ProHoster > Dienoraštis > Administravimas > Naujas MFP saugumo lygis: imageRUNNER ADVANCE III

Naujas MFP saugumo lygis: imageRUNNER ADVANCE III

Naujas MFP saugumo lygis: imageRUNNER ADVANCE III

Padidėjus įmontuotų funkcijų skaičiui, biuro MFP jau seniai peržengė trivialų nuskaitymą / spausdinimą. Dabar jie virto visaverčiais nepriklausomais įrenginiais, integruotais į aukštųjų technologijų vietinius ir pasaulinius tinklus, jungiančiais vartotojus ir organizacijas ne tik viename biure, bet ir visame pasaulyje.

Šiame straipsnyje kartu su praktiniu informacijos saugumo ekspertu Luka Safonovu LukaSafonovas Pažvelkime į pagrindines šiuolaikinių biuro MFP grėsmes ir būdus, kaip joms išvengti.

Šiuolaikinė biuro įranga turi savo standžiuosius diskus ir operacines sistemas, kurių dėka MFP gali savarankiškai atlikti įvairiausias dokumentų valdymo užduotis, atleisdamas kitų įrenginių apkrovą. Tačiau tokia aukšta techninė įranga turi ir minusą. Kadangi MFP aktyviai dalyvauja perduodant duomenis tinkle, be tinkamos apsaugos jie tampa visos organizacijos tinklo aplinkos pažeidžiamumu. Bet kurios sistemos saugumą lemia silpniausios grandies apsaugos laipsnis. Todėl bet kokios įmonės serverių ir kompiuterių apsaugos priemonių išlaidos netenka prasmės, jei MFP užpuolikui lieka spraga. Suprasdami konfidencialios informacijos apsaugos problemą, „Canon“ kūrėjai padidino trečiosios platformos versijos saugumo lygį. imageRUNNER ADVANCE, kuris bus aptartas straipsnyje.

Pagrindinės grėsmės

Yra keletas galimų pavojų, susijusių su MFP naudojimu organizacijose:

  • Įsilaužimas į sistemą per neteisėtą prieigą prie MFP ir naudojimas kaip „atskaitos taškas“;
  • MFP naudojimas vartotojo duomenims išfiltruoti;
  • Duomenų perėmimas spausdinant ar nuskaitant;
  • Prieiga prie asmenų duomenų be atitinkamo leidimo;
  • Prieiga prie atspausdintos ar nuskaitytos konfidencialios informacijos;
  • Pasiekite slaptus duomenis nebenaudojamuose įrenginiuose.
  • Dokumentų siuntimas faksu arba el. paštu neteisingu adresu, tyčia arba dėl rašybos klaidos;
  • Neteisėtas konfidencialios informacijos, saugomos neapsaugotuose MFP, peržiūra;
  • Bendra spausdintų užduočių, priklausančių skirtingiems vartotojams, krūva.

„Iš tiesų, šiuolaikiniai MFP dažnai turi didžiulį užpuoliko potencialą. Mūsų projektų patirtis rodo, kad nesukonfigūruoti įrenginiai arba įrenginiai, neturintys atitinkamo apsaugos lygio, suteikia užpuolikams didžiulę galimybę išplėsti vadinamąjį. „Atakos paviršius“. Tai yra paskyrų sąrašas, tinklo adresai, galimybė siųsti el. pašto pranešimus ir daug daugiau. Pabandykime išsiaiškinti, ar „Canon“ siūlomi sprendimai gali neutralizuoti šias grėsmes.

Kiekvienam pažeidžiamumo tipui naujoji „imageRUNNER ADVANCE“ platforma siūlo daugybę papildomų priemonių, kurios užtikrina kelių lygių apsaugą. Pažymėtina, kad kuriant reikėjo specifinio požiūrio dėl MFP veikimo ypatumų. Spausdinant ir nuskaitant dokumentus informacija pereina iš skaitmeninės į analoginę arba atvirkščiai. Kiekviena iš šių informacijos rūšių reikalauja iš esmės skirtingų apsaugos užtikrinimo metodų. Dažniausiai technologijų sandūroje dėl jų nevienalytiškumo susidaro pati pažeidžiamiausia vieta.

„MFP dažnai yra lengvas grobis tiek besidominčiams, tiek užpuolikams. Paprastai taip yra dėl aplaidaus požiūrio į tokių įrenginių nustatymą ir gana lengvo jų prieinamumo tiek biuro aplinkoje, tiek tinklo infrastruktūroje. Vienas iš naujausių atvejų yra orientacinis išpuolis, įvykęs 29 m. lapkričio 2018 d., kai „Twitter“ vartotojas slapyvardžiu TheHackerGiraffe „nulaužė“ daugiau nei 50 000 tinklo spausdintuvų ir išspausdino ant jų lankstinukus, raginančius užsiprenumeruoti „YouTube“ kanalą. tam tikras PewDiePie. „Reddit“ tinkle „TheHackerGiraffe“ teigė galintis sukompromituoti daugiau nei 800 000 įrenginių, tačiau apsiribojo tik 50 000. Tuo pat metu įsilaužėlis pabrėžė, kad pagrindinė problema yra ta, kad jis niekada anksčiau nieko panašaus nedarė, tačiau visi pasiruošimai ir Pats įsilaužimas jam užtruko tik pusvalandį“.

Kai „Canon“ kuria technologijas, produktus ir paslaugas, atsižvelgiame į galimą jų poveikį klientų darbo aplinkai. Štai kodėl „Canon“ biuro daugiafunkciuose spausdintuvuose yra daugybė integruotų ir pasirenkamų saugos funkcijų, padedančių bet kokio dydžio įmonėms pasiekti reikiamą saugos lygį.

Naujas MFP saugumo lygis: imageRUNNER ADVANCE III

„Canon“ turi vieną griežčiausių saugos bandymų režimų visoje biuro įrangos pramonėje. Įrenginiuose naudojamos technologijos tikrinamos, ar jos atitinka įmonės standartus. Daug dėmesio skiriama saugumo patikroms su naujausiais tyrimais, kurių rezultatai sulaukė teigiamų atsiliepimų apie įrenginių veikimą iš tokių įmonių kaip „Kaspersky Lab“, „COMLOGIC“, „TerraLink“ ir „JTI Russia“ ir kt.

„Nepaisant to, kad šiuolaikinėje realybėje logiška didinti savo gaminių saugumą, ne visos įmonės vadovaujasi šiuo principu. Įmonės pradeda galvoti apie apsaugą po tam tikrų produktų įsilaužimo (ir vartotojų spaudimo) incidentų. Iš šios pusės „Canon“ nuodugnus požiūris į apsaugos metodų ir priemonių įgyvendinimą yra orientacinis.

Neteisėta prieiga prie MFP

Labai dažnai neapsaugoti MFP yra tarp prioritetinių tiek vidinių pažeidėjų (saviškių), tiek išorinių taikinių. Šiuolaikinėje realybėje įmonių tinklas neapsiriboja vienu biuru, bet apima grupę padalinių ir vartotojų, turinčių skirtingas geografines vietas. Centralizuotam dokumentų srautui reikalinga nuotolinė prieiga ir MFP įtraukimas į įmonės tinklą. Tinkliniai spausdinimo įrenginiai priklauso daiktų internetui, tačiau jų apsaugai dažnai neskiriamas deramas dėmesys, o tai lemia bendrą visos infrastruktūros pažeidžiamumą.

Siekiant apsisaugoti nuo tokio pobūdžio grėsmės, buvo įgyvendintos šios priemonės:

  • IP ir MAC adresų filtras – sukonfigūruoti taip, kad būtų galima bendrauti tik su įrenginiais, turinčiais konkrečius IP arba MAC adresus. Ši funkcija reguliuoja duomenų perdavimą tiek tinkle, tiek už jo ribų.
  • Proxy serverio konfigūracija – šios funkcijos dėka galite perduoti MFP ryšių valdymą įgaliotajam serveriui. Ši funkcija rekomenduojama jungiantis prie įrenginių, esančių už įmonės tinklo ribų.
  • IEEE 802.1X autentifikavimas yra dar viena apsauga nuo prijungimo įrenginių, kurie nėra įgalioti autentifikavimo serverio. Neteisėtą prieigą blokuoja LAN jungiklis.
  • Ryšys per IPSec – apsaugo nuo bandymų perimti arba iššifruoti tinklu perduodamus IP paketus. Rekomenduojama naudoti su papildomu TLS ryšio šifravimu.
  • Uosto valdymas – skirtas apsaugoti nuo viešai neatskleistos pagalbos užpuolikams. Ši funkcija yra atsakinga už prievado parametrų konfigūravimą pagal saugos politiką.
  • Automatinis sertifikatų registravimas – ši funkcija sistemos administratoriams suteikia patogų įrankį automatiškai išduoti ir atnaujinti saugos sertifikatus.
  • Wi-Fi Direct – ši funkcija skirta saugiam spausdinimui iš mobiliųjų įrenginių. Norėdami tai padaryti, mobiliojo įrenginio nereikia prijungti prie įmonės tinklo. Naudojant tiesioginį „Wi-Fi“ ryšį tarp įrenginio ir MFP sukuriamas vietinis lygiavertis ryšys.
  • Žurnalų stebėjimas – visi su MFP naudojimu susiję įvykiai, įskaitant užblokuotus prisijungimo užklausas, realiuoju laiku įrašomi į įvairius sistemos žurnalus. Analizuodami įrašus galite aptikti galimas ir esamas grėsmes, sukurti prevencinę saugumo politiką ir atlikti jau įvykusių informacijos nutekėjimų ekspertinį vertinimą.
  • Įrenginio šifravimas – ši parinktis užšifruoja spausdinimo užduotis, kai jos siunčiamos iš vartotojo kompiuterio į daugiafunkcį spausdintuvą. Taip pat galite užšifruoti nuskaitytus PDF duomenis įjungdami išsamų saugos funkcijų rinkinį.
  • Svečių spausdinimas iš mobiliųjų įrenginių. Saugi tinklo spausdinimo ir nuskaitymo valdymo programinė įranga pašalina įprastas saugumo problemas, susijusias su spausdinimu iš mobiliojo telefono ir svečių spausdinimo, suteikdama išorinius spausdinimo užduočių pateikimo būdus, tokius kaip el. paštas, žiniatinklis ir programa mobiliesiems. Tai užtikrina, kad MFP veiktų iš saugaus šaltinio ir sumažinama įsilaužimo tikimybė.

„Dalijimasis tokiais įrenginiais, be patogumo ir sąnaudų mažinimo, taip pat sukelia prieigą prie trečiųjų šalių informacijos. Tuo gali pasinaudoti ne tik užpuolikai, bet ir nesąžiningi darbuotojai, siekdami asmeninės naudos ar gauti viešai neatskleistos informacijos. O didelis apdorojamos informacijos potencialas – nuo ​​technologinių paslapčių iki finansinės dokumentacijos – yra svarbus atakos ar neteisėto naudojimo prioritetas.

Naujoji „imageRUNNER ADVANCE“ platformos versija yra galimybė prijungti spausdinimo įrenginius prie dviejų tinklų. Tai labai patogu, kai MFP vienu metu naudojamas įmonės ir svečio režimu.

Duomenų apsauga kietajame diske

Daugiafunkciame spausdintuve visada yra daug duomenų, kuriuos reikia apsaugoti – nuo ​​eilėje esančių spausdinimo užduočių iki gautų faksogramų, nuskaitytų vaizdų, adresų knygų, veiklos žurnalų ir užduočių istorijos.

Tiesą sakant, diskas yra tik laikina saugykla, o informacijos laikymas jame ilgiau nei būtina padidina įmonės apsaugos sistemos pažeidžiamumą. Kad taip nenutiktų, nustatymuose galite nustatyti standžiojo disko valymo grafiką. Be to, kad spausdinimo užduotys išvalomos iš karto pasibaigus arba nepavykus spausdinti, kiti failai gali būti ištrinti pagal grafiką, kad būtų išvalyti likutiniai duomenys.

„Deja, net daugelis IT specialistų menkai išmano standžiojo disko vaidmenį šiuolaikiniuose spausdinimo įrenginiuose. Kietojo disko buvimas gali žymiai sutrumpinti parengiamojo spausdinimo etapo trukmę. Kietieji diskai paprastai saugo sistemos informaciją, grafinius failus ir rastrinius vaizdus kopijoms spausdinti. Be netinkamo MFP šalinimo ir duomenų nutekėjimo galimybės, yra galimybė išardyti / pavogti standųjį diską analizei atlikti arba atlikti specializuotas atakas duomenims išfiltruoti, pavyzdžiui, naudojant Printer Exploitation Toolkit.

„Canon“ įrenginiai siūlo daugybę įrankių, skirtų apsaugoti jūsų duomenis per visą įrenginio gyvavimo ciklą, kartu išlaikant jų konfidencialumą, vientisumą ir pasiekiamumą.
Daug dėmesio skiriama standžiajame diske esančių duomenų apsaugai. Ten saugoma informacija gali turėti skirtingą konfidencialumo laipsnį. Todėl HDD šifravimas naudojamas visuose 26 įrenginių modeliuose 7 skirtingose ​​naujosios „imageRUNNER ADVANCE“ platformos versijos serijose. Jis atitinka JAV vyriausybės FIPS 140-2 Level 2 saugumo standartą, taip pat japonų atitikmenį JCVMP.

„Svarbu turėti informacijos prieigos sistemą, kurioje būtų atsižvelgta į vartotojų vaidmenis ir prieigos lygius. Pavyzdžiui, daugelyje įmonių diskutuoti apie atlyginimus tarp darbuotojų griežtai draudžiama, o atlyginimų lapelių ar informacijos apie priedus nutekinimas gali išprovokuoti rimtą konfliktą kolektyve. Deja, žinau tokių atvejų, viename iš jų dėl to buvo atleistas darbuotojas, atsakingas už tokį nutekėjimą.

  • Kietojo disko šifravimas. „imageRUNNER ADVANCE“ įrenginiai užšifruoja visus standžiajame diske esančius duomenis, kad padidintų saugumą.
  • Kietojo disko valymas. Kai kurie duomenys, pvz., nukopijuoti arba nuskaityti duomenys arba iš kompiuterio atspausdinti dokumento duomenys, ribotą laiką saugomi spausdintuvo standžiajame diske ir ištrinami užbaigus užduotį.
  • Visų duomenų ir parametrų inicijavimas. Norėdami išvengti duomenų praradimo keičiant arba išmetant standųjį diską, galite perrašyti visus standžiajame diske esančius dokumentus ir duomenis, tada iš naujo nustatyti numatytąsias reikšmes.
  • Atsarginė standžiojo disko kopija. Įmonės dabar turi galimybę kurti atsargines duomenų kopijas iš įrenginio standžiojo disko į pasirenkamą standųjį diską. Kuriant atsargines kopijas abiejų standžiųjų diskų duomenys yra visiškai užšifruoti.
  • Nuimamas kietojo disko komplektas. Ši parinktis leidžia išimti standųjį diską iš įrenginio, kad jį būtų galima saugiai laikyti, kai įrenginys nenaudojamas.

Svarbių duomenų nutekėjimas

Visos įmonės tvarko konfidencialius dokumentus, tokius kaip sutartys, susitarimai, apskaitos dokumentai, klientų duomenys, plėtros skyrių planai ir daug daugiau. Tokiems dokumentams patekus į netinkamas rankas, pasekmės gali būti įvairios – nuo ​​žalos reputacijai iki didelių baudų ar net ieškinių. Užpuolikai gali kontroliuoti įmonės turtą, viešai neatskleistą informaciją arba konfidencialią informaciją.

„Vertingą informaciją vagia ne tik konkurentai ar sukčiai. Neretai pasitaiko atvejų, kai darbuotojai nusprendžia plėtoti savo verslą arba slapta užsidirbti papildomų pinigų parduodant informaciją išorei. Tokiose situacijose spausdintuvas tampa pagrindiniu jų asistentu. Bet kokį duomenų perdavimą įmonės viduje lengva sekti. Be to, ne paprasti darbuotojai turi prieigą prie vertingos informacijos. O kas gali būti lengviau paprastam vadovui, kaip pavogti be darbo gulintį vertingą dokumentą? Kiekvienas gali susidoroti su šia užduotimi. Atspausdintus dokumentus net ne visada reikia išnešti už organizacijos ribų. Užtenka telefonu su gera kamera greitai nufotografuoti tuščiai gulinčias medžiagas.

Naujas MFP saugumo lygis: imageRUNNER ADVANCE III

„Canon“ siūlo daugybę saugos sprendimų, padedančių apsaugoti neskelbtinus dokumentus per visą jų gyvavimo ciklą.

Spausdintų dokumentų konfidencialumas

Vartotojas gali nustatyti spausdinimo PIN kodą, kad dokumentas būtų pradėtas spausdinti tik įrenginyje įvedus teisingą PIN kodą. Tai leidžia apsaugoti konfidencialius dokumentus.

„Naudotojų patogumui MFP dažnai galima pamatyti viešai prieinamose organizacijos vietose. Tai gali būti salės ir posėdžių salės, koridoriai ir priėmimo zonos. Tik identifikatorių (PIN kodų, intelektualiųjų kortelių) naudojimas garantuos informacijos saugumą vartotojo prieigos lygio kontekste. Žymūs atvejai buvo, kai vartotojai gavo prieigą prie anksčiau išsiųstų dokumentų, pasų nuskaitytų dokumentų ir kt. dėl netinkamos kontrolės ir duomenų valymo funkcijų trūkumo.

„imageRUNNER ADVANCE“ įrenginyje administratorius gali pristabdyti visas pateiktas spausdinimo užduotis, todėl naudotojai turi prisijungti, kad galėtų spausdinti, taip apsaugodamas visos spausdintos medžiagos privatumą.

Spausdinimo užduotys arba nuskaityti dokumentai gali būti saugomi pašto dėžutėse, kad bet kada būtų lengviau pasiekti. Pašto dėžutės gali būti apsaugotos PIN kodu, kad tik paskirti vartotojai galėtų prieiti prie jų turinio. Naudokite šią saugią savo įrenginio vietą dažnai spausdinamiems dokumentams (pvz., firminiams blankams ir blankams), kuriuos reikia atidžiai tvarkyti, laikyti.

Visiška dokumentų ir faksogramų siuntimo kontrolė

Siekdami sumažinti informacijos nutekėjimo riziką, administratoriai gali apriboti prieigą prie įvairių gavėjų, pavyzdžiui, tiems, kurie nėra LDAP serverio adresų knygelėje, nėra registruoti sistemoje ar konkrečiame domene.

Kad dokumentai nebūtų siunčiami neteisingiems gavėjams, turite išjungti automatinį el. pašto adresų pildymą.

Apsaugos PIN kodo nustatymas apsaugos įrenginio adresų knygą nuo neteisėtos vartotojo prieigos.

Reikalaujant naudotojams iš naujo įvesti fakso numerį, dokumentai nebus siunčiami netinkamiems gavėjams.

Apsaugojus dokumentus ir faksogramas konfidencialiame aplanke arba PIN kodu, dokumentai bus saugiai saugomi atmintyje ir jų nereikės spausdinti.

Dokumento šaltinio ir autentiškumo patikrinimas

Prie nuskaitytų PDF arba XPS dokumentų galima pridėti įrenginio parašą naudojant raktą ir sertifikavimo mechanizmą, kad gavėjas galėtų patikrinti dokumento šaltinį ir autentiškumą.

„Elektroniniame dokumente jo rekvizitas yra elektroninis skaitmeninis parašas (EDS), skirtas apsaugoti šį elektroninį dokumentą nuo klastojimo ir leidžiantis nustatyti parašo rakto sertifikato savininką, taip pat nustatyti, ar dokumente nėra iškraipyta informacija. elektroninis dokumentas. Taip užtikrinamas perduodamo dokumento saugumas ir tikslus jo savininko identifikavimas, o tai padeda išlaikyti informacijos patikimumą.“

Vartotojo parašas leidžia siųsti PDF arba XPS failus su unikaliu vartotojo skaitmeniniu parašu, gautu iš sertifikavimo įmonės. Taip gavėjas galės patikrinti, kas pasirašė dokumentą.

Integracija su ADOBE LIFECYCLE MANAGEMENT ES

Vartotojai gali apsaugoti PDF failus ir taikyti jiems nuoseklią bei dinamišką politiką, kad galėtų kontroliuoti prieigą ir naudojimo teises bei apsaugoti konfidencialią ir vertingą informaciją nuo netyčinio ar kenkėjiško atskleidimo. Saugos strategijos palaikomos serverio lygiu, todėl leidimus galima keisti net ir išplatinus failą. „imageRUNNER ADVANCE“ serijos įrenginius galima sukonfigūruoti taip, kad jie būtų integruoti su „Adobe ES“.

Saugus spausdinimas naudojant uniFLOW MyPrintAnywhere leidžia siųsti spausdinimo užduotis per universalią tvarkyklę ir spausdinti jas bet kuriuo tinklo spausdintuvu.

Pasikartojimų prevencija

Tvarkyklės leidžia spausdinti matomus ženklus puslapyje, kuris rodomas dokumento turinio viršuje. Taip galima informuoti darbuotojus apie dokumento konfidencialumą ir neleisti jo kopijuoti.

Spausdinti/kopijuoti su nematomais vandens ženklais – dokumentai bus spausdinami arba kopijuojami su fone įterptu paslėptu tekstu, kuris atsiras, kai bus sukurtas dublikatas, ir veiks kaip atgrasymo priemonė.

NTware (priklauso Canon įmonių grupei) programinės įrangos uniFLOW galimybės suteikia papildomų efektyvių įrankių dokumentų saugumui užtikrinti.
Naudojant uniFLOW kartu su iW SAM Express, galėsite suskaitmeninti ir archyvuoti dokumentus, siunčiamus į spausdintuvą arba gautus iš įrenginio, taip pat analizuoti tekstinius duomenis ir atributus reaguojant į saugumo grėsmes.

Stebėkite dokumento šaltinį naudodami įterptąjį kodą.

Dokumentų nuskaitymo blokavimas – ši parinktis į spausdinamus dokumentus ir kopijas įterpia paslėptą kodą, kuris neleidžia jų toliau kopijuoti įrenginyje, kuriame ši funkcija įjungta. Administratorius gali naudoti šią parinktį visoms arba tik vartotojo pasirinktoms užduotims. Galima įterpti TL ir QR kodus.

„Atlikę testus ir susipažinę su „imageRUNNER ADVANCE III“ technologijos funkcionalumu, galėjome patvirtinti pagrindinį atitikimą šiuolaikinėms IT saugumo strategijoms. Minėtos apsaugos priemonės atitinka pagrindinius saugumo reikalavimus ir gali sumažinti informacijos saugumo pažeidimų riziką.

Naujausiuose „imageRUNNER ADVANCE“ įrenginiuose įdiegta saugos politikos funkcija, leidžianti administratoriui valdyti visus saugos nustatymus viename meniu ir juos redaguoti prieš taikant kaip įrenginio konfigūraciją. Pritaikius įrenginį naudoti ir nustatymų pakeitimai turi atitikti šią politiką. Saugos politika gali būti apsaugota atskiru slaptažodžiu, kad būtų užtikrinta papildoma kontrolė ir apsauga, ir prie jos gali susipažinti tik atsakingas IT saugos specialistas.

„Būtina rasti ir išlaikyti pusiausvyrą tarp saugumo ir patogumo, išmintingai naudojant technologijų pažangą ir techninius sprendimus informacijai apsaugoti, pasitelkti kvalifikuotą personalą ir sumaniai valdyti skirtas lėšas įmonės saugumui užtikrinti.

Pagalba ruošiant medžiagą - Luka Safonov, Praktinės laboratorijos vedėjas
saugumo analizė, Jet Information Systems.

Apklausoje gali dalyvauti tik registruoti vartotojai. Prisijungti, Prašau.

Kiek visapusiškas jūsų požiūris į įmonės saugumą?

  • Įmonės saugumo politika taikoma daugiafunkcinių įrenginių parkui

  • Įmonės spausdinimo įrenginių parkas užtikrina saugų vartotojų asmeninių įrenginių naudojimą

  • Bendrovė užtikrina, kad spausdinimo infrastruktūra būtų atnaujinta, pataisos ir naujinimai būtų įdiegti laiku ir efektyviai

  • Įmonės svečiai gali spausdinti ir nuskaityti nekeldami pavojaus įmonės tinklui

  • Įmonės IT skyrius turi pakankamai laiko spręsti saugumo klausimus

  • Bendrovė rado balansą tarp saugumo užtikrinimo ir įrenginių naudojimo paprastumo

Balsavo 2 vartotojai. Susilaikiusiųjų nėra.

Šaltinis: www.habr.com

Добавить комментарий