ProHoster > Blog > Administración > Novo nivel de seguridade do MFP: imageRUNNER ADVANCE III

Novo nivel de seguridade do MFP: imageRUNNER ADVANCE III

Novo nivel de seguridade do MFP: imageRUNNER ADVANCE III

Co aumento das funcións integradas, as impresoras multifunción de oficina pasaron moito tempo da escaneado/impresión trivial. Agora convertéronse en dispositivos independentes de pleno dereito, integrados en redes locais e globais de alta tecnoloxía, que conectan usuarios e organizacións non só nunha oficina, senón en todo o mundo.

Neste artigo, xunto co experto práctico en seguridade da información Luka Safonov Luka Safonov Vexamos as principais ameazas para as modernas impresoras multifunción de oficina e as formas de evitalas.

Os equipos de oficina modernos teñen os seus propios discos duros e sistemas operativos, grazas aos cales os MFP poden realizar unha ampla gama de tarefas de xestión de documentos de forma independente, aliviando a carga doutros dispositivos. Non obstante, un equipamento tan técnico tan elevado tamén ten unha desvantaxe. Dado que os MFP participan activamente na transmisión de datos pola rede, sen unha protección adecuada convértense en vulnerabilidades en todo o entorno de rede da organización. A seguridade de calquera sistema está determinada polo grao de protección do elo máis débil. Polo tanto, calquera custo das medidas de protección para servidores e ordenadores empresariais carece de sentido se permanece unha brecha para un atacante a través do MFP. Entendendo o problema da protección da información confidencial, os desenvolvedores de Canon aumentaron o nivel de seguridade da terceira versión da plataforma imageRUNNER ADVANCE, que se comentará no artigo.

Principais ameazas

Existen varios riscos potenciais asociados co uso de MFP nas organizacións:

  • Hackeo do sistema mediante acceso non autorizado ao MFP e uso como "punto de referencia";
  • Usando MFP para extraer datos de usuarios;
  • Interceptación de datos ao imprimir ou dixitalizar;
  • Acceso aos datos de persoas sen a autorización adecuada;
  • Acceso a información confidencial impresa ou dixitalizada;
  • Acceda a datos confidenciais dos dispositivos que están ao final da súa vida útil.
  • Envío de documentos por fax ou correo electrónico a un enderezo incorrecto, intencionadamente ou como resultado dunha errata;
  • Visualización non autorizada de información confidencial almacenada en MFP sen protección;
  • Unha pila compartida de traballos impresos pertencentes a diferentes usuarios.

"De feito, os MFP modernos a miúdo conteñen un enorme potencial para un atacante. A nosa experiencia no proxecto demostra que os dispositivos sen configurar ou sen o nivel de protección adecuado ofrecen aos atacantes unha enorme oportunidade de expandir o chamado. "superficie de ataque". Isto está a obter unha lista de contas, enderezos de rede, a capacidade de enviar mensaxes de correo electrónico e moito máis. Intentemos descubrir se as solucións que ofrece Canon son capaces de neutralizar estas ameazas".

Para cada tipo de vulnerabilidade, a nova plataforma imageRUNNER ADVANCE ofrece toda unha serie de medidas complementarias que proporcionan protección multinivel. Cómpre sinalar que o desenvolvemento requiriu un enfoque específico debido ás peculiaridades do funcionamento do MFP. Ao imprimir e dixitalizar documentos, a información pasa de dixital a analóxico ou viceversa. Cada un destes tipos de información require métodos fundamentalmente diferentes para garantir a protección. Normalmente, na unión das tecnoloxías, pola súa heteroxeneidade, fórmase o lugar máis vulnerable.

"As MFP adoitan ser presas fáciles tanto para os pentes como para os atacantes. Como regra xeral, isto débese a unha actitude neglixente na configuración deste tipo de dispositivos e á súa dispoñibilidade relativamente sinxela, tanto no ambiente de oficina como na infraestrutura de rede. Un dos casos máis recentes é un ataque indicativo ocorrido o 29 de novembro de 2018, cando un usuario de Twitter baixo o pseudónimo de TheHackerGiraffe "pirateou" máis de 50 impresoras de rede e imprimiu folletos nelas pedindo que se subscriban á canle de YouTube dun certo PewDiePie. En Reddit, TheHackerGiraffe dixo que podía comprometer máis de 000 dispositivos, pero limitouse a só 800. Ao mesmo tempo, o hacker subliñou que o principal problema é que nunca antes fixera nada así, pero todos os preparativos e os o propio hackeo só levoulle media hora".

Cando Canon desenvolve tecnoloxías, produtos e servizos, consideramos o seu impacto potencial nos ambientes de traballo dos clientes. É por iso que as impresoras multifunción de oficina Canon inclúen unha ampla gama de funcións de seguridade integradas e opcionais para axudar ás empresas de todos os tamaños a acadar o nivel de seguridade que necesitan.

Novo nivel de seguridade do MFP: imageRUNNER ADVANCE III

Canon ten un dos réximes de probas de seguridade máis estritos de toda a industria de equipos de oficina. As tecnoloxías utilizadas nos dispositivos son probadas para cumprir cos estándares da empresa. Préstase moita atención ás comprobacións de seguridade con exames actualizados, cuxos resultados recibiron comentarios positivos sobre o funcionamento de dispositivos de empresas como Kaspersky Lab, COMLOGIC, TerraLink e JTI Rusia e outras.

“A pesar de que nas realidades modernas é lóxico aumentar a seguridade dos seus produtos, non todas as empresas seguen este principio. As empresas comezan a pensar na protección tras incidentes de piratería (e presión dos usuarios) de determinados produtos. Desde este lado, o enfoque exhaustivo de Canon para a implementación de métodos e medidas de protección é indicativo".

Acceso non autorizado ao MFP

Moitas veces, os MFP desprotexidos están entre os obxectivos prioritarios tanto dos infractores internos (insiders) como dos externos. Nas realidades modernas, unha rede corporativa non se limita a unha oficina, senón que inclúe un grupo de departamentos e usuarios con diferentes localizacións xeográficas. O fluxo de documentos centralizado require acceso remoto e inclusión de MFP na rede corporativa. Os dispositivos de impresión en rede pertencen á Internet das cousas, pero moitas veces non se presta a atención debida á súa protección, o que leva á vulnerabilidade global de toda a infraestrutura.

Para protexerse contra este tipo de ameazas, puxéronse en práctica as seguintes medidas:

  • Filtro de enderezos IP e MAC: configure para permitir a comunicación só con dispositivos que teñan enderezos IP ou MAC específicos. Esta función regula a transferencia de datos tanto dentro como fóra dela.
  • Configuración do servidor proxy: grazas a esta función, pode delegar o control das conexións do MFP nun servidor proxy. Recoméndase esta función cando se conecta a dispositivos fóra da rede corporativa.
  • A autenticación IEEE 802.1X é outra protección contra a conexión de dispositivos que non estean autorizados polo servidor de autenticación. O conmutador de LAN bloquea o acceso non autorizado.
  • Conexión mediante IPSec: protexe contra intentos de interceptar ou descifrar paquetes IP transmitidos pola rede. Recoméndase usar con cifrado de comunicación TLS adicional.
  • Xestión de portos: deseñada para protexer contra a asistencia interna dos atacantes. Esta función encárgase de configurar os parámetros do porto de acordo coa política de seguridade.
  • Inscrición automática de certificados: esta función ofrece aos administradores do sistema unha ferramenta conveniente para emitir e renovar automaticamente certificados de seguridade.
  • Wi-Fi direct: unha función deseñada para imprimir de forma segura desde dispositivos móbiles. Para iso, o dispositivo móbil non precisa estar conectado á rede corporativa. Usando Wi-Fi directo, créase unha conexión punto a punto local entre o dispositivo e o MFP.
  • Monitorización de rexistros: todos os eventos relacionados co uso do MFP, incluídas as solicitudes de conexión bloqueadas, rexístranse en varios rexistros do sistema en tempo real. Ao analizar os rexistros, pode detectar ameazas potenciais e existentes, construír unha política de seguridade preventiva e realizar unha avaliación experta das fugas de información que xa se produciron.
  • Cifrado do dispositivo: esta opción cifra os traballos de impresión a medida que se envían desde o PC do usuario á impresora multifunción. Tamén pode cifrar os datos PDF dixitalizados activando un conxunto completo de funcións de seguranza.
  • Impresión de invitados desde dispositivos móbiles. O software de xestión de impresión e dixitalización segura en rede elimina os problemas de seguridade comúns asociados á impresión móbil e para invitados ao ofrecer métodos externos para enviar traballos de impresión, como correo electrónico, web e aplicacións móbiles. Isto garante que o MFP funcione desde unha fonte segura, minimizando a probabilidade de pirateo.

“O uso compartido deste tipo de dispositivos, ademais da comodidade e a redución de custos, tamén implica riscos de acceso a información de terceiros. Isto pode ser usado non só polos atacantes, senón tamén por empregados sen escrúpulos para obter beneficios persoais ou obter información privilegiada. E o gran potencial da información que se procesa -desde segredos tecnolóxicos ata documentación financeira- é unha prioridade importante para ataques ou usos ilexítimos".

A nova versión da plataforma imageRUNNER ADVANCE é a posibilidade de conectar dispositivos de impresión a dúas redes. Isto é moi cómodo cando o MFP se usa simultaneamente en modo corporativo e convidado.

Protexe os datos do teu disco duro

A súa impresora multifunción sempre contén unha gran cantidade de datos que deben ser protexidos, desde traballos de impresión en cola ata faxes recibidos, imaxes dixitalizadas, axendas de enderezos, rexistros de actividade e historial de traballos.

De feito, o disco é só almacenamento temporal, e manter a información nel durante máis tempo do necesario aumenta a vulnerabilidade do sistema de seguridade corporativo. Para evitar que isto suceda, pode establecer un calendario de limpeza do disco duro na configuración. Ademais do feito de que os traballos de impresión bótanse inmediatamente despois da súa finalización ou cando a impresión falla, pódense eliminar outros ficheiros segundo unha programación para borrar os datos residuais.

“Desafortunadamente, incluso moitos profesionais da TI son pouco conscientes do papel do disco duro nos dispositivos de impresión modernos. A presenza dun disco duro pode reducir significativamente a duración da fase de impresión preparatoria. Os discos duros adoitan almacenar información do sistema, ficheiros gráficos e imaxes rasterizadas para imprimir copias. Ademais da eliminación inadecuada dos MFP e a posibilidade de fuga de datos, existe a posibilidade de desmantelamento/roubo do disco duro para a súa análise, ou de realizar ataques especializados para extraer datos, por exemplo usando o Printer Exploitation Toolkit.

Os dispositivos Canon ofrecen unha serie de ferramentas para protexer os seus datos durante todo o ciclo de vida do dispositivo, mantendo a súa confidencialidade, integridade e dispoñibilidade.
Préstase moita atención á protección dos datos do disco duro. A información almacenada alí pode ter distintos graos de confidencialidade. Polo tanto, o cifrado de HDD úsase nos 26 modelos de dispositivos dentro de 7 series diferentes da nova versión da plataforma imageRUNNER ADVANCE. Cumpre co estándar de seguridade FIPS 140-2 de nivel 2 do goberno dos Estados Unidos, así como co equivalente xaponés JCVMP.

“É importante ter un sistema de acceso á información que teña en conta os roles dos usuarios e os niveis de acceso. Por exemplo, en moitas empresas, a discusión dos salarios entre os empregados está estrictamente prohibida e unha filtración de nóminas ou información sobre bonificacións pode provocar un grave conflito no equipo. Por desgraza, coñezo casos deste tipo, nun deles isto levou ao despedimento do empregado responsable deste tipo de fugas”.

  • Cifrado do disco duro. Os dispositivos imageRUNNER ADVANCE cifran todos os datos do teu disco duro para aumentar a seguridade.
  • Limpeza do disco duro. Algúns datos, como os datos copiados ou dixitalizados, ou os datos de documentos impresos desde un ordenador, gárdanse no disco duro da impresora durante un tempo limitado e elimínanse unha vez finalizado o traballo.
  • Inicialización de todos os datos e parámetros. Para evitar a perda de datos ao substituír ou eliminar o disco duro, pode sobrescribir todos os documentos e datos do disco duro e, a continuación, restablecer a configuración aos seus valores predeterminados.
  • Copia de seguridade do disco duro. As empresas agora teñen a posibilidade de facer unha copia de seguranza dos datos do disco duro do dispositivo nun disco duro opcional. Ao facer unha copia de seguranza, os datos dos dous discos duros están totalmente cifrados.
  • Kit de disco duro extraíble. Esta opción permítelle eliminar o disco duro do dispositivo para o almacenamento seguro mentres o dispositivo non estea en uso.

Fuga de datos críticos

Todas as empresas tratan con documentos confidenciais como contratos, acordos, documentos contables, datos de clientes, plans do departamento de desenvolvemento e moito máis. Se tales documentos caen en mans equivocadas, as consecuencias poden ir desde danos á reputación ata grandes multas ou mesmo demandas xudiciais. Os atacantes poden conseguir o control dos activos da empresa, información privilexiada ou confidencial.

"Non son só os competidores ou os estafadores os que rouban información valiosa. Moitas veces hai casos nos que os empregados deciden desenvolver o seu propio negocio ou gañan diñeiro extra en segredo vendendo información ao exterior. En tales situacións, a impresora convértese no seu asistente principal. Calquera transferencia de datos dentro da empresa é fácil de rastrexar. Ademais, non son os empregados comúns os que teñen acceso a información valiosa. E que podería ser máis doado para un xestor común que roubar un documento valioso que permanece ocioso? Calquera pode facer fronte a esta tarefa. Os documentos impresos nin sequera precisan ser levados fóra da organización. Basta con sacar unha foto rapidamente dos materiais que están inactivos nun teléfono cunha boa cámara".

Novo nivel de seguridade do MFP: imageRUNNER ADVANCE III

Canon ofrece unha gama de solucións de seguridade para axudarche a protexer os documentos sensibles durante todo o seu ciclo de vida.

Confidencialidade dos documentos impresos

O usuario pode configurar un PIN de impresión para que o documento comece a imprimir só despois de introducir o PIN correcto no dispositivo. Isto permítelle protexer os documentos confidenciais.

"As MFP pódense ver moitas veces en áreas accesibles ao público dunha organización para a comodidade dos usuarios. Poden ser salóns e salas de reunións, corredores e zonas de recepción. Só o uso de identificadores (códigos PIN, tarxetas intelixentes) garantirá a seguridade da información no contexto do nivel de acceso do usuario. Os casos destacables foron cando os usuarios accederon a documentos enviados previamente, escaneos de pasaportes, etc. como resultado de controis inadecuados e falta de funcións de limpeza de datos”.

No dispositivo imageRUNNER ADVANCE, o administrador pode poñer en pausa todos os traballos de impresión enviados, requirindo aos usuarios que inicien sesión para imprimir, protexendo así a privacidade de todos os materiais impresos.

Os traballos de impresión ou os documentos escaneados pódense almacenar en caixas de correo para facilitar o acceso en calquera momento. As caixas de correo pódense protexer cun código PIN para garantir que só os usuarios designados poidan acceder aos seus contidos. Use este espazo seguro do seu dispositivo para almacenar documentos impresos con frecuencia (como membretes e formularios) que requiren un manexo coidadoso.

Control total sobre o envío de documentos e faxes

Para reducir o risco de fuga de información, os administradores poden restrinxir o acceso a varios destinatarios, por exemplo aqueles que non están na axenda de enderezos do servidor LDAP, non rexistrados no sistema ou nun dominio específico.

Para evitar que os documentos se envíen a destinatarios incorrectos, debes desactivar o enchemento automático dos enderezos de correo electrónico.

Establecer un código PIN para a protección protexerá a axenda de enderezos do dispositivo contra o acceso de usuarios non autorizados.

Esixir aos usuarios que volvan introducir o número de fax evitará que os documentos se envíen aos destinatarios incorrectos.

A protección de documentos e faxes nun cartafol confidencial ou PIN manterá os documentos almacenados de forma segura na memoria sen ter que imprimilos.

Verificar a orixe e a autenticidade dun documento

Pódese engadir unha sinatura do dispositivo aos documentos PDF ou XPS dixitalizados mediante unha clave e un mecanismo de certificación para que o destinatario poida verificar a orixe e a autenticidade do documento.

“Nun documento electrónico, é o seu requisito unha sinatura dixital electrónica (EDS), deseñada para protexer este documento electrónico da falsidade e que permite identificar o propietario do certificado de clave de sinatura, así como establecer a ausencia de distorsión da información no documento. documento electrónico. Isto garante a seguridade do documento transmitido e a identificación exacta do seu propietario, o que axuda a manter a fiabilidade da información”.

A sinatura do usuario permítelle enviar ficheiros PDF ou XPS coa sinatura dixital única do usuario obtida dunha empresa de certificación. Deste xeito, o destinatario poderá comprobar quen asinou o documento.

Integración con ADOBE LIFECYCLE MANAGEMENT ES

Os usuarios poden protexer os ficheiros PDF e aplicarlles políticas coherentes e dinámicas para controlar o acceso e os dereitos de uso, e protexer a información confidencial e valiosa contra a divulgación inadvertida ou maliciosa. As políticas de seguridade mantéñense a nivel de servidor, polo que os permisos poden cambiarse mesmo despois de que o ficheiro fose distribuído. Os dispositivos da serie imageRUNNER ADVANCE pódense configurar para integrarse con Adobe ES.

A impresión segura con uniFLOW MyPrintAnywhere permítelle enviar traballos de impresión a través dun controlador universal e imprimilos a calquera impresora da súa rede.

Prevención de duplicados

Os controladores permítenche imprimir marcas visibles na páxina que aparecen enriba do contido do documento. Isto pódese utilizar para informar aos empregados sobre a confidencialidade do documento e evitar que se copie.

Imprimir/Copiar con marcas de auga invisibles: os documentos imprimiranse ou copiaranse con texto oculto incorporado en segundo plano, que aparecerá cando se crea un duplicado e actuará como elemento disuasorio.

As capacidades do software uniFLOW de NTware (parte do grupo de empresas Canon) proporcionan ferramentas eficaces adicionais para garantir a seguridade dos documentos.
Usar uniFLOW en combinación con iW SAM Express permitirache dixitalizar e arquivar documentos enviados a unha impresora ou recibidos desde un dispositivo, así como analizar datos e atributos de texto ao responder ás ameazas de seguridade.

Rastrexa a fonte do documento usando código incorporado.

Bloqueo de dixitalización de documentos: esta opción incorpora un código oculto en documentos impresos e copias que impide que se copien máis nun dispositivo no que esta función está activada. O administrador pode utilizar esta opción para todos os traballos ou só para os seleccionados polo usuario. Os códigos TL e QR están dispoñibles para incorporar.

“Como resultado das probas e da familiarización coa funcionalidade da tecnoloxía imageRUNNER ADVANCE III, puidemos confirmar o cumprimento básico das políticas modernas de seguridade informática. As medidas de protección anteriores cumpren os requisitos básicos de seguridade e poden minimizar os riscos de violacións da seguridade da información".

Os últimos dispositivos imageRUNNER ADVANCE están equipados cunha función de política de seguranza que permite ao administrador xestionar todas as opcións de seguranza nun só menú e editalas antes de aplicalas como configuración do dispositivo. Unha vez aplicado, o uso do dispositivo e os cambios na configuración deben cumprirse con esta política. A política de seguridade pódese protexer cun contrasinal separado para proporcionar control e protección adicionais e só pode acceder o profesional de seguridade informática responsable.

"É necesario atopar e manter un equilibrio entre seguridade e comodidade, empregando sabiamente os avances tecnolóxicos e as solucións técnicas para protexer a información, utilizar persoal cualificado e xestionar con habilidade os fondos achegados para garantir a seguridade da empresa".

Asistencia na preparación do material - Luka Safonov, xefe do Laboratorio Práctico
análise de seguridade, Jet Information Systems.

Só os usuarios rexistrados poden participar na enquisa. Rexístrate, por favor.

Que tan completo é o teu enfoque da seguridade corporativa?

  • A política de seguridade corporativa aplícase á flota de dispositivos multifuncionais

  • A flota de dispositivos de impresión da compañía garante o uso seguro dos dispositivos persoais dos usuarios

  • A empresa garante que a infraestrutura de impresión estea actualizada e que se instalen parches e actualizacións de forma oportuna e eficiente.

  • Os hóspedes da empresa poden imprimir e dixitalizar sen poñer en risco a rede corporativa

  • O departamento de TI da empresa ten tempo suficiente para resolver problemas de seguridade

  • A compañía atopou un equilibrio entre garantir a seguridade e a facilidade de uso dos dispositivos

Votaron 2 usuarios. Non hai abstencións.

Fonte: www.habr.com

Engadir un comentario