ProHoster > blog > amministrazione > Nuovo livello di sicurezza della stampante multifunzione: imageRUNNER ADVANCE III

Nuovo livello di sicurezza della stampante multifunzione: imageRUNNER ADVANCE III

Nuovo livello di sicurezza della stampante multifunzione: imageRUNNER ADVANCE III

Con l'aumento delle funzioni integrate, le multifunzione per ufficio sono andate oltre la banale scansione/stampa. Ora si sono trasformati in dispositivi indipendenti a tutti gli effetti, integrati in reti locali e globali ad alta tecnologia, che collegano utenti e organizzazioni non solo all'interno di un ufficio, ma in tutto il mondo.

In questo articolo, insieme all'esperto pratico di sicurezza informatica Luka Safonov Luka Safonov Diamo un'occhiata alle principali minacce per le moderne multifunzione da ufficio e ai modi per prevenirle.

Le moderne apparecchiature per ufficio dispongono di propri dischi rigidi e sistemi operativi, grazie ai quali le multifunzione possono eseguire autonomamente un'ampia gamma di attività di gestione dei documenti, alleggerendo il carico su altri dispositivi. Tuttavia, un equipaggiamento tecnico così elevato ha anche uno svantaggio. Poiché le multifunzione partecipano attivamente alla trasmissione dei dati sulla rete, senza un'adeguata protezione diventano vulnerabilità nell'intero ambiente di rete dell'organizzazione. La sicurezza di qualsiasi sistema è determinata dal grado di protezione dell'anello più debole. Pertanto, eventuali costi per misure di protezione per server e computer aziendali diventano inutili se rimane una scappatoia per un aggressore attraverso l'MFP. Comprendendo il problema della protezione delle informazioni riservate, gli sviluppatori Canon hanno aumentato il livello di sicurezza della terza versione della piattaforma imageRUNNER AVANZAMENTO, di cui parleremo nell'articolo.

Le principali minacce

Esistono diversi rischi potenziali associati all'uso delle multifunzione nelle organizzazioni:

  • Hacking del sistema attraverso l'accesso non autorizzato all'MFP e l'utilizzo come “punto di riferimento”;
  • Utilizzo di MFP per esfiltrare i dati degli utenti;
  • Intercettazione dei dati durante la stampa o la scansione;
  • Accesso ai dati di persone prive di autorizzazione adeguata;
  • Accesso a informazioni riservate stampate o scansionate;
  • Accedi ai dati sensibili sui dispositivi a fine vita.
  • Invio di documenti via fax o e-mail ad un indirizzo errato, intenzionalmente o a causa di un errore di battitura;
  • Visualizzazione non autorizzata di informazioni riservate archiviate su MFP non protette;
  • Una pila condivisa di lavori stampati appartenenti a diversi utenti.

“In effetti, le moderne MFP spesso racchiudono un enorme potenziale per un aggressore. La nostra esperienza nel progetto dimostra che i dispositivi non configurati o senza il livello di protezione adeguato offrono agli aggressori un'enorme opportunità di espandere il cosiddetto. "superficie d'attacco". Si tratta di ottenere un elenco di account, indirizzi di rete, la possibilità di inviare messaggi di posta elettronica e molto altro. Proviamo a scoprire se le soluzioni offerte da Canon sono in grado di neutralizzare queste minacce”.

Per ogni tipo di vulnerabilità, la nuova piattaforma imageRUNNER ADVANCE fornisce tutta una serie di misure complementari che garantiscono una protezione multilivello. Va notato che lo sviluppo ha richiesto un approccio specifico a causa delle peculiarità del funzionamento dell'MFP. Durante la stampa e la scansione di documenti, le informazioni passano dal digitale all'analogico o viceversa. Ciascuno di questi tipi di informazioni richiede metodi fondamentalmente diversi per garantire la protezione. Di solito, all'incrocio delle tecnologie, a causa della loro eterogeneità, si forma il luogo più vulnerabile.

“Le multifunzione sono spesso facili prede sia per i pentester che per gli aggressori. Di norma ciò è dovuto ad un atteggiamento negligente nei confronti della configurazione di tali dispositivi e della loro relativamente facile disponibilità, sia nell'ambiente d'ufficio che nell'infrastruttura di rete. Uno dei casi più recenti è un attacco indicativo avvenuto il 29 novembre 2018, quando un utente di Twitter con lo pseudonimo TheHackerGiraffe ha “hackerato” più di 50 stampanti di rete e stampato su di esse volantini che invitavano le persone a iscriversi al canale YouTube di un certo PewDiePie. Su Reddit, TheHackerGiraffe ha affermato che potrebbe compromettere più di 000 dispositivi, ma si è limitato a soli 800. Allo stesso tempo, l'hacker ha sottolineato che il problema principale è che non aveva mai fatto nulla di simile prima, ma tutti i preparativi e il l'hacking stesso gli ha richiesto solo mezz'ora".

Quando Canon sviluppa tecnologie, prodotti e servizi, consideriamo il loro potenziale impatto sugli ambienti di lavoro dei clienti. Ecco perché le stampanti multifunzione per ufficio Canon sono dotate di un'ampia gamma di funzionalità di sicurezza integrate e opzionali per aiutare le aziende di tutte le dimensioni a raggiungere il livello di sicurezza di cui hanno bisogno.

Nuovo livello di sicurezza della stampante multifunzione: imageRUNNER ADVANCE III

Canon dispone di uno dei regimi di test di sicurezza più rigorosi nell'intero settore delle apparecchiature per ufficio. Le tecnologie utilizzate nei dispositivi vengono testate per verificarne la conformità agli standard aziendali. Molta attenzione viene prestata ai controlli di sicurezza con esami aggiornati, i cui risultati hanno ricevuto feedback positivi sul funzionamento dei dispositivi di aziende come Kaspersky Lab, COMLOGIC, TerraLink e JTI Russia e altre.

“Nonostante nelle realtà moderne sia logico aumentare la sicurezza dei propri prodotti, non tutte le aziende seguono questo principio. Le aziende stanno iniziando a pensare alla protezione dopo gli episodi di hacking (e le pressioni degli utenti) su determinati prodotti. Da questo punto di vista, l’approccio approfondito di Canon all’implementazione di metodi e misure di protezione è indicativo”.

Accesso non autorizzato all'MFP

Molto spesso, le MFP non protette sono tra gli obiettivi prioritari sia dei trasgressori interni (addetti ai lavori) che di quelli esterni. Nelle realtà moderne, una rete aziendale non è limitata a un ufficio, ma comprende un gruppo di dipartimenti e utenti con posizioni geografiche diverse. Il flusso di documenti centralizzato richiede l'accesso remoto e l'inclusione delle multifunzione nella rete aziendale. I dispositivi di stampa in rete appartengono all'Internet delle cose, ma spesso alla loro protezione non viene prestata la dovuta attenzione, il che porta alla vulnerabilità complessiva dell'intera infrastruttura.

Per proteggersi da questo tipo di minaccia, sono state implementate le seguenti misure:

  • Filtro indirizzi IP e MAC: configurare per consentire la comunicazione solo con dispositivi che dispongono di indirizzi IP o MAC specifici. Questa funzione regola il trasferimento dei dati sia all'interno della rete che all'esterno di essa.
  • Configurazione del server proxy: grazie a questa funzione è possibile delegare il controllo delle connessioni dell'MFP a un server proxy. Questa funzionalità è consigliata quando ci si connette a dispositivi esterni alla rete aziendale.
  • L'autenticazione IEEE 802.1X è un'altra protezione contro la connessione di dispositivi non autorizzati dal server di autenticazione. L'accesso non autorizzato è bloccato dallo switch LAN.
  • Connessione tramite IPSec: protegge dai tentativi di intercettare o decrittografare i pacchetti IP trasmessi sulla rete. Si consiglia l'utilizzo con crittografia di comunicazione TLS aggiuntiva.
  • Gestione del porto: progettata per proteggere gli aggressori dall'assistenza interna. Questa funzione è responsabile della configurazione dei parametri della porta in conformità con la politica di sicurezza.
  • Registrazione automatica dei certificati: questa funzionalità offre agli amministratori di sistema uno strumento utile per emettere e rinnovare automaticamente i certificati di sicurezza.
  • Wi-Fi direct: questa funzione è progettata per la stampa sicura da dispositivi mobili. Per fare ciò non è necessario che il dispositivo mobile sia collegato alla rete aziendale. Utilizzando Wi-Fi Direct, viene creata una connessione peer-to-peer locale tra il dispositivo e l'MFP.
  • Monitoraggio dei registri: tutti gli eventi relativi all'utilizzo della stampante multifunzione, comprese le richieste di connessione bloccate, vengono registrati in vari registri di sistema in tempo reale. Analizzando i record, è possibile rilevare minacce potenziali ed esistenti, creare una politica di sicurezza preventiva e condurre una valutazione esperta delle fughe di informazioni che si sono già verificate.
  • Crittografia dispositivo: questa opzione crittografa i lavori di stampa mentre vengono inviati dal PC dell'utente alla stampante multifunzione. Puoi anche crittografare i dati PDF scansionati abilitando un set completo di funzionalità di sicurezza.
  • Stampa ospite da dispositivi mobili. Il software di gestione sicura della stampa e della scansione in rete elimina i comuni problemi di sicurezza associati alla stampa mobile e guest fornendo metodi esterni per l'invio di lavori di stampa come e-mail, Web e app mobile. Ciò garantisce che l'MFP funzioni da una fonte sicura, riducendo al minimo la probabilità di attacchi da parte di hacker.

“La condivisione di tali dispositivi, oltre alla comodità e alla riduzione dei costi, comporta anche rischi di accesso a informazioni di terzi. Ciò può essere utilizzato non solo dagli aggressori, ma anche da dipendenti senza scrupoli per ottenere vantaggi personali o ottenere informazioni privilegiate. E il grande potenziale delle informazioni elaborate – dai segreti tecnologici alla documentazione finanziaria – rappresenta una priorità significativa per attacchi o usi illegittimi”.

Una novità della nuova versione della piattaforma imageRUNNER ADVANCE è la possibilità di connettere i dispositivi di stampa a due reti. Ciò è molto comodo quando l'MFP viene utilizzata contemporaneamente in modalità aziendale e ospite.

Protezione dei dati del disco rigido

La tua stampante multifunzione contiene sempre una grande quantità di dati che devono essere protetti: dai lavori di stampa in coda ai fax ricevuti, alle immagini scansionate, alle rubriche, ai registri delle attività e alla cronologia dei lavori.

Il disco, infatti, è solo un archivio temporaneo e conservare le informazioni su di esso più a lungo del necessario aumenta la vulnerabilità del sistema di sicurezza aziendale. Per evitare che ciò accada, puoi impostare un programma di pulizia del disco rigido nelle impostazioni. Oltre al fatto che i lavori di stampa vengono cancellati immediatamente dopo il completamento o quando la stampa fallisce, è possibile eliminare altri file in base a una pianificazione per eliminare i dati residui.

“Purtroppo anche molti professionisti IT sono scarsamente consapevoli del ruolo del disco rigido nei moderni dispositivi di stampa. La presenza di un disco rigido può ridurre notevolmente la durata della fase preparatoria alla stampa. I dischi rigidi solitamente memorizzano informazioni di sistema, file grafici e immagini rasterizzate per la stampa di copie. Oltre allo smaltimento improprio delle MFP e alla possibilità di fuga di dati, esiste la possibilità di smantellamento/furto del disco rigido per analisi o di effettuare attacchi specializzati per esfiltrare dati, ad esempio utilizzando il Printer Exploitation Toolkit."

I dispositivi Canon offrono una gamma di strumenti per proteggere i tuoi dati durante l'intero ciclo di vita del dispositivo, preservandone allo stesso tempo la riservatezza, l'integrità e la disponibilità.
Molta attenzione viene prestata alla protezione dei dati sul disco rigido. Le informazioni archiviate possono avere diversi gradi di riservatezza. Pertanto, la crittografia HDD viene utilizzata su tutti i 26 modelli di dispositivi appartenenti a 7 diverse serie della nuova versione della piattaforma imageRUNNER ADVANCE. È conforme allo standard di sicurezza FIPS 140-2 Livello 2 del governo statunitense, nonché all'equivalente giapponese JCVMP.

“È importante disporre di un sistema di accesso alle informazioni che tenga conto dei ruoli degli utenti e dei livelli di accesso. Ad esempio, in molte aziende, la discussione sugli stipendi tra i dipendenti è severamente vietata e la fuga di buste paga o informazioni sui bonus può provocare un grave conflitto nella squadra. Purtroppo conosco casi del genere e in uno di essi ciò ha portato al licenziamento del dipendente responsabile di questo tipo di fuga di notizie”.

  • Crittografia del disco rigido. I dispositivi imageRUNNER ADVANCE crittografano tutti i dati sul disco rigido per una maggiore sicurezza.
  • Pulizia del disco rigido. Alcuni dati, ad esempio i dati copiati o scansionati oppure i dati di documenti stampati da un computer, vengono archiviati sul disco rigido della stampante per un periodo limitato e vengono eliminati al termine del lavoro.
  • Inizializzazione di tutti i dati e parametri. Per evitare la perdita di dati durante la sostituzione o lo smaltimento del disco rigido, è possibile sovrascrivere tutti i documenti e i dati presenti sul disco rigido e quindi ripristinare le impostazioni sui valori predefiniti.
  • Backup del disco rigido. Le aziende ora hanno la possibilità di eseguire il backup dei dati dal disco rigido del dispositivo su un disco rigido opzionale. Durante il backup, i dati su entrambi i dischi rigidi vengono completamente crittografati.
  • Kit disco rigido rimovibile. Questa opzione consente di rimuovere il disco rigido dal dispositivo per archiviarlo in sicurezza mentre il dispositivo non è in uso.

Perdita di dati critici

Tutte le aziende trattano documenti riservati come contratti, accordi, documenti contabili, dati dei clienti, piani dei reparti di sviluppo e molto altro. Se tali documenti finiscono nelle mani sbagliate, le conseguenze possono variare da danni alla reputazione a multe salate o addirittura azioni legali. Gli aggressori possono ottenere il controllo delle risorse aziendali, delle informazioni privilegiate o riservate.

“Non sono solo i concorrenti o i truffatori a rubare informazioni preziose. Ci sono spesso casi in cui i dipendenti decidono di sviluppare la propria attività o di guadagnare segretamente denaro extra vendendo informazioni all'esterno. In tali situazioni, la stampante diventa il loro assistente principale. Qualsiasi trasferimento di dati all'interno dell'azienda è facile da monitorare. Inoltre, non sono i normali dipendenti ad avere accesso a informazioni preziose. E cosa potrebbe esserci di più semplice per un manager ordinario che rubare un documento prezioso rimasto inattivo? Chiunque può far fronte a questo compito. Non è nemmeno sempre necessario portare i documenti stampati all'esterno dell'organizzazione. È sufficiente scattare rapidamente una foto dei materiali inattivi su un telefono con una buona fotocamera.”

Nuovo livello di sicurezza della stampante multifunzione: imageRUNNER ADVANCE III

Canon offre una gamma di soluzioni di sicurezza per aiutarti a proteggere i documenti sensibili durante l'intero ciclo di vita.

Riservatezza dei documenti stampati

L'utente può impostare un PIN di stampa in modo che il documento inizi a stampare solo dopo aver inserito il PIN corretto sul dispositivo. Ciò consente di proteggere i documenti riservati.

“Le multifunzione possono spesso essere viste in aree accessibili al pubblico di un'organizzazione per la comodità degli utenti. Possono essere ingressi e sale riunioni, corridoi e aree di accoglienza. Solo l'uso di identificatori (codici PIN, smart card) garantirà la sicurezza delle informazioni nel contesto del livello di accesso dell'utente. Casi degni di nota si sono verificati quando gli utenti hanno avuto accesso a documenti precedentemente inviati, scansioni di passaporti, ecc. a causa di controlli inadeguati e della mancanza di funzioni di pulizia dei dati.”

Sul dispositivo imageRUNNER ADVANCE, l'amministratore può sospendere tutti i lavori di stampa inviati, richiedendo agli utenti di accedere per stampare, proteggendo così la privacy di tutti i materiali stampati.

I lavori di stampa o i documenti scansionati possono essere archiviati nelle caselle di posta per un facile accesso in qualsiasi momento. Le caselle di posta possono essere protette con un codice PIN per garantire che solo gli utenti designati possano accedere ai loro contenuti. Utilizza questo spazio sicuro sul tuo dispositivo per archiviare i documenti stampati di frequente (come carta intestata e moduli) che richiedono un'attenta gestione.

Pieno controllo sull'invio di documenti e fax

Per ridurre il rischio di fuga di informazioni, gli amministratori possono limitare l'accesso a diversi destinatari, ad esempio quelli non presenti nella rubrica del server LDAP, non registrati nel sistema o su un dominio specifico.

Per evitare che i documenti vengano inviati a destinatari errati, è necessario disattivare la compilazione automatica per gli indirizzi email.

L'impostazione di un codice PIN di protezione proteggerà la rubrica del dispositivo dall'accesso di utenti non autorizzati.

Richiedere agli utenti di reinserire il numero di fax impedirà che i documenti vengano inviati ai destinatari errati.

La protezione di documenti e fax in una cartella riservata o in un PIN manterrà i documenti archiviati in modo sicuro in memoria senza doverli stampare.

Verificare la fonte e l'autenticità di un documento

È possibile aggiungere una firma del dispositivo ai documenti PDF o XPS scansionati utilizzando una chiave e un meccanismo di certificazione in modo che il destinatario possa verificare l'origine e l'autenticità del documento.

“In un documento elettronico, il suo requisito è la firma digitale elettronica (EDS), progettata per proteggere questo documento elettronico dalla contraffazione e consente di identificare il proprietario del certificato della chiave di firma, nonché di stabilire l'assenza di distorsione delle informazioni nel documento elettronico. Ciò garantisce la sicurezza del documento trasmesso e l’esatta identificazione del suo proprietario, il che aiuta a mantenere l’affidabilità delle informazioni.”

Firma utente consente di inviare file PDF o XPS con la firma digitale univoca dell'utente ottenuta da una società di certificazione. In questo modo il destinatario potrà verificare chi ha firmato il documento.

Integrazione con ADOBE LIFECYCLE MANAGEMENT ES

Gli utenti possono proteggere i file PDF e applicare loro policy coerenti e dinamiche per controllare i diritti di accesso e utilizzo e proteggere informazioni riservate e preziose da divulgazione involontaria o dannosa. Le politiche di sicurezza vengono mantenute a livello di server, quindi le autorizzazioni possono essere modificate anche dopo che il file è stato distribuito. I dispositivi della serie imageRUNNER ADVANCE possono essere configurati per l'integrazione con Adobe ES.

La stampa sicura con uniFLOW MyPrintAnywhere ti consente di inviare lavori di stampa tramite un driver universale e stamparli su qualsiasi stampante sulla rete.

Prevenire i duplicati

I driver consentono di stampare segni visibili sulla pagina che appaiono sopra il contenuto del documento. Questo può essere utilizzato per informare i dipendenti sulla riservatezza del documento e impedirne la copia.

Stampa/Copia con filigrane invisibili: i documenti verranno stampati o copiati con testo nascosto incorporato sullo sfondo, che apparirà quando viene creato un duplicato e fungerà da deterrente.

Le funzionalità del software uniFLOW di NTware (parte del gruppo di aziende Canon) forniscono ulteriori strumenti efficaci per garantire la sicurezza dei documenti.
L'utilizzo di uniFLOW in combinazione con iW SAM Express consentirà di digitalizzare e archiviare documenti inviati a una stampante o ricevuti da un dispositivo, nonché di analizzare dati e attributi di testo durante la risposta a minacce alla sicurezza.

Tieni traccia dell'origine del documento utilizzando il codice incorporato.

Blocco scansione documenti: questa opzione incorpora un codice nascosto nei documenti stampati e nelle copie che impedisce loro di essere ulteriormente copiati su un dispositivo su cui questa funzione è abilitata. L'amministratore può utilizzare questa opzione per tutti i lavori o solo per i lavori selezionati dall'utente. I codici TL e QR sono disponibili per l'incorporamento.

“Come risultato dei test e della familiarità con le funzionalità della tecnologia imageRUNNER ADVANCE III, siamo stati in grado di confermare la conformità di base con le moderne policy di sicurezza IT. Le misure di protezione di cui sopra soddisfano i requisiti di sicurezza di base e possono ridurre al minimo i rischi di violazioni della sicurezza delle informazioni”.

I più recenti dispositivi imageRUNNER ADVANCE sono dotati di una funzionalità di policy di sicurezza che consente all'amministratore di gestire tutte le impostazioni di sicurezza in un unico menu e di modificarle prima di applicarle come configurazione del dispositivo. Una volta applicata, l'utilizzo del dispositivo e le modifiche alle impostazioni devono essere conformi a questa politica. La politica di sicurezza può essere protetta con una password separata per fornire ulteriore controllo e protezione ed è accessibile solo al professionista della sicurezza IT responsabile.

"È necessario trovare e mantenere un equilibrio tra sicurezza e comodità, utilizzando saggiamente i progressi tecnologici e le soluzioni tecniche per proteggere le informazioni, utilizzare personale qualificato e gestire abilmente i fondi forniti per garantire la sicurezza dell'azienda."

Assistenza nella preparazione del materiale - Luka Safonov, capo del laboratorio pratico
analisi di sicurezza, sistemi informativi Jet.

Solo gli utenti registrati possono partecipare al sondaggio. AccediPer favore.

Quanto è completo il vostro approccio alla sicurezza aziendale?

  • Al parco dispositivi multifunzionali si applica la policy di sicurezza aziendale

  • Il parco dispositivi di stampa dell'azienda garantisce l'utilizzo sicuro dei dispositivi personali degli utenti

  • L'azienda garantisce che l'infrastruttura di stampa sia aggiornata e che le patch e gli aggiornamenti vengano installati in modo tempestivo ed efficiente

  • Gli ospiti aziendali possono stampare e scansionare senza mettere a rischio la rete aziendale

  • Il reparto IT dell'azienda ha abbastanza tempo per affrontare i problemi di sicurezza

  • L'azienda ha trovato un equilibrio tra la garanzia della sicurezza e la facilità d'uso dei dispositivi

2 utenti hanno votato. Non ci sono astensioni.

Fonte: habr.com

Aggiungi un commento