ProHoster > Blog > uprava > Nova razina sigurnosti MFP-a: imageRUNNER ADVANCE III

Nova razina sigurnosti MFP-a: imageRUNNER ADVANCE III

Nova razina sigurnosti MFP-a: imageRUNNER ADVANCE III

S povećanjem ugrađenih funkcija, uredski višenamenski uređaji odavno su otišli dalje od trivijalnog skeniranja/ispisa. Sada su se pretvorili u potpuno neovisne uređaje, integrirane u visokotehnološke lokalne i globalne mreže, povezujući korisnike i organizacije ne samo unutar jednog ureda, već diljem svijeta.

U ovom članku, zajedno sa stručnjakom za praktičnu informacijsku sigurnost Lukom Safonovim LukaSafonov Pogledajmo glavne prijetnje modernim uredskim multifunkcijskim uređajima i načine kako ih spriječiti.

Moderna uredska oprema ima vlastite tvrde diskove i operativne sustave, zahvaljujući kojima višenamjenski uređaji mogu samostalno obavljati širok raspon zadataka upravljanja dokumentima, rasterećujući druge uređaje. Međutim, tako visoka tehnička opremljenost ima i lošu stranu. Budući da multifunkcionalni uređaji aktivno sudjeluju u prijenosu podataka preko mreže, bez odgovarajuće zaštite postaju ranjivost u cjelokupnom mrežnom okruženju organizacije. Sigurnost svakog sustava određena je stupnjem zaštite najslabije karike. Stoga svaki trošak zaštitnih mjera za poslovne poslužitelje i računala postaje besmislen ako postoji rupa u zakonu za napadača kroz MFP. Razumijevajući problem zaštite povjerljivih informacija, programeri Canona povećali su razinu sigurnosti treće verzije platforme imageRUNNER ADVANCE, o čemu će se raspravljati u članku.

Glavne prijetnje

Nekoliko je potencijalnih rizika povezanih s upotrebom MFP-a u organizacijama:

  • Hakiranje sustava kroz neovlašteni pristup MFP-u i korištenje kao "referentna točka";
  • Korištenje MFP-a za eksfiltraciju korisničkih podataka;
  • Presretanje podataka prilikom ispisa ili skeniranja;
  • Pristup podacima osoba bez odgovarajuće dozvole;
  • Pristup ispisanim ili skeniranim povjerljivim informacijama;
  • Pristup osjetljivim podacima na uređajima na kraju životnog vijeka.
  • Slanje dokumenata faksom ili e-poštom na netočnu adresu, namjerno ili kao rezultat pogreške pri upisu;
  • Neovlašteno pregledavanje povjerljivih informacija pohranjenih na nezaštićenim višenamjenskim uređajima;
  • Zajednički hrp ispisnih poslova koji pripadaju različitim korisnicima.

“Uistinu, moderni višenamjenski uređaji često sadrže ogroman potencijal za napadače. Naše projektno iskustvo pokazuje da nekonfigurirani uređaji, odnosno uređaji bez odgovarajuće razine zaštite, napadačima daju ogromnu mogućnost širenja tzv. "napadnu površinu". Ovo je dobivanje popisa računa, mrežno adresiranje, mogućnost slanja poruka e-pošte i još mnogo toga. Pokušajmo otkriti mogu li rješenja koja nudi Canon neutralizirati te prijetnje.”

Za svaku vrstu ranjivosti, nova platforma imageRUNNER ADVANCE pruža čitav niz komplementarnih mjera koje pružaju zaštitu na više razina. Treba napomenuti da je razvoj zahtijevao specifičan pristup zbog osobitosti rada MFP-a. Prilikom ispisa i skeniranja dokumenata informacije prelaze iz digitalnog u analogni ili obrnuto. Svaka od ovih vrsta informacija zahtijeva bitno različite metode osiguranja zaštite. Obično se na spoju tehnologija, zbog njihove heterogenosti, formira najranjivije mjesto.

“MFP-ovi su često lak plijen i za pentestere i za napadače. U pravilu je to zbog nemara u postavljanju takvih uređaja i njihove relativno lake dostupnosti, kako u uredskom okruženju tako iu mrežnoj infrastrukturi. Jedan od najnovijih slučajeva je indikativan napad koji se dogodio 29. studenog 2018. kada je korisnik Twittera pod pseudonimom TheHackerGiraffe “hakirao” više od 50 mrežnih printera i na njima ispisao letke pozivajući ljude da se pretplate na YouTube kanal jedne određeni PewDiePie. TheHackerGiraffe je na Redditu rekao da bi mogao kompromitirati više od 000 uređaja, ali se ograničio na samo 800.Haker je pritom naglasio da je glavni problem to što nikada prije nije radio ništa slično, ali su sve pripreme i za samo hakiranje trebalo mu je samo pola sata."

Kada Canon razvija tehnologije, proizvode i usluge, uzimamo u obzir njihov mogući utjecaj na radna okruženja kupaca. Zato uredski višenamjenski pisači Canon dolaze sa širokim rasponom ugrađenih i dodatnih sigurnosnih značajki koje pomažu tvrtkama svih veličina da postignu potrebnu razinu sigurnosti.

Nova razina sigurnosti MFP-a: imageRUNNER ADVANCE III

Canon ima jedan od najstrožih režima testiranja sigurnosti u cijeloj industriji uredske opreme. Tehnologije korištene u uređajima testirane su na usklađenost sa standardima tvrtke. Velika pažnja posvećena je sigurnosnim provjerama s najnovijim ispitivanjima, čiji su rezultati dobili pozitivne povratne informacije o radu uređaja tvrtki kao što su Kaspersky Lab, COMLOGIC, TerraLink i JTI Rusija i drugih.

„Unatoč činjenici da je u suvremenoj stvarnosti logično povećati sigurnost svojih proizvoda, ne slijede sve tvrtke ovo načelo. Tvrtke počinju razmišljati o zaštiti nakon incidenata hakiranja (i pritiska korisnika) određenih proizvoda. S ove strane, indikativan je Canonov temeljit pristup implementaciji zaštitnih metoda i mjera.”

Neovlašteni pristup MFP-u

Vrlo često su nezaštićeni multifunkcionalni uređaji među prioritetnim metama i unutarnjih prekršitelja (insajdera) i vanjskih. U suvremenoj stvarnosti, korporativna mreža nije ograničena na jedan ured, već uključuje skupinu odjela i korisnika s različitim geografskim lokacijama. Centralizirani protok dokumenata zahtijeva udaljeni pristup i uključivanje MFP-a u korporativnu mrežu. Umreženi ispisni uređaji pripadaju Internetu stvari, ali se njihovoj zaštiti često ne pridaje dužna pozornost, što dovodi do ukupne ranjivosti cijele infrastrukture.

Za zaštitu od ove vrste prijetnje implementirane su sljedeće mjere:

  • Filtar IP i MAC adresa – konfigurirajte da dopustite komunikaciju samo s uređajima koji imaju određene IP ili MAC adrese. Ova funkcija regulira prijenos podataka unutar i izvan mreže.
  • Konfiguracija proxy poslužitelja - zahvaljujući ovoj funkciji, možete delegirati kontrolu MFP veza na proxy poslužitelj. Ova se značajka preporučuje pri povezivanju s uređajima izvan mreže tvrtke.
  • IEEE 802.1X provjera autentičnosti još je jedna zaštita od povezivanja uređaja koji nisu autorizirani od strane poslužitelja za provjeru autentičnosti. Neovlašteni pristup blokira LAN prekidač.
  • Veza putem IPSec-a – štiti od pokušaja presretanja ili dekriptiranja IP paketa koji se prenose preko mreže. Preporuča se koristiti uz dodatnu TLS enkripciju komunikacije.
  • Upravljanje lukama - osmišljeno za zaštitu od insajderske pomoći napadačima. Ova je funkcija odgovorna za konfiguriranje parametara priključka u skladu sa sigurnosnom politikom.
  • Automatski upis certifikata – Ova značajka daje administratorima sustava praktičan alat za automatsko izdavanje i obnavljanje sigurnosnih certifikata.
  • Wi-Fi Direct – ova je funkcija dizajnirana za siguran ispis s mobilnih uređaja. Da biste to učinili, mobilni uređaj ne mora biti povezan s mrežom tvrtke. Koristeći Wi-Fi Direct, stvara se lokalna peer-to-peer veza između uređaja i MFP-a.
  • Nadzor dnevnika – svi događaji povezani s korištenjem MFP-a, uključujući blokirane zahtjeve za povezivanje, bilježe se u različitim zapisnicima sustava u stvarnom vremenu. Analizom zapisa možete otkriti potencijalne i postojeće prijetnje, izgraditi preventivnu sigurnosnu politiku i provesti stručnu procjenu curenja informacija do kojih je već došlo.
  • Šifriranje uređaja—Ova opcija šifrira zadatke ispisa dok se šalju s korisničkog računala na višenamjenski pisač. Također možete šifrirati skenirane PDF podatke omogućavanjem opsežnog skupa sigurnosnih značajki.
  • Gostujući ispis s mobilnih uređaja. Softver za upravljanje sigurnim mrežnim ispisom i skeniranjem uklanja uobičajene sigurnosne probleme povezane s mobilnim ispisom i ispisom za goste pružajući vanjske metode za podnošenje zadataka ispisa kao što su e-pošta, web i mobilne aplikacije. To osigurava da MFP radi iz sigurnog izvora, smanjujući vjerojatnost hakiranja.

“Dijeljenje takvih uređaja, osim pogodnosti i smanjenja troškova, nosi i rizike pristupa informacijama trećih strana. To mogu koristiti ne samo napadači, već i beskrupulozni zaposlenici za stjecanje osobne koristi ili insajderskih informacija. A veliki potencijal informacija koje se obrađuju – od tehnoloških tajni do financijske dokumentacije – značajan je prioritet za napad ili nelegitimnu upotrebu.”

Novost u novoj verziji platforme imageRUNNER ADVANCE je mogućnost povezivanja uređaja za ispis na dvije mreže. Ovo je vrlo zgodno kada se MFP koristi istovremeno u poslovnom i gostujućem načinu rada.

Zaštita podataka na vašem tvrdom disku

Vaš višenamjenski pisač uvijek sadrži veliku količinu podataka koje je potrebno zaštititi—od zadataka ispisa na čekanju do primljenih faksova, skeniranih slika, adresara, dnevnika aktivnosti i povijesti poslova.

Zapravo, disk je samo privremena pohrana, a čuvanje informacija na njemu duže nego što je potrebno povećava ranjivost korporativnog sigurnosnog sustava. Kako biste spriječili da se to dogodi, možete postaviti raspored čišćenja tvrdog diska u postavkama. Uz činjenicu da se zadaci ispisa brišu odmah nakon završetka ili kada ispis ne uspije, druge datoteke mogu se brisati prema rasporedu kako bi se izbrisali preostali podaci.

“Nažalost, čak i mnogi IT stručnjaci nedovoljno su svjesni uloge tvrdog diska u modernim uređajima za ispis. Prisutnost tvrdog diska može značajno smanjiti trajanje pripremne faze ispisa. Tvrdi diskovi obično pohranjuju informacije o sustavu, grafičke datoteke i rasterizirane slike za ispis kopija. Uz nepropisno zbrinjavanje višenamjenskih uređaja i mogućnost curenja podataka, postoji mogućnost rastavljanja/krađe tvrdog diska radi analize ili izvođenja specijaliziranih napada za eksfiltraciju podataka, na primjer korištenjem Printer Exploitation Toolkit.”

Uređaji tvrtke Canon nude niz alata za zaštitu vaših podataka tijekom životnog ciklusa uređaja, a istovremeno održavaju njegovu povjerljivost, integritet i dostupnost.
Mnogo se pažnje posvećuje zaštiti podataka na tvrdom disku. Informacije koje su tamo pohranjene mogu imati različite stupnjeve povjerljivosti. Stoga se HDD enkripcija koristi na svih 26 modela uređaja unutar 7 različitih serija nove verzije platforme imageRUNNER ADVANCE. Sukladan je sa sigurnosnim standardom američke vlade FIPS 140-2 razine 2, kao i japanskim ekvivalentom JCVMP.

“Važno je imati sustav za pristup informacijama koji uzima u obzir korisničke uloge i razine pristupa. Na primjer, u mnogim je tvrtkama strogo zabranjeno raspravljanje o plaćama među zaposlenicima, a curenje platnih lista ili informacija o bonusima može izazvati ozbiljan sukob u timu. Nažalost, znam za takve slučajeve, u jednom od njih to je dovelo do otkaza zaposleniku odgovornom za ovu vrstu curenja."

  • Enkripcija tvrdog diska. Uređaji imageRUNNER ADVANCE šifriraju sve podatke na vašem tvrdom disku za povećanu sigurnost.
  • Čišćenje vašeg tvrdog diska. Neki podaci, kao što su podaci kopirani ili skenirani, ili podaci dokumenta ispisani s računala, pohranjuju se na tvrdi disk pisača na ograničeno vrijeme i brišu se nakon završetka zadatka.
  • Inicijalizacija svih podataka i parametara. Kako biste spriječili gubitak podataka prilikom zamjene ili odlaganja vašeg tvrdog diska, možete prebrisati sve dokumente i podatke na tvrdom disku, a zatim vratiti postavke na zadane vrijednosti.
  • Sigurnosni tvrdi disk. Tvrtke sada imaju mogućnost sigurnosne kopije podataka s tvrdog diska uređaja na dodatni tvrdi disk. Prilikom izrade sigurnosne kopije podaci na oba tvrda diska potpuno su šifrirani.
  • Komplet uklonjivog tvrdog diska. Ova vam opcija omogućuje uklanjanje tvrdog diska iz uređaja za sigurno pohranjivanje dok se uređaj ne koristi.

Curenje kritičnih podataka

Sve tvrtke rade s povjerljivim dokumentima kao što su ugovori, sporazumi, računovodstveni dokumenti, podaci o kupcima, planovi razvojnih odjela i još mnogo toga. Ako takvi dokumenti dospiju u pogrešne ruke, posljedice mogu varirati od narušavanja ugleda do velikih novčanih kazni ili čak tužbi. Napadači mogu steći kontrolu nad imovinom tvrtke, insajderskim ili povjerljivim informacijama.

“Nisu samo konkurenti ili prevaranti ti koji kradu vrijedne informacije. Česti su slučajevi kada zaposlenici odluče razviti vlastiti posao ili potajno zaraditi dodatni novac prodajom informacija prema vani. U takvim situacijama printer im postaje glavni pomoćnik. Svaki prijenos podataka unutar tvrtke lako je pratiti. Osim toga, nisu obični zaposlenici ti koji imaju pristup vrijednim informacijama. A što bi moglo biti lakše za običnog menadžera nego ukrasti vrijedan dokument koji leži besposlen? Svatko se može nositi s ovim zadatkom. Tiskane dokumente ne treba uvijek iznositi izvan organizacije. Dovoljno je na brzinu fotografirati materijale koji leže na mjestu s dobrim fotoaparatom.”

Nova razina sigurnosti MFP-a: imageRUNNER ADVANCE III

Canon nudi niz sigurnosnih rješenja koja vam pomažu u zaštiti osjetljivih dokumenata tijekom cijelog njihovog životnog ciklusa.

Povjerljivost ispisanih dokumenata

Korisnik može postaviti PIN za ispis tako da se dokument počne ispisivati ​​tek nakon unosa ispravnog PIN-a na uređaju. To vam omogućuje zaštitu povjerljivih dokumenata.

“Višefunkcijski uređaji često se mogu vidjeti u javno dostupnim područjima organizacije radi praktičnosti za korisnike. To mogu biti dvorane i sobe za sastanke, hodnici i recepcije. Samo korištenje identifikatora (PIN kodova, pametnih kartica) jamči sigurnost informacija u kontekstu razine korisničkog pristupa. Značajni slučajevi bili su kada su korisnici dobili pristup prethodno poslanim dokumentima, skenovima putovnica itd. kao rezultat neadekvatnih kontrola i nedostatka funkcija čišćenja podataka.”

Na uređaju imageRUNNER ADVANCE, administrator može pauzirati sve poslane poslove ispisa, zahtijevajući od korisnika da se prijave za ispis, čime se štiti privatnost svih ispisanih materijala.

Zadaci ispisa ili skenirani dokumenti mogu se pohraniti u poštanske sandučiće za lak pristup u bilo kojem trenutku. Poštanski sandučići mogu se zaštititi PIN kodom kako bi se osiguralo da samo određeni korisnici mogu pristupiti njihovom sadržaju. Koristite ovaj sigurni prostor na svom uređaju za pohranjivanje dokumenata koji se često ispisuju (kao što su zaglavlja i obrasci) kojima je potrebno pažljivo rukovanje.

Potpuna kontrola nad slanjem dokumenata i faksova

Kako bi smanjili rizik od curenja informacija, administratori mogu ograničiti pristup različitim primateljima, primjerice onima koji nisu u adresaru na LDAP poslužitelju, koji nisu registrirani u sustavu ili na određenoj domeni.

Kako biste spriječili slanje dokumenata netočnim primateljima, morate onemogućiti automatsko popunjavanje za adrese e-pošte.

Postavljanje PIN koda za zaštitu zaštitit će adresar uređaja od neovlaštenog pristupa korisnika.

Zahtijevanjem od korisnika da ponovno unesu broj faksa spriječit će se slanje dokumenata pogrešnim primateljima.

Zaštitom dokumenata i faksova u povjerljivoj mapi ili PIN-om dokumenti će biti sigurno pohranjeni u memoriji bez potrebe za ispisom.

Provjera izvora i vjerodostojnosti dokumenta

Potpis uređaja može se dodati skeniranim PDF ili XPS dokumentima pomoću ključa i mehanizma certificiranja tako da primatelj može provjeriti izvor i autentičnost dokumenta.

„U elektroničkom dokumentu, elektronički digitalni potpis (EDS) je njegov rekvizit, osmišljen kako bi zaštitio ovaj elektronički dokument od krivotvorenja i omogućuje vam da identificirate vlasnika certifikata ključa potpisa, kao i da utvrdite odsutnost iskrivljenja informacija u elektronički dokument. Time se osigurava sigurnost poslanog dokumenta i točna identifikacija njegovog vlasnika, što pomaže u održavanju pouzdanosti informacija.”

Potpis korisnika omogućuje slanje PDF ili XPS datoteka s jedinstvenim digitalnim potpisom korisnika dobivenim od certifikacijske tvrtke. Na taj način će primatelj moći provjeriti tko je potpisao dokument.

Integracija s ADOBE LIFECYCLE MANAGEMENT ES

Korisnici mogu osigurati PDF datoteke i na njih primijeniti dosljedna i dinamička pravila za kontrolu pristupa i prava korištenja te zaštititi povjerljive i vrijedne informacije od nenamjernog ili zlonamjernog otkrivanja. Sigurnosna pravila održavaju se na razini poslužitelja, tako da se dopuštenja mogu mijenjati čak i nakon što je datoteka distribuirana. Uređaji serije imageRUNNER ADVANCE mogu se konfigurirati za integraciju s Adobe ES.

Siguran ispis s uniFLOW MyPrintAnywhere omogućuje slanje ispisnih zadataka putem univerzalnog upravljačkog programa i ispis na bilo koji pisač na vašoj mreži.

Sprječavanje duplikata

Upravljački programi omogućuju ispis vidljivih oznaka na stranici koje se pojavljuju na vrhu sadržaja dokumenta. Ovo se može koristiti za obavještavanje zaposlenika o povjerljivosti dokumenta i sprječavanje njegovog kopiranja.

Ispis/kopiranje s nevidljivim vodenim žigovima - dokumenti će se ispisivati ​​ili kopirati sa skrivenim tekstom ugrađenim u pozadini, koji će se pojaviti kada se stvori duplikat i djelovati kao sredstvo odvraćanja.

Mogućnosti softvera uniFLOW tvrtke NTware (dio grupe tvrtki Canon) pružaju dodatne učinkovite alate za osiguranje sigurnosti dokumenata.
Korištenje uniFLOW-a u kombinaciji s iW SAM Express omogućit će vam digitalizaciju i arhiviranje dokumenata poslanih na pisač ili primljenih s uređaja, kao i analizu tekstualnih podataka i atributa prilikom odgovora na sigurnosne prijetnje.

Pratite izvor dokumenta pomoću ugrađenog koda.

Blokiranje skeniranja dokumenata – Ova opcija ugrađuje skriveni kod u ispisane dokumente i kopije koji sprječava njihovo daljnje kopiranje na uređaju na kojem je ova značajka omogućena. Administrator može koristiti ovu opciju za sve poslove ili samo za poslove koje korisnik odabere. TL i QR kodovi dostupni su za ugradnju.

“Kao rezultat testiranja i upoznavanja s funkcionalnošću tehnologije imageRUNNER ADVANCE III, uspjeli smo potvrditi osnovnu usklađenost s modernim IT sigurnosnim politikama. Gore navedene zaštitne mjere ispunjavaju osnovne sigurnosne zahtjeve i mogu minimizirati rizike kršenja informacijske sigurnosti.”

Najnoviji uređaji imageRUNNER ADVANCE opremljeni su značajkom sigurnosne politike koja administratoru omogućuje upravljanje svim sigurnosnim postavkama u jednom izborniku i njihovo uređivanje prije nego što ih primijeni kao konfiguraciju uređaja. Nakon primjene, korištenje uređaja i promjene postavki moraju biti u skladu s ovom politikom. Sigurnosna politika može se zaštititi zasebnom lozinkom kako bi se osigurala dodatna kontrola i zaštita i može joj pristupiti samo odgovorni stručnjak za IT sigurnost.

“Potrebno je pronaći i održavati ravnotežu između sigurnosti i pogodnosti, mudro koristiti tehnološki napredak i tehnička rješenja za zaštitu informacija, koristiti kvalificirano osoblje i vješto upravljati osiguranim sredstvima kako bi se osigurala sigurnost tvrtke.”

Pomoć u pripremi materijala - Luka Safonov, voditelj Praktičnog laboratorija
sigurnosna analiza, Jet Information Systems.

U anketi mogu sudjelovati samo registrirani korisnici. Prijaviti se, molim.

Koliko je sveobuhvatan vaš pristup korporativnoj sigurnosti?

  • Korporativna sigurnosna politika odnosi se na flotu višenamjenskih uređaja

  • Flota ispisnih uređaja tvrtke osigurava sigurno korištenje osobnih uređaja korisnika

  • Tvrtka osigurava da je ispisna infrastruktura ažurna i da se zakrpe i ažuriranja instaliraju pravovremeno i učinkovito

  • Gosti tvrtke mogu ispisivati ​​i skenirati bez ugrožavanja mreže tvrtke

  • IT odjel tvrtke ima dovoljno vremena za rješavanje sigurnosnih pitanja

  • Tvrtka je pronašla ravnotežu između osiguravanja sigurnosti i jednostavnosti korištenja uređaja

2 korisnika je glasalo. Suzdržanih nema.

Izvor: www.habr.com

Dodajte komentar