ProHoster > Blogi > Haldamine > MFP turvalisuse uus tase: imageRUNNER ADVANCE III

MFP turvalisuse uus tase: imageRUNNER ADVANCE III

MFP turvalisuse uus tase: imageRUNNER ADVANCE III

Sisseehitatud funktsioonide arvu suurenemisega on kontori-MFP-d juba ammu läinud triviaalsest skannimisest/printimisest kaugemale. Nüüd on need muutunud täisväärtuslikeks sõltumatuteks seadmeteks, mis on integreeritud kõrgtehnoloogilistesse kohalikesse ja globaalsetesse võrkudesse, ühendades kasutajad ja organisatsioonid mitte ainult ühes kontoris, vaid kogu maailmas.

Selles artiklis koos praktilise infoturbeeksperdi Luka Safonoviga LukaSafonov Vaatame peamisi tänapäevaseid kontori-MFP-sid ähvardavaid ohte ja võimalusi nende ennetamiseks.

Kaasaegsetel kontoriseadmetel on oma kõvakettad ja operatsioonisüsteemid, tänu millele saavad MFP-d iseseisvalt täita mitmesuguseid dokumendihaldusülesandeid, leevendades teiste seadmete koormust. Nii kõrgel tehnilisel varustusel on aga ka varjukülg. Kuna MFP-d osalevad aktiivselt andmeedastuses üle võrgu, muutuvad need ilma korraliku kaitseta haavatavaks kogu organisatsiooni võrgukeskkonnas. Iga süsteemi turvalisuse määrab nõrgima lüli kaitseaste. Seetõttu muutuvad ettevõtte serverite ja arvutite kaitsemeetmete kulud mõttetuks, kui MFP kaudu jääb ründaja jaoks lünk. Mõistes konfidentsiaalse teabe kaitsmise probleemi, on Canoni arendajad tõstnud platvormi kolmanda versiooni turvataset imageRUNNER ADVANCE, mida arutatakse artiklis.

Peamised ohud

MFP-de kasutamisega organisatsioonides on mitmeid võimalikke riske.

  • Süsteemi häkkimine MFP-le volitamata juurdepääsu kaudu ja võrdluspunktina kasutamine;
  • MFP-de kasutamine kasutajaandmete väljafiltreerimiseks;
  • Andmete pealtkuulamine printimisel või skaneerimisel;
  • Juurdepääs isikute andmetele ilma asjakohase loata;
  • Juurdepääs prinditud või skannitud konfidentsiaalsele teabele;
  • Juurdepääs tundlikele andmetele kasutusea lõppenud seadmetes.
  • Dokumentide saatmine faksi või e-posti teel tahtlikult või kirjavea tõttu valele aadressile;
  • Kaitsmata MFP-dele salvestatud konfidentsiaalse teabe volitamata vaatamine;
  • Erinevatele kasutajatele kuuluvate prinditud tööde jagatud virn.

"Tõepoolest, tänapäevased MFP-d sisaldavad ründaja jaoks sageli tohutut potentsiaali. Meie projektikogemus näitab, et konfigureerimata või vastava kaitsetasemeta seadmed annavad ründajatele tohutu võimaluse laiendada nn. "ründepind". See on kontode loendi hankimine, võrguaadress, e-kirjade saatmise võimalus ja palju muud. Proovime välja selgitada, kas Canoni pakutavad lahendused suudavad neid ohte neutraliseerida.

Iga haavatavuse tüübi jaoks pakub uus imageRUNNER ADVANCE platvorm terve rea täiendavaid meetmeid, mis pakuvad mitmetasandilist kaitset. Tuleb märkida, et arendus nõudis MFP töö iseärasuste tõttu spetsiifilist lähenemist. Dokumentide printimisel ja skaneerimisel liigub teave digitaalselt analoogile või vastupidi. Iga selline teave nõuab põhimõtteliselt erinevaid kaitse tagamise meetodeid. Tavaliselt moodustub tehnoloogiate ristumiskohas nende heterogeensuse tõttu kõige haavatavam koht.

"MFP-d on sageli kerge saak nii pentestijatele kui ka ründajatele. Reeglina on selle põhjuseks hoolimatu suhtumine selliste seadmete seadistamisse ja nende suhteliselt lihtne kättesaadavus nii kontorikeskkonnas kui ka võrgu infrastruktuuris. Üks viimaseid juhtumeid on soovituslik rünnak, mis leidis aset 29. novembril 2018, kui Twitteri kasutaja varjunime TheHackerGiraffe all "häkkis" rohkem kui 50 000 võrguprinterit ja trükkis neile voldikuid, mis kutsusid inimesi üles tellima YouTube'i kanalit. teatud PewDiePie. Redditis ütles TheHackerGiraffe, et ta võib kompromiteerida rohkem kui 800 000 seadet, kuid piirdus vaid 50 000-ga. Samas rõhutas häkker, et peamiseks probleemiks on see, et ta pole kunagi varem midagi sellist teinud, kuid kõik ettevalmistused ja häkkimine võttis tal vaid pool tundi."

Kui Canon arendab tehnoloogiaid, tooteid ja teenuseid, võtame arvesse nende võimalikku mõju klientide töökeskkonnale. Seetõttu on Canoni kontori multifunktsionaalsetel printeritel lai valik sisseehitatud ja valikulisi turvafunktsioone, mis aitavad igas suuruses ettevõtetel saavutada vajalikku turbetaset.

MFP turvalisuse uus tase: imageRUNNER ADVANCE III

Canonil on üks rangemaid ohutustestimise režiime kogu kontoriseadmete tööstuses. Seadmetes kasutatavaid tehnoloogiaid testitakse ettevõtte standarditele vastavuse osas. Suurt tähelepanu pööratakse ajakohaste uuringutega turvakontrollile, mille tulemused on saanud positiivset tagasisidet seadmete toimimise kohta sellistelt ettevõtetelt nagu Kaspersky Lab, COMLOGIC, TerraLink ja JTI Russia jt.

“Vaatamata sellele, et tänapäevases reaalsuses on loogiline tõsta oma toodete ohutust, ei järgi kõik ettevõtted seda põhimõtet. Ettevõtted hakkavad mõtlema kaitsele pärast teatud toodete häkkimise (ja kasutajate surve) juhtumeid. Sellest küljest on näitlik Canoni põhjalik lähenemine kaitsemeetodite ja -meetmete rakendamisele.

Volitamata juurdepääs MFP-le

Väga sageli on kaitsmata MFP-d nii sisemiste rikkujate (siseringi) kui ka väliste rikkujate prioriteetsete sihtmärkide hulgas. Kaasaegses reaalsuses ei piirdu ettevõtte võrk ühe kontoriga, vaid hõlmab rühma osakondi ja kasutajaid erineva geograafilise asukohaga. Tsentraliseeritud dokumendivoog nõuab kaugjuurdepääsu ja MFP-de kaasamist ettevõtte võrku. Võrku ühendatud prindiseadmed kuuluvad asjade internetti, kuid nende kaitsele ei pöörata sageli piisavalt tähelepanu, mis toob kaasa kogu infrastruktuuri üldise haavatavuse.

Seda tüüpi ohu eest kaitsmiseks on võetud järgmised meetmed:

  • IP- ja MAC-aadressi filter – konfigureerige, et võimaldada sidet ainult seadmetega, millel on kindel IP- või MAC-aadress. See funktsioon reguleerib andmeedastust nii võrgu sees kui ka väljaspool seda.
  • Puhverserveri konfiguratsioon – tänu sellele funktsioonile saate delegeerida MFP ühenduste juhtimise puhverserverile. See funktsioon on soovitatav, kui ühendate seadmeid väljaspool ettevõtte võrku.
  • IEEE 802.1X autentimine on veel üks kaitse selliste seadmete ühendamise eest, mida autentimisserver pole volitanud. Volitamata juurdepääsu blokeerib LAN-lüliti.
  • Ühendus IPSeci kaudu – kaitseb võrgu kaudu edastatavate IP-pakettide pealtkuulamise või dekrüpteerimise katsete eest. Soovitatav on kasutada koos täiendava TLS-side krüptimisega.
  • Sadamahaldus – mõeldud kaitsma ründajatele siseringi abi eest. See funktsioon vastutab pordi parameetrite konfigureerimise eest vastavalt turvapoliitikale.
  • Sertifikaatide automaatne registreerimine – see funktsioon annab süsteemiadministraatoritele mugava tööriista turvasertifikaatide automaatseks väljastamiseks ja uuendamiseks.
  • Wi-Fi Direct – see funktsioon on mõeldud turvaliseks printimiseks mobiilseadmetest. Selleks ei pea mobiilseade olema ühendatud ettevõtte võrku. Wi-Fi otseühenduse abil luuakse seadme ja MFP vahel kohalik võrdõigusühendus.
  • Logi monitooring – kõik MFP kasutamisega seotud sündmused, sh blokeeritud ühendusepäringud, salvestatakse erinevatesse süsteemilogidesse reaalajas. Kirjeid analüüsides saate tuvastada võimalikke ja olemasolevaid ohte, koostada ennetava turvapoliitika ning viia läbi eksperthinnangu juba toimunud infolekete kohta.
  • Seadme krüptimine – see suvand krüpteerib prinditööd, kui need saadetakse kasutaja arvutist multifunktsionaalsesse printerisse. Samuti saate skannitud PDF-i andmeid krüptida, lubades laiaulatusliku turvafunktsioonide komplekti.
  • Külalisprintimine mobiilseadmetest. Turvaline võrguprintimise ja skannimise haldustarkvara kõrvaldab levinumad mobiili- ja külalisprintimisega seotud turbeprobleemid, pakkudes prinditööde esitamiseks väliseid meetodeid, nagu meil, veebis ja mobiilirakenduses. See tagab, et MFP töötab turvalisest allikast, vähendades häkkimise tõenäosust.

"Selliste seadmete jagamisega kaasneb lisaks mugavusele ja kulude vähendamisele ka oht juurdepääsuks kolmandate isikute teabele. Seda saavad kasutada mitte ainult ründajad, vaid ka hoolimatud töötajad isikliku kasu saamiseks või siseteabe hankimiseks. Ja töödeldava teabe suur potentsiaal – tehnoloogilistest saladustest finantsdokumentatsioonini – on rünnaku või ebaseadusliku kasutamise puhul oluline prioriteet.

Uue platvormi imageRUNNER ADVANCE platvormi uus versioon on võimalus ühendada printimisseadmed kahte võrku. See on väga mugav, kui MFP-d kasutatakse samaaegselt ettevõtte ja külalisrežiimis.

Andmete kaitsmine kõvakettal

Teie multifunktsionaalne printer sisaldab alati suurt hulka andmeid, mida tuleb kaitsta – alates järjekorras olevatest prinditöödest kuni vastuvõetud fakside, skannitud piltide, aadressiraamatute, tegevuste logide ja tööde ajalooni.

Tegelikult on ketas vaid ajutine salvestusruum ja teabe hoidmine sellel kauem kui vajalik suurendab ettevõtte turvasüsteemi haavatavust. Selle vältimiseks saate seadistustes määrata kõvaketta puhastamise ajakava. Lisaks sellele, et prinditööd kustutatakse kohe pärast lõpetamist või printimise ebaõnnestumisel, saab jääkandmete kustutamiseks ajakava järgi kustutada ka muid faile.

“Kahjuks on isegi paljud IT-spetsialistid kõvaketta rollist tänapäevastes trükiseadmetes halvasti teadlikud. Kõvaketta olemasolu võib oluliselt lühendada ettevalmistava printimisetapi kestust. Kõvakettad salvestavad tavaliselt süsteemiteavet, graafilisi faile ja rasterdatud pilte koopiate printimiseks. Lisaks MFP-de ebaõigele utiliseerimisele ja andmete lekkimise võimalusele on võimalik kõvaketas analüüsiks lahti võtta/vargus või läbi viia spetsiaalseid rünnakuid andmete väljafiltreerimiseks, kasutades näiteks Printer Exploitation Toolkiti.

Canoni seadmed pakuvad mitmesuguseid tööriistu teie andmete kaitsmiseks kogu seadme elutsükli jooksul, säilitades samal ajal nende konfidentsiaalsuse, terviklikkuse ja kättesaadavuse.
Suurt tähelepanu pööratakse kõvakettal olevate andmete kaitsmisele. Sinna salvestatud teave võib olla erineva konfidentsiaalsusastmega. Seetõttu kasutatakse HDD-krüptimist platvormi imageRUNNER ADVANCE uue versiooni 26 erinevas seerias kõigis 7 seadmemudelis. See vastab USA valitsuse FIPS 140-2 Level 2 turvastandardile, samuti Jaapani samaväärsele JCVMP-le.

«Oluline on infole juurdepääsu süsteem, mis arvestab kasutajarolle ja ligipääsutasemeid. Näiteks on paljudes ettevõtetes töötajate vahel palgaarutelu rangelt keelatud ning palgalehtede või lisatasude kohta info lekkimine võib meeskonnas esile kutsuda tõsise konflikti. Kahjuks tean selliseid juhtumeid, ühes neist viis see sellise lekke eest vastutava töötaja vallandamiseni.

  • Kõvaketta krüptimine. imageRUNNER ADVANCE seadmed krüpteerivad kõik kõvakettal olevad andmed turvalisuse suurendamiseks.
  • Kõvaketta puhastamine. Mõned andmed, näiteks kopeeritud või skannitud andmed või arvutist prinditud dokumendiandmed, salvestatakse printeri kõvakettale piiratud aja jooksul ja kustutatakse pärast töö lõpetamist.
  • Kõigi andmete ja parameetrite lähtestamine. Andmete kadumise vältimiseks kõvaketta vahetamisel või utiliseerimisel saate kõik kõvakettal olevad dokumendid ja andmed üle kirjutada ning seejärel lähtestada sätted vaikeväärtustele.
  • Varunda kõvaketast. Nüüd on ettevõtetel võimalus varundada andmeid seadme kõvakettalt valikulisele kõvakettale. Varundamisel krüpteeritakse mõlemal kõvakettal olevad andmed täielikult.
  • Eemaldatav kõvaketta komplekt. See suvand võimaldab teil eemaldada kõvaketta seadmest turvaliseks salvestamiseks ajal, mil seadet ei kasutata.

Kriitiliste andmete lekkimine

Kõik ettevõtted tegelevad konfidentsiaalsete dokumentidega nagu lepingud, lepingud, raamatupidamisdokumendid, kliendiandmed, arendusosakonna plaanid ja palju muud. Kui sellised dokumendid satuvad valedesse kätesse, võivad tagajärjed ulatuda maine kahjustamisest kuni suurte trahvide või isegi kohtuasjadeni. Ründajad võivad saada kontrolli ettevõtte varade, siseteabe või konfidentsiaalse teabe üle.

"Väärtuslikku teavet ei varasta ainult konkurendid või petturid. Sageli tuleb ette juhtumeid, kui töötajad otsustavad oma äri arendada või salaja lisaraha teenida, müües teavet väljapoole. Sellistes olukordades saab printerist nende peamine abiline. Igasugust andmeedastust ettevõtte sees on lihtne jälgida. Lisaks pole tavatöötajatel juurdepääs väärtuslikule teabele. Ja mis saaks olla tavalisele juhile lihtsam, kui varastada jõude lebav väärtuslik dokument? Selle ülesandega saab hakkama igaüks. Trükitud dokumente ei pea isegi alati organisatsioonist väljapoole viima. Piisab, kui kiiresti hea kaameraga telefoniga jõude seisvaid materjale pildistada.

MFP turvalisuse uus tase: imageRUNNER ADVANCE III

Canon pakub erinevaid turvalahendusi, mis aitavad teil kaitsta tundlikke dokumente kogu nende elutsükli jooksul.

Trükitud dokumentide konfidentsiaalsus

Kasutaja saab määrata printimise PIN-koodi nii, et dokument hakkab trükkima alles pärast õige PIN-koodi sisestamist seadmesse. See võimaldab teil kaitsta konfidentsiaalseid dokumente.

„Kasutajate mugavuse huvides võib MFP-sid sageli näha organisatsiooni avalikult juurdepääsetavates piirkondades. Need võivad olla saalid ja koosolekuruumid, koridorid ja vastuvõtualad. Ainult identifikaatorite (PIN-koodid, kiipkaardid) kasutamine tagab teabe turvalisuse kasutaja juurdepääsutaseme kontekstis. Märkimisväärsed juhtumid olid siis, kui kasutajad said juurdepääsu varem saadetud dokumentidele, passide skaneeringutele jne. ebapiisavate kontrollide ja andmete puhastamise funktsioonide puudumise tõttu.

Seadmes imageRUNNER ADVANCE saab administraator peatada kõik esitatud prinditööd, nõudes kasutajatel printimiseks sisselogimist, kaitstes sellega kõigi prinditavate materjalide privaatsust.

Prinditöid või skannitud dokumente saab salvestada postkastidesse, et neile igal ajal hõlpsasti juurde pääseda. Postkaste saab kaitsta PIN-koodiga, et nende sisule pääseksid ligi ainult määratud kasutajad. Kasutage seda oma seadme turvalist ruumi sageli prinditavate dokumentide (nt kirjaplankide ja vormide) hoidmiseks, mis nõuavad hoolikat käsitsemist.

Täielik kontroll dokumentide ja fakside saatmise üle

Teabelekke ohu vähendamiseks saavad administraatorid piirata juurdepääsu erinevatele adressaatidele, näiteks neile, kes ei ole LDAP-serveri aadressiraamatus, ei ole süsteemis või kindlas domeenis registreeritud.

Et vältida dokumentide saatmist valedele adressaatidele, peate keelama e-posti aadresside automaatse täitmise.

PIN-koodi määramine kaitseks kaitseb seadme aadressiraamatut volitamata juurdepääsu eest.

Faksinumbri uuesti sisestamise nõue takistab dokumentide saatmist valedele adressaatidele.

Dokumentide ja fakside kaitsmine konfidentsiaalses kaustas või PIN-koodis säilitab dokumendid turvaliselt mällu, ilma et peaksite neid printima.

Dokumendi allika ja autentsuse kontrollimine

Skannitud PDF- või XPS-dokumentidele saab võtme ja sertifitseerimismehhanismi abil lisada seadme allkirja, et adressaat saaks kontrollida dokumendi allikat ja autentsust.

"Elektroonilises dokumendis on selle nõue elektrooniline digitaalallkiri (EDS), mis on loodud selle elektroonilise dokumendi kaitsmiseks võltsimise eest ja võimaldab tuvastada allkirjavõtme sertifikaadi omanikku, samuti tuvastada teabe moonutamise puudumist dokumendis. elektrooniline dokument. See tagab edastatava dokumendi ohutuse ja selle omaniku täpse tuvastamise, mis aitab säilitada teabe usaldusväärsust.“

Kasutaja allkiri võimaldab saata PDF- või XPS-faile kasutaja ainulaadse digitaalallkirjaga, mis on saadud sertifitseerimisettevõttest. Nii saab saaja kontrollida, kes dokumendile alla kirjutas.

Integratsioon programmiga ADOBE LIFECYCLE MANAGEMENT ES

Kasutajad saavad PDF-faile kaitsta ning rakendada neile järjepidevaid ja dünaamilisi eeskirju, et kontrollida juurdepääsu- ja kasutusõigusi ning kaitsta konfidentsiaalset ja väärtuslikku teavet tahtmatu või pahatahtliku avalikustamise eest. Turvapoliitikat säilitatakse serveri tasemel, nii et õigusi saab muuta ka pärast faili levitamist. ImageRUNNER ADVANCE seeria seadmeid saab konfigureerida integreerima Adobe ES-iga.

Turvaline printimine rakendusega uniFLOW MyPrintAnywhere võimaldab saata prinditöid universaalse draiveri kaudu ja printida need mis tahes võrgus olevale printerile.

Duplikaatide vältimine

Draiverid võimaldavad printida lehele nähtavad märgised, mis ilmuvad dokumendi sisu peale. Seda saab kasutada töötajate teavitamiseks dokumendi konfidentsiaalsusest ja selle kopeerimise vältimiseks.

Printimine/kopeerimine nähtamatute vesimärkidega – Dokumendid prinditakse või kopeeritakse nii, et taustal on peidetud tekst, mis ilmub duplikaadi loomisel ja toimib hoiatavalt.

NTware'i (osa Canoni kontsernist) uniFLOW tarkvara võimalused pakuvad täiendavaid tõhusaid tööriistu dokumentide turvalisuse tagamiseks.
UniFLOW kasutamine koos iW SAM Expressiga võimaldab teil digiteerida ja arhiveerida printerisse saadetud või seadmest saadud dokumente, samuti analüüsida tekstiandmeid ja atribuute turvaohtudele reageerimisel.

Jälgige dokumendi allikat manustatud koodi abil.

Dokumendi skannimise blokeerimine – see suvand manustab prinditud dokumentidesse ja koopiatesse peidetud koodi, mis takistab nende edasist kopeerimist seadmes, milles see funktsioon on lubatud. Administraator saab seda valikut kasutada kõigi või ainult kasutaja valitud tööde puhul. Manustamiseks on saadaval TL- ja QR-koodid.

„Testide ja imageRUNNER ADVANCE III tehnoloogia funktsionaalsusega tutvumise tulemusena saime kinnitada elementaarset vastavust kaasaegsetele IT-turvapoliitikatele. Ülaltoodud kaitsemeetmed vastavad põhilistele turvanõuetele ja võivad minimeerida infoturbe rikkumiste riske.

Uusimad imageRUNNER ADVANCE seadmed on varustatud turvapoliitika funktsiooniga, mis võimaldab administraatoril hallata kõiki turbesätteid ühes menüüs ja neid enne seadme konfiguratsioonina rakendamist redigeerida. Pärast rakendamist peavad seadme kasutamine ja seadete muudatused olema kooskõlas selle reegliga. Turvapoliitikat saab täiendava kontrolli ja kaitse tagamiseks kaitsta eraldi parooliga ning sellele pääseb ligi ainult vastutav IT-turvaspetsialist.

"Tuleb leida ja säilitada tasakaal turvalisuse ja mugavuse vahel, kasutades info kaitsmiseks targalt tehnoloogilisi edusamme ja tehnilisi lahendusi, kasutada kvalifitseeritud töötajaid ja oskuslikult juhtida ettevõtte turvalisuse tagamiseks ette nähtud vahendeid."

Abi materjali ettevalmistamisel - Luka Safonov, praktilise labori juhataja
turvaanalüüs, Jet Information Systems.

Küsitluses saavad osaleda ainult registreerunud kasutajad. Logi sissepalun.

Kui terviklik on teie lähenemine ettevõtte turvalisusele?

  • Ettevõtte turvapoliitika kehtib multifunktsionaalsete seadmete pargile

  • Ettevõtte prindiseadmete park tagab kasutajate isiklike seadmete turvalise kasutamise

  • Ettevõte tagab, et printimise infrastruktuur on ajakohane ning paigad ja värskendused installitakse õigeaegselt ja tõhusalt

  • Ettevõtte külalised saavad printida ja skannida ettevõtte võrku ohtu seadmata

  • Ettevõtte IT-osakonnal on piisavalt aega turvaküsimustega tegelemiseks

  • Ettevõte on leidnud tasakaalu turvalisuse tagamise ja seadmete kasutusmugavuse vahel

2 kasutajat hääletas. Erapooletuid ei ole.

Allikas: www.habr.com

Lisa kommentaar