Denne funktion anbefales, når der oprettes forbindelse til enheder uden for virksomhedens netværk.
- IEEE 802.1X-godkendelse er en anden beskyttelse mod tilslutning af enheder, der ikke er godkendt af godkendelsesserveren. Uautoriseret adgang blokeres af LAN-switchen.
- Forbindelse via IPSec – beskytter mod forsøg på at opsnappe eller dekryptere IP-pakker transmitteret over netværket. Det anbefales at bruge med yderligere TLS-kommunikationskryptering.
- Port management - designet til at beskytte mod insider assistance til angribere. Denne funktion er ansvarlig for at konfigurere portparametre i overensstemmelse med sikkerhedspolitikken.
- Automatisk certifikattilmelding – Denne funktion giver systemadministratorer et praktisk værktøj til automatisk at udstede og forny sikkerhedscertifikater.
- Wi-Fi Direct – denne funktion er designet til sikker udskrivning fra mobile enheder. For at gøre dette behøver den mobile enhed ikke at være forbundet til virksomhedens netværk. Ved hjælp af Wi-Fi Direct oprettes en lokal peer-to-peer-forbindelse mellem enhed og MFP.
- Logovervågning – alle hændelser relateret til brugen af MFP'en, inklusive blokerede forbindelsesanmodninger, registreres i forskellige systemlogfiler i realtid. Ved at analysere registreringer kan du opdage potentielle og eksisterende trusler, opbygge en forebyggende sikkerhedspolitik og foretage en ekspertvurdering af informationslæk, der allerede har fundet sted.
- Enhedskryptering—Denne indstilling krypterer udskriftsjob, når de sendes fra brugerens pc til multifunktionsprinteren. Du kan også kryptere scannede PDF-data ved at aktivere et omfattende sæt sikkerhedsfunktioner.
- Gæsteudskrivning fra mobile enheder. Software til sikker netværksudskrivning og -scanning eliminerer almindelige sikkerhedsproblemer forbundet med mobil- og gæsteudskrivning ved at tilbyde eksterne metoder til indsendelse af udskriftsjob såsom e-mail, web og mobilapp. Dette sikrer, at MFP'en fungerer fra en sikker kilde, hvilket minimerer sandsynligheden for hacking.
"Deling af sådanne enheder indebærer udover bekvemmelighed og omkostningsreduktion også risici for adgang til tredjepartsoplysninger. Dette kan ikke kun bruges af angribere, men også af skruppelløse medarbejdere til at opnå personlig fordel eller få insideroplysninger. Og det store potentiale i den information, der behandles – fra teknologiske hemmeligheder til finansiel dokumentation – er en væsentlig prioritet for angreb eller illegitim brug.”
Nyt i den nye version af imageRUNNER ADVANCE-platformen er muligheden for at forbinde printenheder til to netværk. Dette er meget praktisk, når MFP'en bruges samtidigt i virksomheds- og gæstetilstand.
Beskyttelse af data på din harddisk
Din multifunktionsprinter indeholder altid en stor mængde data, der skal beskyttes – fra udskriftsjob i kø til modtagne faxer, scannede billeder, adressebøger, aktivitetslogfiler og jobhistorik.
Faktisk er disken kun midlertidig lagring, og at opbevare oplysninger på den i længere tid end nødvendigt øger virksomhedens sikkerhedssystems sårbarhed. For at forhindre dette i at ske, kan du indstille en harddiskrensningsplan i indstillingerne. Ud over det faktum, at udskriftsjob ryddes umiddelbart efter færdiggørelse, eller når udskrivning mislykkes, kan andre filer slettes efter en tidsplan for at rydde resterende data.
“Desværre er selv mange it-professionelle dårligt bevidste om harddiskens rolle i moderne printenheder. Tilstedeværelsen af en harddisk kan reducere varigheden af den forberedende udskrivning betydeligt. Harddiske gemmer normalt systemoplysninger, grafikfiler og rasteriserede billeder til udskrivning af kopier. Ud over ukorrekt bortskaffelse af MFP'er og muligheden for datalækage er der mulighed for adskillelse/tyveri af harddisken til analyse eller udføre specialiserede angreb for at eksfiltrere data, for eksempel ved hjælp af Printer Exploitation Toolkit."
Canon-enheder tilbyder en række værktøjer til at beskytte dine data gennem hele enhedens livscyklus, samtidig med at de bevarer deres fortrolighed, integritet og tilgængelighed.
Der lægges stor vægt på at beskytte data på harddisken. De oplysninger, der opbevares der, kan have forskellige grader af fortrolighed. Derfor bruges HDD-kryptering på alle 26 enhedsmodeller inden for 7 forskellige serier af den nye version af imageRUNNER ADVANCE-platformen. Den overholder den amerikanske regerings FIPS 140-2 niveau 2 sikkerhedsstandard samt den japanske tilsvarende JCVMP.
”Det er vigtigt at have et system til at få adgang til information, der tager højde for brugerroller og adgangsniveauer. For eksempel er diskussion af løn blandt medarbejderne strengt forbudt i mange virksomheder, og et læk af lønsedler eller oplysninger om bonusser kan fremkalde en alvorlig konflikt i teamet. Desværre kender jeg til sådanne tilfælde, i en af dem førte dette til afskedigelse af den medarbejder, der var ansvarlig for denne form for lækage."
- Harddisk kryptering. imageRUNNER ADVANCE-enheder krypterer alle data på din harddisk for øget sikkerhed.
- Rengøring af harddisken. Nogle data, f.eks. data kopieret eller scannet, eller dokumentdata udskrevet fra en computer, gemmes på printerens harddisk i en begrænset periode og slettes, når jobbet er fuldført.
- Initialisering af alle data og parametre. For at forhindre tab af data, når du udskifter eller kasserer din harddisk, kan du overskrive alle dokumenter og data på harddisken og derefter nulstille indstillingerne til deres standardværdier.
- Sikkerhedskopier harddisk. Virksomheder har nu mulighed for at sikkerhedskopiere data fra enhedens harddisk til en valgfri harddisk. Ved sikkerhedskopiering er dataene på begge harddiske fuldt krypteret.
- Udtageligt harddisksæt. Denne mulighed giver dig mulighed for at fjerne harddisken fra enheden for sikker opbevaring, mens enheden ikke er i brug.
Lækage af kritiske data
Alle virksomheder beskæftiger sig med fortrolige dokumenter såsom kontrakter, aftaler, regnskabsbilag, kundedata, udviklingsafdelingsplaner og meget mere. Hvis sådanne dokumenter falder i de forkerte hænder, kan konsekvenserne variere fra skade på omdømmet til store bøder eller endda retssager. Angribere kan få kontrol over virksomhedens aktiver, insider eller fortrolige oplysninger.
»Det er ikke kun konkurrenter eller svindlere, der stjæler værdifuld information. Der er ofte tilfælde, hvor medarbejdere beslutter sig for at udvikle deres egen virksomhed eller i al hemmelighed tjener ekstra penge ved at sælge information udadtil. I sådanne situationer bliver printeren deres vigtigste assistent. Enhver dataoverførsel inden for virksomheden er let at spore. Derudover er det ikke almindelige medarbejdere, der har adgang til værdifuld information. Og hvad kunne være nemmere for en almindelig leder end at stjæle et værdifuldt dokument, der ligger stille? Enhver kan klare denne opgave. Udskrevne dokumenter skal ikke engang altid tages uden for organisationen. Det er nok hurtigt at tage et billede af materialerne, der ligger inaktive på en telefon med et godt kamera."
Canon tilbyder en række sikkerhedsløsninger, der hjælper dig med at beskytte følsomme dokumenter gennem hele deres livscyklus.
Fortrolighed af udskrevne dokumenter
Brugeren kan indstille en udskrivnings-PIN-kode, så dokumentet først begynder at udskrive efter indtastning af den korrekte PIN-kode på enheden. Dette giver dig mulighed for at beskytte fortrolige dokumenter.
"MFP'er kan ofte ses i offentligt tilgængelige områder af en organisation af hensyn til brugernes bekvemmelighed. Det kan være haller og mødelokaler, korridorer og receptionsområder. Kun brugen af identifikatorer (PIN-koder, smartcards) garanterer informationssikkerheden i forbindelse med brugeradgangsniveauet. Bemærkelsesværdige tilfælde var, når brugere fik adgang til tidligere afsendte dokumenter, scanninger af pas mv. som et resultat af utilstrækkelig kontrol og mangel på datarensningsfunktioner."
På imageRUNNER ADVANCE-enheden kan administratoren sætte alle indsendte udskriftsjob på pause, hvilket kræver, at brugere logger på for at udskrive, og derved beskytter privatlivets fred for alt trykt materiale.
Udskriftsjob eller scannede dokumenter kan gemmes i postkasser for nem adgang til enhver tid. Postkasser kan beskyttes med en PIN-kode for at sikre, at kun udpegede brugere kan få adgang til deres indhold. Brug denne sikre plads på din enhed til at opbevare ofte udskrevne dokumenter (såsom brevpapir og formularer), der kræver omhyggelig håndtering.
Fuld kontrol over afsendelse af dokumenter og faxer
For at mindske risikoen for informationslækage kan administratorer begrænse adgangen til forskellige modtagere, for eksempel dem der ikke er i adressebogen på LDAP-serveren, ikke er registreret i systemet eller på et specifikt domæne.
For at forhindre, at dokumenter sendes til forkerte modtagere, skal du deaktivere autofyld for e-mailadresser.
Indstilling af en PIN-kode til beskyttelse vil beskytte enhedens adressebog mod uautoriseret brugeradgang.
At kræve, at brugerne indtaster faxnummeret igen, forhindrer, at dokumenter sendes til de forkerte modtagere.
Beskyttelse af dokumenter og faxer i en fortrolig mappe eller PIN-kode vil opbevare dokumenter sikkert i hukommelsen uden at skulle udskrive dem.
Bekræftelse af kilden og ægtheden af et dokument
En enhedssignatur kan tilføjes til scannede PDF- eller XPS-dokumenter ved hjælp af en nøgle- og certificeringsmekanisme, så modtageren kan verificere kilden og ægtheden af dokumentet.
"I et elektronisk dokument er en elektronisk digital signatur (EDS) dens nødvendighed, designet til at beskytte dette elektroniske dokument mod forfalskning og giver dig mulighed for at identificere ejeren af signaturnøglecertifikatet, samt fastslå fraværet af forvrængning af oplysninger i elektronisk dokument. Dette sikrer sikkerheden af det transmitterede dokument og den nøjagtige identifikation af dets ejer, hvilket hjælper med at opretholde pålideligheden af oplysningerne."
Brugersignatur giver dig mulighed for at sende PDF- eller XPS-filer med brugerens unikke digitale signatur opnået fra et certificeringsfirma. På denne måde vil modtageren være i stand til at kontrollere, hvem der har underskrevet dokumentet.
Integration med ADOBE LIFECYCLE MANAGEMENT ES
Brugere kan sikre PDF-filer og anvende konsekvente og dynamiske politikker til dem for at kontrollere adgang og brugsrettigheder og beskytte fortrolige og værdifulde oplysninger mod utilsigtet eller ondsindet videregivelse. Sikkerhedspolitikker opretholdes på serverniveau, så tilladelser kan ændres, selv efter at filen er blevet distribueret. Enhederne i imageRUNNER ADVANCE-serien kan konfigureres til at integrere med Adobe ES.
Sikker udskrivning med uniFLOW MyPrintAnywhere giver dig mulighed for at sende udskriftsjob via en universel driver og udskrive dem til enhver printer på dit netværk.
Forebyggelse af dubletter
Drivere giver dig mulighed for at udskrive synlige markeringer på siden, der vises oven på dokumentindholdet. Dette kan bruges til at informere medarbejderne om dokumentets fortrolighed og forhindre, at det bliver kopieret.
Udskriv/Kopiér med usynlige vandmærker - Dokumenter udskrives eller kopieres med skjult tekst indlejret i baggrunden, som vises, når en duplikat oprettes og virker afskrækkende.
Mulighederne i uniFLOW-software fra NTware (en del af Canon-koncernen) giver yderligere effektive værktøjer til at sikre dokumentsikkerhed.
Brug af uniFLOW i kombination med iW SAM Express vil give dig mulighed for at digitalisere og arkivere dokumenter sendt til en printer eller modtaget fra en enhed, samt analysere tekstdata og attributter, når du reagerer på sikkerhedstrusler.
Spor dokumentkilde ved hjælp af indlejret kode.
Dokumentscanningsblokering – Denne indstilling indlejrer en skjult kode i udskrevne dokumenter og kopier, der forhindrer dem i at blive kopieret videre på en enhed, hvor denne funktion er aktiveret. Administratoren kan bruge denne mulighed for alle job eller kun job valgt af brugeren. TL- og QR-koder er tilgængelige for indlejring.
"Som et resultat af test og fortrolighed med funktionaliteten af imageRUNNER ADVANCE III-teknologien, var vi i stand til at bekræfte den grundlæggende overholdelse af moderne it-sikkerhedspolitikker. Ovenstående beskyttelsesforanstaltninger opfylder grundlæggende sikkerhedskrav og kan minimere risikoen for krænkelser af informationssikkerheden."
De seneste imageRUNNER ADVANCE-enheder er udstyret med en sikkerhedspolitikfunktion, der gør det muligt for administratoren at administrere alle sikkerhedsindstillinger i én menu og redigere dem, før de anvender dem som en enhedskonfiguration. Når den er anvendt, skal brugen af enheden og ændringer af indstillinger være i overensstemmelse med denne politik. Sikkerhedspolitikken kan beskyttes med en separat adgangskode for at give yderligere kontrol og beskyttelse og kan kun tilgås af den ansvarlige it-sikkerhedsprofessionelle.
"Det er nødvendigt at finde og opretholde en balance mellem sikkerhed og bekvemmelighed, klogt at bruge teknologiske fremskridt og tekniske løsninger til at beskytte information, bruge kvalificeret personale og dygtigt administrere de midler, der stilles til rådighed for at sikre virksomhedens sikkerhed."
Hjælp til udarbejdelse af materialet - Luka Safonov, leder af det praktiske laboratorium
sikkerhedsanalyse, Jet Information Systems.
Kun registrerede brugere kan deltage i undersøgelsen. , Vær venlig.
Hvor omfattende er din tilgang til virksomhedens sikkerhed?
Virksomhedens sikkerhedspolitik gælder for flåden af multifunktionelle enheder
Virksomhedens flåde af printenheder sikrer sikker brug af brugernes personlige enheder
Virksomheden sikrer, at udskrivningsinfrastrukturen er opdateret, og at patches og opdateringer installeres rettidigt og effektivt
Virksomhedsgæster kan printe og scanne uden at sætte virksomhedens netværk i fare
Virksomhedens IT-afdeling har tid nok til at løse sikkerhedsproblemer
Virksomheden har fundet en balance mellem at sikre sikkerhed og brugervenlighed for enheder
2 brugere stemte. Der er ingen undladelser.
Kilde: www.habr.com
