ProHoster > Blog > administration > Nouveau niveau de sécurité du MFP : imageRUNNER ADVANCE III

Nouveau niveau de sécurité du MFP : imageRUNNER ADVANCE III

Nouveau niveau de sécurité du MFP : imageRUNNER ADVANCE III

Avec l’augmentation des fonctions intégrées, les multifonctions de bureau vont depuis longtemps au-delà de la simple numérisation/impression. Aujourd'hui, ils sont devenus des appareils indépendants à part entière, intégrés dans des réseaux locaux et mondiaux de haute technologie, connectant les utilisateurs et les organisations non seulement au sein d'un même bureau, mais dans le monde entier.

Dans cet article, en collaboration avec Luka Safonov, expert pratique en sécurité de l'information Louka Safonov Examinons les principales menaces qui pèsent sur les MFP de bureau modernes et les moyens de les prévenir.

Les équipements de bureau modernes disposent de leurs propres disques durs et systèmes d'exploitation, grâce auxquels les MFP peuvent effectuer un large éventail de tâches de gestion de documents de manière indépendante, soulageant ainsi la charge des autres appareils. Cependant, un équipement technique aussi élevé présente également un inconvénient. Étant donné que les MFP participent activement à la transmission des données sur le réseau, sans protection adéquate, ils deviennent des vulnérabilités dans l'ensemble de l'environnement réseau de l'organisation. La sécurité de tout système est déterminée par le degré de protection du maillon le plus faible. Par conséquent, tous les coûts liés aux mesures de protection des serveurs et des ordinateurs d'entreprise n'ont plus de sens s'il reste une faille pour un attaquant via le MFP. Comprenant le problème de la protection des informations confidentielles, les développeurs de Canon ont augmenté le niveau de sécurité de la troisième version de la plateforme imageRUNNER AVANCÉ, qui sera discuté dans l'article.

Principales menaces

Il existe plusieurs risques potentiels associés à l’utilisation des MFP dans les organisations :

  • Piratage du système via un accès non autorisé au MFP et utilisation comme « point de référence » ;
  • Utiliser des MFP pour exfiltrer les données des utilisateurs ;
  • Interception de données lors de l'impression ou de la numérisation ;
  • Accès aux données des personnes sans autorisation appropriée ;
  • Accès aux informations confidentielles imprimées ou numérisées ;
  • Accédez aux données sensibles sur les appareils en fin de vie.
  • Envoi de documents par fax ou e-mail à une adresse incorrecte, intentionnellement ou suite à une faute de frappe ;
  • Visualisation non autorisée d'informations confidentielles stockées sur des MFP non protégés ;
  • Une pile partagée de travaux imprimés appartenant à différents utilisateurs.

« En effet, les MFP modernes recèlent souvent un énorme potentiel pour un attaquant. Notre expérience de projet montre que les appareils non configurés, ou les appareils sans niveau de protection approprié, offrent aux attaquants une énorme opportunité d'étendre ce qu'on appelle. "surface d'attaque". Il s'agit d'obtenir une liste de comptes, l'adressage réseau, la possibilité d'envoyer des messages électroniques et bien plus encore. Essayons de savoir si les solutions proposées par Canon sont capables de neutraliser ces menaces.

Pour chaque type de vulnérabilité, la nouvelle plateforme imageRUNNER ADVANCE propose toute une gamme de mesures complémentaires offrant une protection multi-niveaux. Il est à noter que le développement a nécessité une approche spécifique en raison des particularités du fonctionnement du MFP. Lors de l’impression et de la numérisation de documents, les informations passent du numérique à l’analogique ou vice versa. Chacun de ces types d’informations nécessite des méthodes fondamentalement différentes pour assurer leur protection. Habituellement, à la jonction des technologies, en raison de leur hétérogénéité, se forme le lieu le plus vulnérable.

« Les MFP sont souvent des proies faciles, tant pour les pentesters que pour les attaquants. En règle générale, cela est dû à une attitude négligente dans la configuration de ces appareils et à leur disponibilité relativement facile, tant dans l'environnement de bureau que dans l'infrastructure réseau. L'un des cas les plus récents est une attaque révélatrice survenue le 29 novembre 2018, lorsqu'un utilisateur de Twitter sous le pseudonyme TheHackerGiraffe a « piraté » plus de 50 000 imprimantes réseau et imprimé dessus des tracts appelant les gens à s'abonner à la chaîne YouTube d'un certains PewDiePie. Sur Reddit, TheHackerGiraffe a déclaré qu'il pouvait compromettre plus de 800 000 appareils, mais s'est limité à seulement 50 000. Dans le même temps, le hacker a souligné que le principal problème est qu'il n'avait jamais rien fait de tel auparavant, mais que tous les préparatifs et les le hack lui-même ne lui a pris qu'une demi-heure".

Lorsque Canon développe des technologies, des produits et des services, nous prenons en compte leur impact potentiel sur les environnements de travail des clients. C'est pourquoi les imprimantes multifonctions de bureau Canon sont dotées d'une large gamme de fonctionnalités de sécurité intégrées et en option pour aider les entreprises de toutes tailles à atteindre le niveau de sécurité dont elles ont besoin.

Nouveau niveau de sécurité du MFP : imageRUNNER ADVANCE III

Canon dispose de l'un des régimes de tests de sécurité les plus stricts de l'ensemble du secteur des équipements de bureau. Les technologies utilisées dans les appareils sont testées pour vérifier leur conformité aux normes de l'entreprise. Une grande attention est accordée aux contrôles de sécurité avec des examens à jour, dont les résultats ont reçu des retours positifs sur le fonctionnement des appareils de la part de sociétés telles que Kaspersky Lab, COMLOGIC, TerraLink et JTI Russie et d'autres.

« Bien que dans les réalités modernes, il soit logique d'augmenter la sécurité de leurs produits, toutes les entreprises ne suivent pas ce principe. Les entreprises commencent à réfléchir à la protection après des incidents de piratage (et de pression des utilisateurs) de certains produits. De ce point de vue, l’approche approfondie de Canon dans la mise en œuvre de méthodes et de mesures de protection est révélatrice.

Accès non autorisé au MFP

Très souvent, les MFP non protégés font partie des cibles prioritaires des contrevenants internes (initiés) et externes. Dans les réalités modernes, un réseau d'entreprise ne se limite pas à un seul bureau, mais comprend un groupe de services et d'utilisateurs situés dans des emplacements géographiques différents. Le flux de documents centralisé nécessite un accès à distance et l'inclusion des MFP dans le réseau de l'entreprise. Les appareils d'impression en réseau font partie de l'Internet des objets, mais leur protection ne reçoit souvent pas l'attention voulue, ce qui entraîne une vulnérabilité globale de l'ensemble de l'infrastructure.

Pour se prémunir contre ce type de menace, les mesures suivantes ont été mises en œuvre :

  • Filtre d'adresses IP et MAC – configurez pour autoriser la communication uniquement avec des appareils dotés d'adresses IP ou MAC spécifiques. Cette fonction régule le transfert de données à la fois au sein du réseau et à l'extérieur de celui-ci.
  • Configuration du serveur proxy - grâce à cette fonction, vous pouvez déléguer le contrôle des connexions MFP à un serveur proxy. Cette fonctionnalité est recommandée lors de la connexion à des appareils en dehors du réseau d'entreprise.
  • L'authentification IEEE 802.1X est une autre protection contre la connexion de périphériques non autorisés par le serveur d'authentification. Les accès non autorisés sont bloqués par le commutateur LAN.
  • Connexion via IPSec – protège contre les tentatives d'interception ou de déchiffrement des paquets IP transmis sur le réseau. Il est recommandé de l'utiliser avec un cryptage de communication TLS supplémentaire.
  • Gestion des ports - conçue pour protéger contre l'assistance interne aux attaquants. Cette fonction est chargée de configurer les paramètres du port conformément à la politique de sécurité.
  • Inscription automatique des certificats – Cette fonctionnalité offre aux administrateurs système un outil pratique pour émettre et renouveler automatiquement les certificats de sécurité.
  • Wi-Fi direct – cette fonction est conçue pour l’impression sécurisée à partir d’appareils mobiles. Pour ce faire, l'appareil mobile n'a pas besoin d'être connecté au réseau d'entreprise. Grâce au Wi-Fi direct, une connexion peer-to-peer locale entre l'appareil et le MFP est créée.
  • Surveillance des journaux – tous les événements liés à l'utilisation du MFP, y compris les demandes de connexion bloquées, sont enregistrés dans divers journaux système en temps réel. En analysant les enregistrements, vous pouvez détecter les menaces potentielles et existantes, élaborer une politique de sécurité préventive et mener une évaluation experte des fuites d'informations déjà survenues.
  • Cryptage du périphérique : cette option crypte les tâches d'impression lorsqu'elles sont envoyées du PC de l'utilisateur à l'imprimante multifonction. Vous pouvez également crypter les données PDF numérisées en activant un ensemble complet de fonctionnalités de sécurité.
  • Impression invité à partir d’appareils mobiles. Le logiciel de gestion d'impression et de numérisation en réseau sécurisé élimine les problèmes de sécurité courants associés à l'impression mobile et invité en fournissant des méthodes externes pour soumettre des travaux d'impression telles que le courrier électronique, le Web et l'application mobile. Cela garantit que le MFP fonctionne à partir d'une source sécurisée, minimisant ainsi le risque de piratage.

« Le partage de tels appareils, outre la commodité et la réduction des coûts, comporte également des risques d'accès à des informations de tiers. Cela peut être utilisé non seulement par des attaquants, mais également par des employés sans scrupules pour obtenir un avantage personnel ou obtenir des informations privilégiées. Et le grand potentiel des informations traitées – des secrets technologiques à la documentation financière – constitue une priorité importante en matière d’attaque ou d’utilisation illégitime.

La nouveauté de la nouvelle version de la plateforme imageRUNNER ADVANCE est la possibilité de connecter des périphériques d'impression à deux réseaux. Ceci est très pratique lorsque le MFP est utilisé simultanément en mode entreprise et invité.

Protection des données du disque dur

Votre imprimante multifonction contient toujours une grande quantité de données qui doivent être protégées : des tâches d'impression en file d'attente aux télécopies reçues, en passant par les images numérisées, les carnets d'adresses, les journaux d'activité et l'historique des tâches.

En fait, le disque n'est qu'un stockage temporaire, et le fait d'y conserver des informations plus longtemps que nécessaire augmente la vulnérabilité du système de sécurité de l'entreprise. Pour éviter que cela ne se produise, vous pouvez définir un programme de nettoyage du disque dur dans les paramètres. Outre le fait que les travaux d'impression sont effacés immédiatement après leur achèvement ou en cas d'échec de l'impression, d'autres fichiers peuvent être supprimés selon un calendrier pour effacer les données résiduelles.

« Malheureusement, même de nombreux professionnels de l'informatique connaissent mal le rôle du disque dur dans les appareils d'impression modernes. La présence d'un disque dur peut réduire considérablement la durée de l'étape préparatoire d'impression. Les disques durs stockent généralement des informations système, des fichiers graphiques et des images tramées pour l'impression de copies. En plus de l'élimination inappropriée des MFP et de la possibilité de fuite de données, il existe la possibilité de démonter/voler le disque dur pour analyse, ou de mener des attaques spécialisées pour exfiltrer les données, par exemple en utilisant le Printer Exploitation Toolkit.

Les appareils Canon offrent une gamme d'outils pour protéger vos données tout au long de leur cycle de vie, tout en préservant leur confidentialité, leur intégrité et leur disponibilité.
Une grande attention est accordée à la protection des données sur le disque dur. Les informations qui y sont stockées peuvent avoir différents degrés de confidentialité. Par conséquent, le cryptage du disque dur est utilisé sur les 26 modèles d'appareils au sein de 7 séries différentes de la nouvelle version de la plateforme imageRUNNER ADVANCE. Il est conforme à la norme de sécurité FIPS 140-2 niveau 2 du gouvernement américain, ainsi qu'à l'équivalent japonais JCVMP.

« Il est important de disposer d'un système d'accès à l'information qui tienne compte des rôles des utilisateurs et des niveaux d'accès. Par exemple, dans de nombreuses entreprises, la discussion sur les salaires entre salariés est strictement interdite, et une fuite de fiches de salaire ou d'informations sur les primes peut provoquer de graves conflits au sein de l'équipe. Malheureusement, je connais de tels cas, dans l’un d’eux cela a conduit au licenciement de l’employé responsable de ce genre de fuite.

  • Cryptage du disque dur. Les appareils imageRUNNER ADVANCE chiffrent toutes les données de votre disque dur pour une sécurité accrue.
  • Nettoyage du disque dur. Certaines données, telles que les données copiées ou numérisées, ou les données de documents imprimées à partir d'un ordinateur, sont stockées sur le disque dur de l'imprimante pendant une durée limitée et sont supprimées une fois la tâche terminée.
  • Initialisation de toutes les données et paramètres. Pour éviter la perte de données lors du remplacement ou de la mise au rebut de votre disque dur, vous pouvez écraser tous les documents et données du disque dur, puis réinitialiser les paramètres à leurs valeurs par défaut.
  • Sauvegarde du disque dur. Les entreprises ont désormais la possibilité de sauvegarder les données du disque dur de l'appareil sur un disque dur en option. Lors de la sauvegarde, les données des deux disques durs sont entièrement cryptées.
  • Kit disque dur amovible. Cette option vous permet de retirer le disque dur de l'appareil pour un stockage sécurisé lorsque l'appareil n'est pas utilisé.

Fuite de données critiques

Toutes les entreprises traitent des documents confidentiels tels que des contrats, des accords, des documents comptables, des données clients, des plans de département de développement et bien plus encore. Si de tels documents tombent entre de mauvaises mains, les conséquences peuvent aller d’une atteinte à la réputation à de lourdes amendes, voire à des poursuites judiciaires. Les attaquants peuvent prendre le contrôle des actifs de l’entreprise, des informations privilégiées ou confidentielles.

« Ce ne sont pas seulement les concurrents ou les escrocs qui volent des informations précieuses. Il arrive souvent que des employés décident de développer leur propre entreprise ou de gagner secrètement de l'argent supplémentaire en vendant des informations à l'extérieur. Dans de telles situations, l’imprimeur devient leur principal assistant. Tout transfert de données au sein de l’entreprise est facile à suivre. De plus, ce ne sont pas les employés ordinaires qui ont accès à des informations précieuses. Et quoi de plus simple pour un gestionnaire ordinaire que de voler un document précieux qui reste inutilisé ? N'importe qui peut faire face à cette tâche. Il n’est même pas toujours nécessaire de sortir les documents imprimés de l’organisation. Il suffit de prendre rapidement une photo des matériaux qui traînent au ralenti sur un téléphone doté d’un bon appareil photo.

Nouveau niveau de sécurité du MFP : imageRUNNER ADVANCE III

Canon propose une gamme de solutions de sécurité pour vous aider à protéger les documents sensibles tout au long de leur cycle de vie.

Confidentialité des documents imprimés

L'utilisateur peut définir un code PIN d'impression afin que le document ne commence à s'imprimer qu'après avoir saisi le code PIN correct sur l'appareil. Cela vous permet de protéger les documents confidentiels.

« Les MFP peuvent souvent être vus dans les zones accessibles au public d'une organisation pour la commodité des utilisateurs. Il peut s'agir de halls et de salles de réunion, de couloirs et d'espaces de réception. Seule l'utilisation d'identifiants (codes PIN, cartes à puce) garantira la sécurité des informations dans le cadre du niveau d'accès des utilisateurs. Des cas notables sont ceux où les utilisateurs ont eu accès à des documents précédemment envoyés, à des scans de passeports, etc. en raison de contrôles inadéquats et du manque de fonctions de nettoyage des données.

Sur le périphérique imageRUNNER ADVANCE, l'administrateur peut suspendre tous les travaux d'impression soumis, obligeant les utilisateurs à se connecter pour imprimer, protégeant ainsi la confidentialité de tous les documents imprimés.

Les travaux d'impression ou les documents numérisés peuvent être stockés dans des boîtes aux lettres pour un accès facile à tout moment. Les boîtes aux lettres peuvent être protégées par un code PIN pour garantir que seuls les utilisateurs désignés peuvent accéder à leur contenu. Utilisez cet espace sécurisé sur votre appareil pour stocker des documents fréquemment imprimés (tels que des en-têtes et des formulaires) qui nécessitent une manipulation minutieuse.

Contrôle total sur l'envoi de documents et de fax

Pour réduire le risque de fuite d'informations, les administrateurs peuvent restreindre l'accès à différents destinataires, par exemple ceux qui ne figurent pas dans le carnet d'adresses du serveur LDAP, qui ne sont pas enregistrés dans le système ou sur un domaine spécifique.

Pour éviter que les documents ne soient envoyés à des destinataires incorrects, vous devez désactiver la saisie automatique des adresses e-mail.

La définition d'un code PIN pour la protection protégera le carnet d'adresses de l'appareil contre tout accès utilisateur non autorisé.

Demander aux utilisateurs de ressaisir le numéro de fax empêchera les documents d'être envoyés aux mauvais destinataires.

La protection des documents et des fax dans un dossier confidentiel ou un code PIN permettra de conserver les documents en mémoire en toute sécurité sans avoir à les imprimer.

Vérifier la source et l'authenticité d'un document

Une signature d'appareil peut être ajoutée aux documents PDF ou XPS numérisés à l'aide d'une clé et d'un mécanisme de certification afin que le destinataire puisse vérifier la source et l'authenticité du document.

« Dans un document électronique, une signature numérique électronique (EDS) est requise, conçue pour protéger ce document électronique contre la falsification et permet d'identifier le propriétaire du certificat de clé de signature, ainsi que d'établir l'absence de distorsion des informations dans le document électronique. Cela garantit la sécurité du document transmis et l’identification exacte de son propriétaire, ce qui contribue à maintenir la fiabilité de l’information.

La signature utilisateur vous permet d'envoyer des fichiers PDF ou XPS avec la signature numérique unique de l'utilisateur obtenue auprès d'une société de certification. De cette façon, le destinataire pourra vérifier qui a signé le document.

Intégration avec ADOBE LIFECYCLE MANAGEMENT ES

Les utilisateurs peuvent sécuriser les fichiers PDF et leur appliquer des politiques cohérentes et dynamiques pour contrôler les droits d'accès et d'utilisation, et protéger les informations confidentielles et précieuses contre toute divulgation accidentelle ou malveillante. Les politiques de sécurité sont maintenues au niveau du serveur, de sorte que les autorisations peuvent être modifiées même après la distribution du fichier. Les appareils de la série imageRUNNER ADVANCE peuvent être configurés pour s'intégrer à Adobe ES.

L'impression sécurisée avec uniFLOW MyPrintAnywhere vous permet d'envoyer des tâches d'impression via un pilote universel et de les imprimer sur n'importe quelle imprimante de votre réseau.

Prévenir les doublons

Les pilotes vous permettent d'imprimer des marquages ​​visibles sur la page qui apparaissent en haut du contenu du document. Cela peut être utilisé pour informer les collaborateurs sur la confidentialité du document et empêcher sa copie.

Imprimer/Copier avec des filigranes invisibles - Les documents seront imprimés ou copiés avec du texte caché intégré en arrière-plan, qui apparaîtra lorsqu'un duplicata est créé et aura un effet dissuasif.

Les capacités du logiciel uniFLOW de NTware (qui fait partie du groupe de sociétés Canon) fournissent des outils supplémentaires efficaces pour garantir la sécurité des documents.
L'utilisation d'uniFLOW en combinaison avec iW SAM Express vous permettra de numériser et d'archiver des documents envoyés à une imprimante ou reçus d'un périphérique, ainsi que d'analyser les données et attributs de texte lorsque vous répondez aux menaces de sécurité.

Suivez la source du document à l’aide du code intégré.

Blocage de la numérisation de documents – Cette option intègre un code caché dans les documents imprimés et les copies qui empêche leur copie ultérieure sur un appareil sur lequel cette fonctionnalité est activée. L'administrateur peut utiliser cette option pour tous les travaux ou uniquement pour les travaux sélectionnés par l'utilisateur. Les codes TL et QR sont disponibles pour l'intégration.

« Grâce aux tests et à la familiarisation avec les fonctionnalités de la technologie imageRUNNER ADVANCE III, nous avons pu confirmer la conformité de base avec les politiques de sécurité informatique modernes. Les mesures de protection ci-dessus répondent aux exigences de sécurité de base et peuvent minimiser les risques de violations de la sécurité des informations.

Les derniers appareils imageRUNNER ADVANCE sont équipés d'une fonction de politique de sécurité qui permet à l'administrateur de gérer tous les paramètres de sécurité dans un seul menu et de les modifier avant de les appliquer en tant que configuration de périphérique. Une fois appliquées, l’utilisation de l’appareil et les modifications apportées aux paramètres doivent être conformes à cette politique. La politique de sécurité peut être protégée par un mot de passe distinct pour fournir un contrôle et une protection supplémentaires et n'est accessible qu'au professionnel de la sécurité informatique responsable.

"Il est nécessaire de trouver et de maintenir un équilibre entre sécurité et commodité, en utilisant judicieusement les avancées technologiques et les solutions techniques pour protéger les informations, en faisant appel à du personnel qualifié et en gérant habilement les fonds fournis pour assurer la sécurité de l'entreprise."

Assistance à la préparation du matériel - Luka Safonov, responsable du Laboratoire Pratique
analyse de sécurité, Jet Information Systems.

Seuls les utilisateurs enregistrés peuvent participer à l'enquête. se connecters'il te plait.

Dans quelle mesure votre approche de la sécurité d’entreprise est-elle globale ?

  • La politique de sécurité de l'entreprise s'applique au parc d'appareils multifonctions

  • La flotte d'appareils d'impression de l'entreprise garantit une utilisation sûre des appareils personnels des utilisateurs

  • L'entreprise s'assure que l'infrastructure d'impression est à jour et que les correctifs et les mises à jour sont installés de manière rapide et efficace.

  • Les invités de l'entreprise peuvent imprimer et numériser sans mettre en danger le réseau de l'entreprise.

  • Le service informatique de l'entreprise dispose de suffisamment de temps pour résoudre les problèmes de sécurité

  • L'entreprise a trouvé un équilibre entre assurer la sécurité et la facilité d'utilisation des appareils

2 utilisateurs ont voté. Il n'y a pas d'abstention.

Source: habr.com

Ajouter un commentaire