ProHoster > Blog > administración > Nuevo nivel de seguridad del MFP: imageRUNNER ADVANCE III

Nuevo nivel de seguridad del MFP: imageRUNNER ADVANCE III

Nuevo nivel de seguridad del MFP: imageRUNNER ADVANCE III

Con el aumento de las funciones integradas, las impresoras multifunción de oficina han ido mucho más allá del escaneo/impresión trivial. Ahora se han convertido en dispositivos independientes y completos, integrados en redes locales y globales de alta tecnología, que conectan a usuarios y organizaciones no solo dentro de una oficina, sino en todo el mundo.

En este artículo, junto con el experto en seguridad de la información práctica Luka Safonov lukasafonov Veamos las principales amenazas a las impresoras multifunción de oficina modernas y las formas de prevenirlas.

Los equipos de oficina modernos tienen sus propios discos duros y sistemas operativos, gracias a los cuales las impresoras multifunción pueden realizar una amplia gama de tareas de gestión de documentos de forma independiente, aliviando la carga de otros dispositivos. Sin embargo, un equipamiento tan técnico también tiene sus desventajas. Dado que las impresoras multifunción participan activamente en la transmisión de datos a través de la red, sin la protección adecuada se convierten en vulnerabilidades en todo el entorno de red de la organización. La seguridad de cualquier sistema está determinada por el grado de protección del eslabón más débil. Por lo tanto, cualquier costo de medidas de protección para servidores y computadoras empresariales deja de tener sentido si queda un vacío legal para un atacante a través del MFP. Al comprender el problema de proteger la información confidencial, los desarrolladores de Canon han aumentado el nivel de seguridad de la tercera versión de la plataforma. AVANZADO DE imageRUNNER, que se discutirá en el artículo.

Principales amenazas

Existen varios riesgos potenciales asociados con el uso de impresoras multifunción en las organizaciones:

  • Hackear el sistema mediante acceso no autorizado al MFP y utilizarlo como “punto de referencia”;
  • Usar impresoras multifunción para filtrar datos de los usuarios;
  • Intercepción de datos al imprimir o escanear;
  • Acceso a datos de personas sin autorización adecuada;
  • Acceso a información confidencial impresa o escaneada;
  • Acceda a datos confidenciales en dispositivos al final de su vida útil.
  • Envío de documentos por fax o correo electrónico a una dirección incorrecta, intencionalmente o como resultado de un error tipográfico;
  • Visualización no autorizada de información confidencial almacenada en impresoras multifunción desprotegidas;
  • Una pila compartida de trabajos impresos que pertenecen a diferentes usuarios.

“De hecho, las impresoras multifunción modernas suelen contener un enorme potencial para un atacante. Nuestra experiencia en proyectos muestra que los dispositivos no configurados o sin el nivel de protección adecuado brindan a los atacantes una gran oportunidad para expandir el llamado. "superficie de ataque". Esto incluye obtener una lista de cuentas, direcciones de red, la capacidad de enviar mensajes de correo electrónico y mucho más. Intentemos descubrir si las soluciones ofrecidas por Canon son capaces de neutralizar estas amenazas”.

Para cada tipo de vulnerabilidad, la nueva plataforma imageRUNNER ADVANCE proporciona una amplia gama de medidas complementarias que brindan protección multinivel. Cabe señalar que el desarrollo requirió un enfoque específico debido a las peculiaridades del funcionamiento del MFP. Al imprimir y escanear documentos, la información pasa de digital a analógica o viceversa. Cada uno de estos tipos de información requiere métodos fundamentalmente diferentes para garantizar la protección. Por lo general, en la unión de tecnologías, debido a su heterogeneidad, se forma el lugar más vulnerable.

“Las impresoras multifunción suelen ser presa fácil tanto para los pentesters como para los atacantes. Esto suele deberse a una negligencia en la configuración de dichos dispositivos y a su relativamente fácil disponibilidad, tanto en el entorno de oficina como en la infraestructura de red. Uno de los casos más recientes es un ataque indicativo que ocurrió el 29 de noviembre de 2018, cuando un usuario de Twitter bajo el seudónimo TheHackerGiraffe “pirateó” más de 50 impresoras de red e imprimió folletos en ellas llamando a la gente a suscribirse al canal de YouTube de un cierto PewDiePie. En Reddit, TheHackerGiraffe dijo que podría comprometer más de 000 800 dispositivos, pero se limitó a sólo 000 50. Al mismo tiempo, el hacker enfatizó que el problema principal es que nunca antes había hecho algo así, pero todos los preparativos y la hackearlo sólo le llevó media hora".

Cuando Canon desarrolla tecnologías, productos y servicios, consideramos su impacto potencial en los entornos de trabajo de los clientes. Es por eso que las impresoras multifunción de oficina de Canon vienen con una amplia gama de funciones de seguridad integradas y opcionales para ayudar a empresas de todos los tamaños a alcanzar el nivel de seguridad que necesitan.

Nuevo nivel de seguridad del MFP: imageRUNNER ADVANCE III

Canon tiene uno de los regímenes de pruebas de seguridad más estrictos de toda la industria de equipos de oficina. Se prueba que las tecnologías utilizadas en los dispositivos cumplen con los estándares de la empresa. Se presta mucha atención a los controles de seguridad con exámenes actualizados, cuyos resultados han recibido comentarios positivos sobre el funcionamiento de los dispositivos de empresas como Kaspersky Lab, COMLOGIC, TerraLink y JTI Russia, entre otras.

“A pesar de que en la realidad moderna es lógico aumentar la seguridad de sus productos, no todas las empresas siguen este principio. Las empresas están empezando a pensar en la protección tras incidentes de piratería (y presión de los usuarios) de determinados productos. Desde este punto de vista, el enfoque exhaustivo de Canon en la implementación de métodos y medidas de protección es indicativo”.

Acceso no autorizado al MFP

Muy a menudo, las impresoras multifunción desprotegidas se encuentran entre los objetivos prioritarios tanto de los infractores internos (internos) como de los externos. En la realidad moderna, una red corporativa no se limita a una oficina, sino que incluye un grupo de departamentos y usuarios con diferentes ubicaciones geográficas. El flujo de documentos centralizado requiere acceso remoto e inclusión de impresoras multifunción en la red corporativa. Los dispositivos de impresión en red pertenecen al Internet de las cosas, pero a menudo no se presta la debida atención a su protección, lo que conduce a la vulnerabilidad general de toda la infraestructura.

Para protegerse contra este tipo de amenazas, se han implementado las siguientes medidas:

  • Filtro de direcciones IP y MAC: configúrelo para permitir la comunicación solo con dispositivos que tengan direcciones IP o MAC específicas. Esta función regula la transferencia de datos tanto dentro como fuera de la red.
  • Configuración del servidor proxy: gracias a esta función, puede delegar el control de las conexiones del MFP a un servidor proxy. Se recomienda esta función cuando se conecta a dispositivos fuera de la red corporativa.
  • La autenticación IEEE 802.1X es otra protección contra la conexión de dispositivos que no están autorizados por el servidor de autenticación. El acceso no autorizado está bloqueado por el conmutador LAN.
  • Conexión a través de IPSec: protege contra intentos de interceptar o descifrar paquetes IP transmitidos a través de la red. Se recomienda utilizar con cifrado de comunicación TLS adicional.
  • Gestión portuaria: diseñada para proteger contra la asistencia interna a los atacantes. Esta función es responsable de configurar los parámetros del puerto de acuerdo con la política de seguridad.
  • Inscripción automática de certificados: esta función brinda a los administradores del sistema una herramienta conveniente para emitir y renovar automáticamente certificados de seguridad.
  • Wi-Fi directo: esta función está diseñada para la impresión segura desde dispositivos móviles. Para ello no es necesario que el dispositivo móvil esté conectado a la red corporativa. Al utilizar Wi-Fi directo, se crea una conexión local de igual a igual entre el dispositivo y el MFP.
  • Monitoreo de registros: todos los eventos relacionados con el uso del MFP, incluidas las solicitudes de conexión bloqueadas, se registran en varios registros del sistema en tiempo real. Al analizar los registros, puede detectar amenazas potenciales y existentes, crear una política de seguridad preventiva y realizar una evaluación experta de las fugas de información que ya se han producido.
  • Cifrado de dispositivo: esta opción cifra los trabajos de impresión a medida que se envían desde la PC del usuario a la impresora multifunción. También puede cifrar datos PDF escaneados habilitando un conjunto completo de funciones de seguridad.
  • Impresión de invitados desde dispositivos móviles. El software seguro de gestión de impresión y escaneo en red elimina los problemas de seguridad comunes asociados con la impresión móvil y de invitados al proporcionar métodos externos para enviar trabajos de impresión, como correo electrónico, web y aplicaciones móviles. Esto garantiza que el MFP funcione desde una fuente segura, minimizando la probabilidad de piratería.

“Compartir estos dispositivos, además de la comodidad y la reducción de costos, también implica riesgos de acceso a información de terceros. Esto puede ser utilizado no sólo por atacantes, sino también por empleados sin escrúpulos para obtener beneficios personales u obtener información privilegiada. Y el gran potencial de la información que se procesa (desde secretos tecnológicos hasta documentación financiera) es una prioridad importante para ataques o usos ilegítimos”.

Una novedad en la nueva versión de la plataforma imageRUNNER ADVANCE es la capacidad de conectar dispositivos de impresión a dos redes. Esto es muy conveniente cuando la impresora multifunción se utiliza simultáneamente en modo corporativo e invitado.

Protección de datos del disco duro

Su impresora multifunción siempre contiene una gran cantidad de datos que deben protegerse, desde trabajos de impresión en cola hasta faxes recibidos, imágenes escaneadas, libretas de direcciones, registros de actividad e historial de trabajos.

De hecho, el disco es sólo un almacenamiento temporal y mantener la información en él durante más tiempo del necesario aumenta la vulnerabilidad del sistema de seguridad corporativo. Para evitar que esto suceda, puede establecer un programa de limpieza del disco duro en la configuración. Además del hecho de que los trabajos de impresión se borran inmediatamente después de su finalización o cuando falla la impresión, se pueden eliminar otros archivos según una programación para borrar los datos residuales.

“Desafortunadamente, incluso muchos profesionales de TI no son conscientes del papel que desempeña el disco duro en los dispositivos de impresión modernos. La presencia de un disco duro puede reducir significativamente la duración de la etapa preparatoria de impresión. Los discos duros suelen almacenar información del sistema, archivos gráficos e imágenes rasterizadas para imprimir copias. Además de la eliminación inadecuada de las impresoras multifunción y la posibilidad de fuga de datos, existe la posibilidad de desmantelar/robar el disco duro para su análisis o llevar a cabo ataques especializados para extraer datos, por ejemplo utilizando el Printer Exploitation Toolkit”.

Los dispositivos Canon ofrecen una gama de herramientas para proteger sus datos durante todo el ciclo de vida del dispositivo, manteniendo al mismo tiempo su confidencialidad, integridad y disponibilidad.
Se presta mucha atención a la protección de los datos del disco duro. La información almacenada allí puede tener distintos grados de confidencialidad. Por lo tanto, el cifrado de HDD se utiliza en los 26 modelos de dispositivos dentro de 7 series diferentes de la nueva versión de la plataforma imageRUNNER ADVANCE. Cumple con el estándar de seguridad FIPS 140-2 Nivel 2 del gobierno de EE. UU., así como con el equivalente japonés JCVMP.

“Es importante contar con un sistema de acceso a la información que tenga en cuenta los roles de los usuarios y los niveles de acceso. Por ejemplo, en muchas empresas, la discusión sobre salarios entre los empleados está estrictamente prohibida, y la filtración de nóminas o información sobre bonificaciones puede provocar un conflicto grave en el equipo. Lamentablemente conozco casos de este tipo, en uno de ellos esto llevó al despido del empleado responsable de este tipo de filtración”.

  • Cifrado del disco duro. Los dispositivos imageRUNNER ADVANCE cifran todos los datos de su disco duro para mayor seguridad.
  • Limpieza del disco duro. Algunos datos, como los datos copiados o escaneados, o los datos de documentos impresos desde una computadora, se almacenan en el disco duro de la impresora por un tiempo limitado y se eliminan una vez finalizado el trabajo.
  • Inicialización de todos los datos y parámetros. Para evitar la pérdida de datos al reemplazar o desechar su disco duro, puede sobrescribir todos los documentos y datos del disco duro y luego restablecer la configuración a sus valores predeterminados.
  • Copia de seguridad del disco duro. Las empresas ahora tienen la capacidad de realizar copias de seguridad de los datos desde el disco duro del dispositivo a un disco duro opcional. Al realizar una copia de seguridad, los datos de ambos discos duros están completamente cifrados.
  • Kit de disco duro extraíble. Esta opción le permite quitar el disco duro del dispositivo para almacenarlo de forma segura mientras el dispositivo no está en uso.

Fuga de datos críticos

Todas las empresas manejan documentos confidenciales como contratos, acuerdos, documentos contables, datos de clientes, planes del departamento de desarrollo y mucho más. Si dichos documentos caen en manos equivocadas, las consecuencias pueden variar desde daños a la reputación hasta grandes multas o incluso demandas judiciales. Los atacantes pueden obtener el control de los activos de la empresa, información privilegiada o confidencial.

“No son sólo los competidores o los estafadores los que roban información valiosa. A menudo hay casos en los que los empleados deciden desarrollar su propio negocio o ganar dinero extra en secreto vendiendo información al exterior. En tales situaciones, la impresora se convierte en su principal asistente. Cualquier transferencia de datos dentro de la empresa es fácil de rastrear. Además, no son los empleados corrientes los que tienen acceso a información valiosa. ¿Y qué podría ser más fácil para un directivo corriente que robar un documento valioso que se encuentra inactivo? Cualquiera puede hacer frente a esta tarea. Ni siquiera siempre es necesario sacar los documentos impresos fuera de la organización. Basta con tomar rápidamente una foto de los materiales que se encuentran inactivos en un teléfono con una buena cámara”.

Nuevo nivel de seguridad del MFP: imageRUNNER ADVANCE III

Canon ofrece una gama de soluciones de seguridad para ayudarle a proteger documentos confidenciales durante todo su ciclo de vida.

Confidencialidad de los documentos impresos.

El usuario puede configurar un PIN de impresión para que el documento comience a imprimirse solo después de ingresar el PIN correcto en el dispositivo. Esto le permite proteger documentos confidenciales.

“Las impresoras multifunción a menudo se pueden ver en áreas de acceso público de una organización para comodidad de los usuarios. Pueden ser pasillos y salas de reuniones, pasillos y áreas de recepción. Sólo el uso de identificadores (códigos PIN, tarjetas inteligentes) garantizará la seguridad de la información en el contexto del nivel de acceso del usuario. Los casos notables fueron cuando los usuarios obtuvieron acceso a documentos enviados anteriormente, escaneos de pasaportes, etc. como resultado de controles inadecuados y falta de funciones de limpieza de datos”.

En el dispositivo imageRUNNER ADVANCE, el administrador puede pausar todos los trabajos de impresión enviados, lo que requiere que los usuarios inicien sesión para imprimir, protegiendo así la privacidad de todos los materiales impresos.

Los trabajos de impresión o los documentos escaneados se pueden almacenar en buzones para acceder fácilmente en cualquier momento. Los buzones de correo se pueden proteger con un código PIN para garantizar que sólo los usuarios designados puedan acceder a sus contenidos. Utilice este espacio seguro en su dispositivo para almacenar documentos que se imprimen con frecuencia (como membretes y formularios) que requieren un manejo cuidadoso.

Control total sobre el envío de documentos y faxes.

Para reducir el riesgo de fuga de información, los administradores pueden restringir el acceso a varios destinatarios, por ejemplo aquellos que no están en la libreta de direcciones del servidor LDAP, no están registrados en el sistema o en un dominio específico.

Para evitar que se envíen documentos a destinatarios incorrectos, debe desactivar la función de autocompletar para direcciones de correo electrónico.

Configurar un código PIN para protección protegerá la libreta de direcciones del dispositivo contra el acceso de usuarios no autorizados.

Solicitar a los usuarios que vuelvan a ingresar el número de fax evitará que los documentos se envíen a destinatarios equivocados.

Proteger documentos y faxes en una carpeta confidencial o PIN mantendrá los documentos almacenados de forma segura en la memoria sin tener que imprimirlos.

Verificar la fuente y autenticidad de un documento

Se puede agregar una firma de dispositivo a documentos PDF o XPS escaneados utilizando una clave y un mecanismo de certificación para que el destinatario pueda verificar la fuente y la autenticidad del documento.

“En un documento electrónico, su requisito es una firma digital electrónica (EDS), diseñada para proteger este documento electrónico contra falsificaciones y permite identificar al propietario del certificado de clave de firma, así como establecer la ausencia de distorsión de la información en el documento electrónico. Esto garantiza la seguridad del documento transmitido y la identificación exacta de su propietario, lo que ayuda a mantener la confiabilidad de la información”.

Firma de usuario le permite enviar archivos PDF o XPS con la firma digital única del usuario obtenida de una empresa de certificación. De esta forma el destinatario podrá comprobar quién firmó el documento.

Integración con ADOBE LIFECYCLE MANAGEMENT ES

Los usuarios pueden proteger archivos PDF y aplicarles políticas consistentes y dinámicas para controlar los derechos de acceso y uso, y proteger información confidencial y valiosa contra revelaciones inadvertidas o maliciosas. Las políticas de seguridad se mantienen a nivel del servidor, por lo que los permisos se pueden cambiar incluso después de que se haya distribuido el archivo. Los dispositivos de la serie imageRUNNER ADVANCE se pueden configurar para integrarse con Adobe ES.

Impresión segura con uniFLOW MyPrintAnywhere le permite enviar trabajos de impresión a través de un controlador universal e imprimirlos en cualquier impresora de su red.

Prevención de duplicados

Los controladores le permiten imprimir marcas visibles en la página que aparecen encima del contenido del documento. Esto se puede utilizar para informar a los empleados sobre la confidencialidad del documento y evitar que se copien.

Imprimir/copiar con marcas de agua invisibles: los documentos se imprimirán o copiarán con texto oculto incrustado en el fondo, que aparecerá cuando se cree un duplicado y actuará como elemento disuasorio.

Las capacidades del software uniFLOW de NTware (parte del grupo de empresas Canon) proporcionan herramientas efectivas adicionales para garantizar la seguridad de los documentos.
El uso de uniFLOW en combinación con iW SAM Express le permitirá digitalizar y archivar documentos enviados a una impresora o recibidos desde un dispositivo, así como analizar datos y atributos de texto al responder a amenazas de seguridad.

Realice un seguimiento del origen del documento mediante código incrustado.

Bloqueo de escaneo de documentos: esta opción incorpora un código oculto en los documentos impresos y las copias que evita que se copien más en un dispositivo en el que esta función está habilitada. El administrador puede utilizar esta opción para todos los trabajos o sólo para los trabajos seleccionados por el usuario. Los códigos TL y QR están disponibles para incrustar.

“Como resultado de las pruebas y la familiarización con la funcionalidad de la tecnología imageRUNNER ADVANCE III, pudimos confirmar el cumplimiento básico de las políticas modernas de seguridad de TI. Las medidas de protección anteriores cumplen con los requisitos básicos de seguridad y pueden minimizar los riesgos de violaciones de seguridad de la información”.

Los últimos dispositivos imageRUNNER ADVANCE están equipados con una función de política de seguridad que permite al administrador administrar todas las configuraciones de seguridad en un menú y editarlas antes de aplicarlas como configuración del dispositivo. Una vez aplicada, el uso del dispositivo y los cambios en la configuración deben realizarse de acuerdo con esta política. La política de seguridad se puede proteger con una contraseña independiente para proporcionar control y protección adicionales y solo el profesional de seguridad de TI responsable puede acceder a ella.

"Es necesario encontrar y mantener un equilibrio entre seguridad y conveniencia, utilizando sabiamente los avances tecnológicos y las soluciones técnicas para proteger la información, utilizar personal calificado y administrar hábilmente los fondos proporcionados para garantizar la seguridad de la empresa".

Asistencia en la preparación del material - Luka Safonov, jefe del Laboratorio Práctico
análisis de seguridad, Jet Information Systems.

Solo los usuarios registrados pueden participar en la encuesta. Registrarsepor favor

¿Qué tan completo es su enfoque de la seguridad corporativa?

  • La política de seguridad corporativa se aplica a la flota de dispositivos multifuncionales

  • La flota de dispositivos de impresión de la compañía garantiza el uso seguro de los dispositivos personales de los usuarios

  • La empresa garantiza que la infraestructura de impresión esté actualizada y que los parches y actualizaciones se instalen de manera oportuna y eficiente.

  • Los invitados de la empresa pueden imprimir y escanear sin poner en riesgo la red corporativa

  • El departamento de TI de la empresa tiene tiempo suficiente para abordar los problemas de seguridad.

  • La empresa ha encontrado un equilibrio entre garantizar la seguridad y la facilidad de uso de los dispositivos.

2 usuarios votaron. No hay abstenciones.

Fuente: habr.com

Añadir un comentario