ProHoster > Blog > Adminisztráció > Az MFP biztonság új szintje: imageRUNNER ADVANCE III

Az MFP biztonság új szintje: imageRUNNER ADVANCE III

Az MFP biztonság új szintje: imageRUNNER ADVANCE III

A beépített funkciók számának növekedésével az irodai MFP-k már régóta túlmutatnak a triviális beolvasáson/nyomtatáson. Mostanra teljes értékű független eszközökké váltak, amelyek a csúcstechnológiás helyi és globális hálózatokba integrálódtak, és nemcsak egy irodán belül kötik össze a felhasználókat és a szervezeteket, hanem az egész világon.

Ebben a cikkben Luka Safonov gyakorlati információbiztonsági szakértővel együtt LukaSzafonov Tekintsük át a modern irodai MFP-ket fenyegető főbb veszélyeket és azok megelőzésének módjait.

A modern irodai berendezések saját merevlemezekkel és operációs rendszerekkel rendelkeznek, amelyeknek köszönhetően az MFP-k sokféle dokumentumkezelési feladatot képesek önállóan elvégezni, tehermentesítve a többi eszközt. Az ilyen magas technikai felszereltségnek azonban van egy árnyoldala is. Mivel az MFP-k aktívan részt vesznek a hálózaton keresztüli adatátvitelben, megfelelő védelem nélkül a szervezet teljes hálózati környezetében sebezhetővé válnak. Minden rendszer biztonságát a leggyengébb láncszem védettségi foka határozza meg. Ezért a vállalati szerverekre és számítógépekre vonatkozó védelmi intézkedések költségei értelmetlenné válnak, ha az MFP-n keresztül kiskapu marad a támadó számára. A bizalmas információk védelmének problémáját megértve a Canon fejlesztői növelték a platform harmadik verziójának biztonsági szintjét. imageRUNNER ADVANCE, amelyről a cikkben lesz szó.

Főbb veszélyek

Az MFP-k szervezetekben történő használata számos lehetséges kockázattal jár:

  • A rendszer feltörése az MFP-hez való jogosulatlan hozzáféréssel és „referenciapontként” való felhasználással;
  • MFP-k használata a felhasználói adatok kiszűrésére;
  • Adatok elfogása nyomtatás vagy beolvasás közben;
  • Személyek adataihoz való hozzáférés megfelelő engedély nélkül;
  • Hozzáférés a nyomtatott vagy szkennelt bizalmas információkhoz;
  • Hozzáférhet a kényes adatokhoz az élettartamuk végén lévő eszközökön.
  • Szándékosan vagy elírásból faxon vagy e-mailben hibás címre küldött dokumentumokat;
  • A nem védett MFP-ken tárolt bizalmas információk jogosulatlan megtekintése;
  • Különböző felhasználókhoz tartozó nyomtatott feladatok megosztott kötege.

„Valóban, a modern MFP-k gyakran hatalmas potenciált rejtenek magukban egy támadó számára. Projekttapasztalataink azt mutatják, hogy a konfigurálatlan, vagy a megfelelő védelmi szinttel nem rendelkező eszközök óriási lehetőséget adnak a támadóknak az ún. "támadási felület". Ez megkapja a fiókok listáját, a hálózati címzést, az e-mail üzenetek küldésének lehetőségét és még sok mást. Próbáljuk meg kideríteni, hogy a Canon által kínált megoldások képesek-e semlegesíteni ezeket a fenyegetéseket.”

Az új imageRUNNER ADVANCE platform minden egyes biztonsági réstípushoz számos kiegészítő intézkedést kínál, amelyek többszintű védelmet biztosítanak. Megjegyzendő, hogy a fejlesztés sajátos megközelítést igényelt az MFP működésének sajátosságai miatt. A dokumentumok nyomtatása és szkennelése során az információ digitálisról analógra vagy fordítva változik. Az ilyen típusú információk mindegyike alapvetően eltérő védelmi módszereket igényel. Általában a technológiák találkozásánál, heterogenitásuk miatt alakul ki a legsérülékenyebb hely.

„Az MFP-k gyakran könnyű prédák mind a behatolók, mind a támadók számára. Ennek oka általában az ilyen eszközök beállításával kapcsolatos hanyag hozzáállás és viszonylag könnyű elérhetőségük mind az irodai környezetben, mind a hálózati infrastruktúrában. Az egyik legutóbbi eset egy jelzésértékű támadás, amely 29. november 2018-én történt, amikor egy Twitter-felhasználó TheHackerGiraffe álnéven több mint 50 000 hálózati nyomtatót „feltört” és szórólapokat nyomtatott rájuk, és felszólította az embereket, hogy iratkozzanak fel egy YouTube-csatornára. bizonyos PewDiePie. A Redditen TheHackerGiraffe azt mondta, hogy több mint 800 000 eszközt tud kompromittálni, de csak 50 000-re korlátozta magát. A hacker ugyanakkor hangsúlyozta, hogy a fő probléma az, hogy még soha nem csinált ilyesmit, de minden előkészület és a A feltörés csak fél óráig tartott."

Amikor a Canon technológiákat, termékeket és szolgáltatásokat fejleszt, figyelembe vesszük ezek lehetséges hatását az ügyfelek munkakörnyezetére. Ez az oka annak, hogy a Canon irodai többfunkciós nyomtatói beépített és választható biztonsági funkciók széles skáláját kínálják, amelyek segítenek minden méretű vállalkozásnak elérni a szükséges biztonsági szintet.

Az MFP biztonság új szintje: imageRUNNER ADVANCE III

A Canon az egyik legszigorúbb biztonsági tesztelési rendszerrel rendelkezik az egész irodai berendezések iparágában. Az eszközökben használt technológiákat tesztelik, hogy megfelelnek-e a vállalati szabványoknak. Nagy figyelmet fordítanak a biztonsági ellenőrzésekre naprakész vizsgálatokkal, amelyek eredményei pozitív visszajelzést kaptak az eszközök működéséről olyan cégektől, mint a Kaspersky Lab, a COMLOGIC, a TerraLink és a JTI Russia és mások.

„Annak ellenére, hogy a modern valóságban logikus termékeik biztonságának növelése, nem minden vállalat követi ezt az elvet. A vállalatok bizonyos termékek feltörése (és a felhasználók nyomása) után kezdenek gondolkodni a védelemről. Ebből az oldalról jelzésértékű a Canon alapos megközelítése a védelmi módszerek és intézkedések végrehajtásában.”

Jogosulatlan hozzáférés az MFP-hez

Nagyon gyakran a nem védett MFP-k a belső jogsértők (bennfentesek) és a külsők elsődleges célpontjai közé tartoznak. A modern valóságban a vállalati hálózat nem korlátozódik egyetlen irodára, hanem különböző földrajzi elhelyezkedésű részlegek és felhasználók csoportját foglalja magában. A központosított dokumentumfolyamat távoli hozzáférést igényel, és az MFP-ket be kell építeni a vállalati hálózatba. A hálózati nyomtatóeszközök a dolgok internetéhez tartoznak, de védelmükre gyakran nem fordítanak kellő figyelmet, ami a teljes infrastruktúra általános sebezhetőségéhez vezet.

Az ilyen típusú fenyegetésekkel szembeni védelem érdekében a következő intézkedéseket hajtották végre:

  • IP- és MAC-címszűrő – konfigurálja úgy, hogy csak meghatározott IP- vagy MAC-címmel rendelkező eszközökkel kommunikáljon. Ez a funkció szabályozza az adatátvitelt mind a hálózaton belül, mind azon kívül.
  • Proxyszerver konfigurációja – ennek a funkciónak köszönhetően az MFP-kapcsolatok vezérlését átruházhatja egy proxyszerverre. Ez a funkció akkor javasolt, ha a vállalati hálózaton kívüli eszközökhöz csatlakozik.
  • Az IEEE 802.1X hitelesítés egy másik védelem a hitelesítési szerver által nem engedélyezett eszközök csatlakoztatása ellen. Az illetéktelen hozzáférést a LAN-kapcsoló blokkolja.
  • Csatlakozás IPSec-en keresztül – védi a hálózaton keresztül továbbított IP-csomagok elfogására vagy visszafejtésére irányuló kísérleteket. Ajánlott kiegészítő TLS kommunikációs titkosítással használni.
  • Portkezelés – a támadóknak nyújtott bennfentes segítség elleni védelmet szolgálja. Ez a funkció felelős a portparaméterek konfigurálásáért a biztonsági szabályzatnak megfelelően.
  • Automatikus tanúsítványigénylés – Ez a funkció kényelmes eszközt biztosít a rendszergazdáknak a biztonsági tanúsítványok automatikus kiadásához és megújításához.
  • Wi-Fi Direct – ezt a funkciót a mobileszközökről történő biztonságos nyomtatáshoz tervezték. Ehhez a mobileszközt nem kell a vállalati hálózathoz csatlakoztatni. A Wi-Fi Direct használatával helyi peer-to-peer kapcsolat jön létre az eszköz és az MFP között.
  • Naplófigyelés – az MFP használatával kapcsolatos összes esemény, beleértve a blokkolt kapcsolódási kéréseket is, valós időben rögzítésre kerül különféle rendszernaplókban. A feljegyzések elemzésével felderítheti a lehetséges és meglévő fenyegetéseket, kialakíthat megelőző biztonsági politikát, és szakértői értékelést végezhet a már megtörtént információszivárgásokról.
  • Eszköztitkosítás – Ez a beállítás titkosítja a nyomtatási feladatokat, amint azokat a felhasználó számítógépéről a többfunkciós nyomtatóra küldik. A beolvasott PDF-adatokat a biztonsági funkciók átfogó készletének engedélyezésével is titkosíthatja.
  • Vendégnyomtatás mobileszközökről. A biztonságos hálózati nyomtatást és szkennelést kezelő szoftver kiküszöböli a mobil- és vendégnyomtatással kapcsolatos gyakori biztonsági problémákat azáltal, hogy külső módszereket biztosít a nyomtatási feladatok (például e-mail, web és mobilalkalmazások) benyújtására. Ez biztosítja, hogy az MFP biztonságos forrásból működjön, minimálisra csökkentve a feltörések valószínűségét.

„Az ilyen eszközök megosztása a kényelem és a költségcsökkentés mellett a harmadik féltől származó információkhoz való hozzáférés kockázatával is jár. Ezt nemcsak a támadók, hanem a gátlástalan alkalmazottak is felhasználhatják személyes előnyök megszerzésére vagy bennfentes információk megszerzésére. A feldolgozott információkban rejlő nagy potenciál pedig – a technológiai titkoktól a pénzügyi dokumentációig – jelentős prioritást jelent a támadások és az illegitim felhasználás szempontjából.”

Az imageRUNNER ADVANCE platform új verziójának újdonsága a nyomtatóeszközök két hálózathoz való csatlakoztatása. Ez nagyon kényelmes, ha az MFP-t egyszerre használják vállalati és vendég módban.

Adatok védelme a merevlemezen

A többfunkciós nyomtató mindig nagy mennyiségű adatot tartalmaz, amelyeket meg kell védeni – a sorban álló nyomtatási munkáktól a fogadott faxokig, beszkennelt képekig, címjegyzékekig, tevékenységnaplókig és feladatelőzményekig.

Valójában a lemez csak ideiglenes tárhely, és a szükségesnél hosszabb ideig tartó információk rajta tartása növeli a vállalati biztonsági rendszer sebezhetőségét. Ennek elkerülése érdekében a beállításokban beállíthat egy merevlemez-tisztítási ütemtervet. Azon túlmenően, hogy a nyomtatási feladatok a befejezés után vagy a nyomtatás sikertelensége esetén azonnal törlődnek, más fájlok ütemezett törlése is lehetséges a maradék adatok törlése érdekében.

„Sajnos még sok informatikai szakember is rosszul van tisztában a merevlemez szerepével a modern nyomtatóeszközökben. A merevlemez jelenléte jelentősen csökkentheti az előkészítő nyomtatási szakasz időtartamát. A merevlemezek általában rendszerinformációkat, grafikus fájlokat és raszteres képeket tárolnak másolatok nyomtatásához. Az MFP-k helytelen ártalmatlanítása és az adatszivárgás lehetősége mellett lehetőség van a merevlemez szétszerelésére/ellopására elemzés céljából, vagy speciális támadások végrehajtására az adatok kiszűrésére, például a Printer Exploitation Toolkit segítségével.”

A Canon eszközök számos eszközt kínálnak az adatok védelmére az eszköz teljes életciklusa során, miközben megőrzik azok bizalmasságát, integritását és elérhetőségét.
Nagy figyelmet fordítanak a merevlemezen lévő adatok védelmére. Az ott tárolt információk különböző mértékű titkosságot élvezhetnek. Ezért az imageRUNNER ADVANCE platform új verziójának 26 különböző sorozatán belül mind a 7 eszközmodell HDD-titkosítást használ. Megfelel az Egyesült Államok kormányának FIPS 140-2 Level 2 biztonsági szabványának, valamint a japán megfelelője JCVMP-nek.

„Fontos egy olyan információ-hozzáférési rendszer, amely figyelembe veszi a felhasználói szerepköröket és hozzáférési szinteket. Például sok vállalatnál szigorúan tilos a munkavállalók közötti fizetések megbeszélése, és a fizetési bizonylatok vagy a bónuszokról szóló információk kiszivárogtatása komoly konfliktust válthat ki a csapatban. Sajnos tudok ilyen esetekről, az egyikben ez az effajta kiszivárogtatásért felelős alkalmazott elbocsátásához vezetett.”

  • Merevlemez titkosítás. Az imageRUNNER ADVANCE eszközök a merevlemezen lévő összes adatot titkosítják a nagyobb biztonság érdekében.
  • A merevlemez tisztítása. Egyes adatok, például a másolt vagy szkennelt adatok, vagy a számítógépről nyomtatott dokumentumadatok korlátozott ideig a nyomtató merevlemezén tárolódnak, és a munka befejezése után törlődnek.
  • Az összes adat és paraméter inicializálása. A merevlemez cseréje vagy kiselejtezése során bekövetkező adatvesztés elkerülése érdekében felülírhatja a merevlemezen lévő összes dokumentumot és adatot, majd visszaállíthatja a beállításokat az alapértelmezett értékekre.
  • Mentés merevlemezről. A cégek mostantól képesek biztonsági mentést készíteni az eszköz merevlemezéről egy opcionális merevlemezre. Biztonsági mentéskor mindkét merevlemezen lévő adatok teljesen titkosítva vannak.
  • Kivehető merevlemez-készlet. Ez az opció lehetővé teszi a merevlemez eltávolítását az eszközről a biztonságos tárolás érdekében, amikor az eszköz nincs használatban.

Kritikus adatok kiszivárgása

Minden cég foglalkozik bizalmas dokumentumokkal, például szerződésekkel, megállapodásokkal, számviteli dokumentumokkal, ügyféladatokkal, fejlesztési részleg terveivel és még sok mással. Ha az ilyen dokumentumok rossz kezekbe kerülnek, a következmények a hírnév megsértésétől a nagy összegű bírságokig vagy akár perekig terjedhetnek. A támadók átvehetik az irányítást a vállalati eszközök, bennfentes vagy bizalmas információk felett.

„Nem csak a versenytársak vagy a csalók lopnak el értékes információkat. Gyakran előfordulnak olyan esetek, amikor az alkalmazottak úgy döntenek, hogy saját vállalkozást fejlesztenek, vagy titokban többletpénzre tesznek szert azzal, hogy információkat adnak el a külvilágnak. Ilyen helyzetekben a nyomtató lesz a fő asszisztensük. A cégen belüli bármilyen adatátvitel könnyen nyomon követhető. Ráadásul nem a hétköznapi alkalmazottak jutnak hozzá értékes információkhoz. És mi lehetne egyszerűbb egy hétköznapi vezető számára, mint egy tétlenül heverő értékes dokumentumot ellopni? Ezzel a feladattal bárki megbirkózik. A nyomtatott dokumentumokat nem is mindig kell a szervezeten kívülre vinni. Elég, ha gyorsan lefotózzuk a tétlenül heverő anyagokat egy telefonnal egy jó fényképezőgéppel.”

Az MFP biztonság új szintje: imageRUNNER ADVANCE III

A Canon számos biztonsági megoldást kínál a bizalmas dokumentumok védelméhez azok teljes életciklusa során.

A nyomtatott dokumentumok bizalmas kezelése

A felhasználó beállíthat egy nyomtatási PIN-kódot, hogy a dokumentum nyomtatása csak a helyes PIN-kód készüléken történő megadása után induljon el. Ez lehetővé teszi a bizalmas dokumentumok védelmét.

„Az MFP-k gyakran láthatók egy szervezet nyilvánosan hozzáférhető területein a felhasználók kényelme érdekében. Ezek lehetnek termek és tárgyalók, folyosók és fogadóterek. Csak az azonosítók (PIN kódok, intelligens kártyák) használata garantálja az információk biztonságát a felhasználói hozzáférési szinttel összefüggésben. Figyelemre méltó esetek voltak, amikor a felhasználók hozzáfértek korábban elküldött dokumentumokhoz, beolvasott útlevelekhez stb. a nem megfelelő ellenőrzések és az adattisztító funkciók hiánya miatt.”

Az imageRUNNER ADVANCE eszközön az adminisztrátor szüneteltetheti az összes elküldött nyomtatási feladatot, és a felhasználóknak be kell jelentkezniük a nyomtatáshoz, ezzel védve az összes nyomtatott anyag adatait.

A nyomtatási munkákat vagy a beszkennelt dokumentumokat postafiókokban tárolhatja, így bármikor könnyen hozzáférhet. A postafiókok PIN kóddal védhetők, így csak a kijelölt felhasználók férhetnek hozzá a tartalomhoz. Használja készülékén ezt a biztonságos helyet a gyakran nyomtatott dokumentumok (például fejléces papírok és űrlapok) tárolására, amelyek gondos kezelést igényelnek.

Teljes ellenőrzés a dokumentumok és faxok küldése felett

Az információszivárgás kockázatának csökkentése érdekében az adminisztrátorok korlátozhatják a hozzáférést a különböző címzettekre, például azokra, amelyek nem szerepelnek az LDAP-szerver címjegyzékében, nincsenek regisztrálva a rendszerben vagy egy adott tartományban.

Ha meg szeretné akadályozni, hogy a dokumentumokat hibás címzetteknek küldjék el, le kell tiltania az e-mail címek automatikus kitöltését.

A PIN-kód védelmi beállítása megvédi a készülék címjegyzékét a jogosulatlan felhasználói hozzáféréstől.

Ha megkövetelik a felhasználóktól a faxszám újbóli megadását, megakadályozza, hogy a dokumentumokat rossz címzetteknek küldjék el.

Ha bizalmas mappában vagy PIN-kódban védi a dokumentumokat és a faxokat, a dokumentumok biztonságosan tárolhatók a memóriában anélkül, hogy ki kellene őket nyomtatni.

A dokumentum forrásának és hitelességének ellenőrzése

A beolvasott PDF vagy XPS dokumentumokhoz egy kulcs és hitelesítési mechanizmus segítségével eszközaláírás adható, így a címzett ellenőrizni tudja a dokumentum forrását és hitelességét.

„Egy elektronikus dokumentumban az elektronikus digitális aláírás (EDS) a feltétele, amely megvédi ezt az elektronikus dokumentumot a hamisítástól, és lehetővé teszi az aláírási kulcs tanúsítvány tulajdonosának azonosítását, valamint annak megállapítását, hogy a dokumentumban nem torzult az információ. elektronikus dokumentum. Ez biztosítja a továbbított dokumentum biztonságát és tulajdonosának pontos azonosítását, ami segít megőrizni az információ megbízhatóságát.”

A felhasználói aláírás lehetővé teszi PDF vagy XPS fájlok küldését a felhasználó egyedi digitális aláírásával, amelyet egy tanúsító cégtől szereztek be. Így a címzett ellenőrizni tudja, ki írta alá a dokumentumot.

Integráció az ADOBE LIFECYCLE MANAGEMENT ES-sel

A felhasználók biztonságossá tehetik a PDF-fájlokat, és következetes és dinamikus házirendeket alkalmazhatnak rájuk a hozzáférési és használati jogok szabályozására, valamint a bizalmas és értékes információk véletlen vagy rosszindulatú nyilvánosságra hozatala elleni védelmére. A biztonsági házirendek kiszolgáló szinten vannak karbantartva, így az engedélyek még a fájl elosztása után is módosíthatók. Az imageRUNNER ADVANCE sorozatú eszközök konfigurálhatók úgy, hogy integrálják az Adobe ES-t.

A biztonságos nyomtatás a uniFLOW MyPrintAnywhere segítségével lehetővé teszi, hogy nyomtatási feladatokat küldjön egy univerzális illesztőprogramon keresztül, és kinyomtassa azokat a hálózat bármely nyomtatójára.

Az ismétlődések megelőzése

Az illesztőprogramok lehetővé teszik, hogy látható jelöléseket nyomtasson az oldalon, amely a dokumentumtartalom tetején jelenik meg. Ezzel tájékoztathatja az alkalmazottakat a dokumentum titkosságáról, és megakadályozhatja annak másolását.

Nyomtatás/Másolás láthatatlan vízjelekkel – A dokumentumok kinyomtatása vagy másolása a háttérbe ágyazott rejtett szöveggel történik, amely másolat készítésekor megjelenik, és elrettentő hatást fejt ki.

Az NTware (a Canon cégcsoporthoz tartozó) uniFLOW szoftverének képességei további hatékony eszközöket biztosítanak a dokumentumok biztonságának biztosításához.
Az uniFLOW és az iW SAM Express együttes használata lehetővé teszi a nyomtatóra küldött vagy eszközről kapott dokumentumok digitalizálását és archiválását, valamint szöveges adatok és attribútumok elemzését a biztonsági fenyegetésekre való reagálás során.

Kövesse nyomon a dokumentum forrását beágyazott kóddal.

Dokumentum szkennelés blokkolása – Ez az opció egy rejtett kódot ágyaz be a nyomtatott dokumentumokba és másolatokba, amely megakadályozza, hogy azokat tovább másolják egy olyan eszközön, amelyen ez a funkció engedélyezve van. Az adminisztrátor használhatja ezt a lehetőséget az összes vagy csak a felhasználó által kiválasztott munkához. A beágyazáshoz TL és QR kódok állnak rendelkezésre.

„A tesztek és az imageRUNNER ADVANCE III technológia funkcionalitásának megismerése eredményeként meg tudtuk győződni arról, hogy alapvetően megfelelünk a modern IT biztonsági szabályzatoknak. A fenti védelmi intézkedések megfelelnek az alapvető biztonsági követelményeknek, és képesek minimalizálni az információbiztonság megsértésének kockázatát.”

A legújabb imageRUNNER ADVANCE eszközök biztonsági házirend funkcióval vannak felszerelve, amely lehetővé teszi a rendszergazdának, hogy egy menüben kezelje az összes biztonsági beállítást, és szerkessze azokat, mielőtt eszközkonfigurációként alkalmazná azokat. Alkalmazása után az eszköz használatának és a beállítások módosításának meg kell felelnie ennek az irányelvnek. A biztonsági szabályzat külön jelszóval védhető a további ellenőrzés és védelem érdekében, és csak a felelős informatikai biztonsági szakember férhet hozzá.

„Meg kell találni és fenn kell tartani az egyensúlyt a biztonság és a kényelem között, bölcsen felhasználva a technológiai fejlődést és a technikai megoldásokat az információk védelmére, képzett munkaerőt kell alkalmazni, és ügyesen kell kezelni a vállalat biztonságát biztosító pénzeszközöket.”

Segítség az anyag elkészítésében - Luka Safonov, a gyakorlati laboratórium vezetője
biztonsági elemzés, Jet Information Systems.

A felmérésben csak regisztrált felhasználók vehetnek részt. Bejelentkezés, kérem.

Mennyire átfogó a vállalati biztonsággal kapcsolatos megközelítése?

  • A vállalati biztonsági szabályzat a többfunkciós készülékparkra vonatkozik

  • A cég nyomtatóeszközparkja biztosítja a felhasználók személyes eszközeinek biztonságos használatát

  • A vállalat biztosítja, hogy a nyomtatási infrastruktúra naprakész legyen, és hogy a javítások és frissítések időben és hatékonyan telepítésre kerüljenek.

  • A céges vendégek úgy nyomtathatnak és szkennelhetnek, hogy nem kockáztatják a vállalati hálózatot

  • A cég informatikai részlegének elegendő ideje van a biztonsági kérdések megoldására

  • A cég megtalálta az egyensúlyt a biztonság biztosítása és az eszközök könnyű használhatósága között

2 felhasználó szavazott. Nincs tartózkodás.

Forrás: will.com

Hozzászólás