ProHoster > Blog > Pentadbiran > Tahap keselamatan MFP baharu: imageRUNNER ADVANCE III

Tahap keselamatan MFP baharu: imageRUNNER ADVANCE III

Tahap keselamatan MFP baharu: imageRUNNER ADVANCE III

Dengan peningkatan dalam fungsi terbina dalam, MFP pejabat telah lama melangkaui pengimbasan/pencetakan remeh. Kini mereka telah bertukar menjadi peranti bebas sepenuhnya, disepadukan ke dalam rangkaian tempatan dan global berteknologi tinggi, menghubungkan pengguna dan organisasi bukan sahaja dalam satu pejabat, tetapi di seluruh dunia.

Dalam artikel ini, bersama pakar keselamatan maklumat praktikal Luka Safonov LukaSafonov Mari kita lihat ancaman utama kepada MFP pejabat moden dan cara untuk mencegahnya.

Peralatan pejabat moden mempunyai pemacu keras dan sistem pengendaliannya sendiri, berkat MFP yang boleh melaksanakan pelbagai tugas pengurusan dokumen secara bebas, melegakan beban pada peranti lain. Walau bagaimanapun, peralatan teknikal yang tinggi itu juga mempunyai kelemahan. Memandangkan MFP mengambil bahagian aktif dalam menghantar data melalui rangkaian, tanpa perlindungan yang sewajarnya, ia menjadi kelemahan dalam keseluruhan persekitaran rangkaian organisasi. Keselamatan mana-mana sistem ditentukan oleh tahap perlindungan pautan paling lemah. Oleh itu, sebarang kos untuk langkah perlindungan untuk pelayan perusahaan dan komputer menjadi tidak bermakna jika masih ada kelemahan untuk penyerang melalui MFP. Memahami masalah melindungi maklumat sulit, pembangun Canon telah meningkatkan tahap keselamatan versi ketiga platform imageRUNNER ADVANCE, yang akan dibincangkan dalam artikel.

Ancaman utama

Terdapat beberapa potensi risiko yang berkaitan dengan penggunaan MFP dalam organisasi:

  • Penggodaman sistem melalui akses tanpa kebenaran kepada MFP dan digunakan sebagai "titik rujukan";
  • Menggunakan MFP untuk mengeluarkan data pengguna;
  • Pemintasan data semasa mencetak atau mengimbas;
  • Akses kepada data orang tanpa kebenaran yang sesuai;
  • Akses kepada maklumat sulit yang dicetak atau diimbas;
  • Akses data sensitif pada peranti akhir hayat.
  • Menghantar dokumen melalui faks atau e-mel ke alamat yang salah, dengan sengaja atau akibat kesilapan menaip;
  • Melihat tanpa kebenaran maklumat sulit yang disimpan pada MFP yang tidak dilindungi;
  • Timbunan kerja bercetak yang dikongsi milik pengguna yang berbeza.

“Memang, MFP moden selalunya mengandungi potensi besar untuk penyerang. Pengalaman projek kami menunjukkan bahawa peranti yang tidak dikonfigurasikan, atau peranti tanpa tahap perlindungan yang sesuai, memberi penyerang peluang besar untuk mengembangkan apa yang dipanggil. "permukaan serangan". Ini mendapat senarai akaun, pengalamatan rangkaian, keupayaan untuk menghantar mesej e-mel dan banyak lagi. Mari cuba ketahui sama ada penyelesaian yang ditawarkan oleh Canon mampu meneutralkan ancaman ini."

Untuk setiap jenis kelemahan, platform imageRUNNER ADVANCE baharu menyediakan pelbagai langkah pelengkap yang menyediakan perlindungan berbilang peringkat. Perlu diingatkan bahawa pembangunan memerlukan pendekatan khusus kerana keanehan operasi MFP. Apabila mencetak dan mengimbas dokumen, maklumat beralih daripada digital kepada analog atau sebaliknya. Setiap jenis maklumat ini memerlukan kaedah asas yang berbeza untuk memastikan perlindungan. Biasanya, di persimpangan teknologi, kerana kepelbagaian mereka, tempat yang paling terdedah terbentuk.

“MFP sering menjadi mangsa mudah bagi kedua-dua pentester dan penyerang. Sebagai peraturan, ini disebabkan oleh sikap cuai untuk menyediakan peranti sedemikian dan ketersediaannya yang agak mudah, baik dalam persekitaran pejabat dan dalam infrastruktur rangkaian. Salah satu kes terbaharu ialah serangan indikatif yang berlaku pada 29 November 2018, apabila pengguna Twitter dengan nama samaran TheHackerGiraffe "menggodam" lebih daripada 50 pencetak rangkaian dan risalah bercetak pada mereka yang menyeru orang ramai melanggan saluran YouTube sebuah PewDiePie tertentu. Di Reddit, TheHackerGiraffe berkata bahawa dia boleh menjejaskan lebih daripada 000 peranti, tetapi mengehadkan dirinya kepada hanya 800. Pada masa yang sama, penggodam itu menekankan bahawa masalah utamanya ialah dia tidak pernah melakukan perkara seperti ini sebelum ini, tetapi semua persiapan dan hack itu sendiri hanya mengambil masa setengah jam".

Apabila Canon membangunkan teknologi, produk dan perkhidmatan, kami mempertimbangkan potensi kesannya terhadap persekitaran kerja pelanggan. Itulah sebabnya pencetak pelbagai fungsi pejabat Canon datang dengan pelbagai ciri keselamatan terbina dalam dan pilihan untuk membantu perniagaan dari semua saiz mencapai tahap keselamatan yang mereka perlukan.

Tahap keselamatan MFP baharu: imageRUNNER ADVANCE III

Canon mempunyai salah satu rejim ujian keselamatan yang paling ketat dalam keseluruhan industri peralatan pejabat. Teknologi yang digunakan dalam peranti diuji untuk pematuhan piawaian syarikat. Banyak perhatian diberikan kepada pemeriksaan keselamatan dengan peperiksaan terkini, yang hasilnya telah menerima maklum balas positif mengenai pengendalian peranti daripada syarikat seperti Kaspersky Lab, COMLOGIC, TerraLink dan JTI Russia dan lain-lain.

“Walaupun hakikatnya dalam realiti moden adalah logik untuk meningkatkan keselamatan produk mereka, tidak semua syarikat mengikut prinsip ini. Syarikat mula memikirkan tentang perlindungan selepas insiden penggodaman (dan tekanan daripada pengguna) produk tertentu. Dari sisi ini, pendekatan menyeluruh Canon terhadap pelaksanaan kaedah dan langkah perlindungan adalah petunjuk."

Akses tanpa kebenaran kepada MFP

Selalunya, MFP yang tidak dilindungi adalah antara sasaran keutamaan kedua-dua pelanggar dalaman (orang dalam) dan luar. Dalam realiti moden, rangkaian korporat tidak terhad kepada satu pejabat, tetapi termasuk sekumpulan jabatan dan pengguna dengan lokasi geografi yang berbeza. Aliran dokumen terpusat memerlukan akses jauh dan kemasukan MFP dalam rangkaian korporat. Peranti percetakan rangkaian tergolong dalam Internet Perkara, tetapi perlindungannya sering tidak diberi perhatian sewajarnya, yang membawa kepada kelemahan keseluruhan keseluruhan infrastruktur.

Untuk melindungi daripada jenis ancaman ini, langkah-langkah berikut telah dilaksanakan:

  • Penapis alamat IP dan MAC – konfigurasikan untuk membenarkan komunikasi hanya dengan peranti yang mempunyai alamat IP atau MAC tertentu. Fungsi ini mengawal pemindahan data di dalam rangkaian dan di luarnya.
  • Konfigurasi pelayan proksi - terima kasih kepada fungsi ini, anda boleh mewakilkan kawalan sambungan MFP kepada pelayan proksi. Ciri ini disyorkan apabila menyambung ke peranti di luar rangkaian korporat.
  • Pengesahan IEEE 802.1X ialah satu lagi perlindungan terhadap peranti penyambung yang tidak dibenarkan oleh pelayan pengesahan. Akses tanpa kebenaran disekat oleh suis LAN.
  • Sambungan melalui IPSec – melindungi daripada percubaan untuk memintas atau menyahsulit paket IP yang dihantar melalui rangkaian. Adalah disyorkan untuk digunakan dengan penyulitan komunikasi TLS tambahan.
  • Pengurusan pelabuhan - direka untuk melindungi daripada bantuan orang dalam kepada penyerang. Fungsi ini bertanggungjawab untuk mengkonfigurasi parameter port mengikut dasar keselamatan.
  • Pendaftaran Sijil Automatik – Ciri ini memberikan pentadbir sistem alat yang mudah untuk mengeluarkan dan memperbaharui sijil keselamatan secara automatik.
  • Wi-Fi terus – fungsi ini direka untuk mencetak selamat dari peranti mudah alih. Untuk melakukan ini, peranti mudah alih tidak perlu disambungkan ke rangkaian korporat. Menggunakan Wi-Fi terus, sambungan peer-to-peer setempat antara peranti dan MFP dibuat.
  • Pemantauan log – semua peristiwa yang berkaitan dengan penggunaan MFP, termasuk permintaan sambungan yang disekat, direkodkan dalam pelbagai log sistem dalam masa nyata. Dengan menganalisis rekod, anda boleh mengesan potensi dan ancaman sedia ada, membina dasar keselamatan pencegahan dan menjalankan penilaian pakar tentang kebocoran maklumat yang telah berlaku.
  • Penyulitan Peranti—Pilihan ini menyulitkan kerja cetakan kerana ia dihantar daripada PC pengguna ke pencetak pelbagai fungsi. Anda juga boleh menyulitkan data PDF yang diimbas dengan mendayakan set ciri keselamatan yang komprehensif.
  • Pencetakan tetamu daripada peranti mudah alih. Perisian pengurusan cetakan dan imbasan rangkaian yang selamat menghapuskan isu keselamatan biasa yang berkaitan dengan pencetakan mudah alih dan tetamu dengan menyediakan kaedah luaran untuk menyerahkan kerja cetakan seperti e-mel, web dan apl mudah alih. Ini memastikan bahawa MFP beroperasi daripada sumber yang selamat, meminimumkan kemungkinan penggodaman.

“Perkongsian peranti sedemikian, selain kemudahan dan pengurangan kos, juga melibatkan risiko akses kepada maklumat pihak ketiga. Ini boleh digunakan bukan sahaja oleh penyerang, tetapi juga oleh pekerja yang tidak bertanggungjawab untuk mendapatkan faedah peribadi atau mendapatkan maklumat orang dalam. Dan potensi besar maklumat yang sedang diproses - daripada rahsia teknologi kepada dokumentasi kewangan - adalah keutamaan penting untuk serangan atau penggunaan tidak sah."

Baharu kepada versi baharu platform imageRUNNER ADVANCE ialah keupayaan untuk menyambungkan peranti pencetak kepada dua rangkaian. Ini sangat mudah apabila MFP digunakan secara serentak dalam mod korporat dan tetamu.

Perlindungan data cakera keras

Pencetak berbilang fungsi anda sentiasa mengandungi sejumlah besar data yang perlu dilindungi—daripada kerja cetakan beratur kepada faks yang diterima, imej yang diimbas, buku alamat, log aktiviti dan sejarah kerja.

Sebenarnya, cakera hanya storan sementara, dan menyimpan maklumat padanya lebih lama daripada yang diperlukan meningkatkan kelemahan sistem keselamatan korporat. Untuk mengelakkan ini daripada berlaku, anda boleh menetapkan jadual pembersihan cakera keras dalam tetapan. Selain fakta bahawa kerja cetakan dibersihkan serta-merta selepas selesai atau apabila pencetakan gagal, fail lain boleh dipadamkan mengikut jadual untuk mengosongkan data sisa.

“Malangnya, walaupun ramai profesional IT kurang menyedari peranan cakera keras dalam peranti percetakan moden. Kehadiran cakera keras boleh mengurangkan dengan ketara tempoh peringkat percetakan persediaan. Pemacu keras biasanya menyimpan maklumat sistem, fail grafik dan imej raster untuk mencetak salinan. Selain pelupusan MFP yang tidak betul dan kemungkinan kebocoran data, terdapat kemungkinan pembongkaran/pencurian cakera keras untuk analisis, atau melakukan serangan khusus untuk mengeksfiltrasi data, contohnya menggunakan Kit Alat Eksploitasi Pencetak."

Peranti Canon menawarkan pelbagai alat untuk melindungi data anda sepanjang kitaran hayat peranti, sambil mengekalkan kerahsiaan, integriti dan ketersediaannya.
Banyak perhatian diberikan untuk melindungi data pada cakera keras. Maklumat yang disimpan di sana mungkin mempunyai tahap kerahsiaan yang berbeza-beza. Oleh itu, penyulitan HDD digunakan pada semua 26 model peranti dalam 7 siri berbeza versi baharu platform imageRUNNER ADVANCE. Ia mematuhi piawaian keselamatan FIPS 140-2 Tahap 2 kerajaan AS, serta JCVMP yang setara dengan Jepun.

“Adalah penting untuk mempunyai sistem untuk mengakses maklumat yang mengambil kira peranan pengguna dan tahap akses. Sebagai contoh, dalam banyak syarikat, perbincangan mengenai gaji di kalangan pekerja adalah dilarang sama sekali, dan kebocoran slip gaji atau maklumat tentang bonus boleh mencetuskan konflik yang serius dalam pasukan. Malangnya, saya tahu tentang kes sebegini, dalam salah satu daripadanya ini membawa kepada pemecatan pekerja yang bertanggungjawab untuk kebocoran seperti ini.”

  • Penyulitan cakera keras. Peranti imageRUNNER ADVANCE menyulitkan semua data pada cakera keras anda untuk meningkatkan keselamatan.
  • Membersihkan cakera keras. Sesetengah data, seperti data yang disalin atau diimbas, atau data dokumen yang dicetak daripada komputer, disimpan pada pemacu keras pencetak untuk masa yang terhad dan dipadamkan selepas kerja selesai.
  • Inisialisasi semua data dan parameter. Untuk mengelakkan kehilangan data apabila menggantikan atau melupuskan cakera keras anda, anda boleh menulis ganti semua dokumen dan data pada cakera keras, dan kemudian menetapkan semula tetapan kepada nilai lalainya.
  • Sandarkan cakera keras. Syarikat kini mempunyai keupayaan untuk menyandarkan data daripada pemacu keras peranti kepada pemacu keras pilihan. Apabila membuat sandaran, data pada kedua-dua cakera keras disulitkan sepenuhnya.
  • Kit cakera keras boleh tanggal. Pilihan ini membolehkan anda mengeluarkan cakera keras daripada peranti untuk storan yang selamat semasa peranti tidak digunakan.

Kebocoran data kritikal

Semua syarikat berurusan dengan dokumen sulit seperti kontrak, perjanjian, dokumen perakaunan, data pelanggan, rancangan jabatan pembangunan dan banyak lagi. Jika dokumen sedemikian jatuh ke tangan yang salah, akibatnya boleh terdiri daripada kerosakan reputasi kepada denda yang besar atau bahkan tindakan undang-undang. Penyerang boleh mengawal aset syarikat, maklumat orang dalam atau sulit.

“Bukan hanya pesaing atau penipu yang mencuri maklumat berharga. Selalunya terdapat kes apabila pekerja membuat keputusan untuk membangunkan perniagaan mereka sendiri atau secara rahsia memperoleh wang tambahan dengan menjual maklumat kepada pihak luar. Dalam situasi sedemikian, pencetak menjadi pembantu utama mereka. Sebarang pemindahan data dalam syarikat mudah dijejaki. Di samping itu, bukan pekerja biasa yang mempunyai akses kepada maklumat berharga. Dan apa yang lebih mudah untuk pengurus biasa daripada mencuri dokumen berharga yang terbiar? Sesiapa sahaja boleh mengatasi tugas ini. Dokumen bercetak tidak semestinya perlu dibawa ke luar organisasi. Ia cukup untuk mengambil gambar dengan cepat bahan-bahan yang terletak di sekeliling terbiar pada telefon dengan kamera yang baik."

Tahap keselamatan MFP baharu: imageRUNNER ADVANCE III

Canon menawarkan pelbagai penyelesaian keselamatan untuk membantu anda melindungi dokumen sensitif sepanjang keseluruhan kitaran hayatnya.

Kerahsiaan dokumen bercetak

Pengguna boleh menetapkan PIN pencetakan supaya dokumen mula mencetak hanya selepas memasukkan PIN yang betul pada peranti. Ini membolehkan anda melindungi dokumen sulit.

“MFP selalunya boleh dilihat di kawasan organisasi yang boleh diakses secara umum untuk kemudahan pengguna. Ini boleh menjadi dewan dan bilik mesyuarat, koridor dan kawasan penerimaan tetamu. Hanya penggunaan pengecam (kod PIN, kad pintar) akan menjamin keselamatan maklumat dalam konteks tahap akses pengguna. Kes yang ketara ialah apabila pengguna mendapat akses kepada dokumen yang dihantar sebelum ini, imbasan pasport, dsb. akibat daripada kawalan yang tidak mencukupi dan kekurangan fungsi pembersihan data.”

Pada peranti imageRUNNER ADVANCE, pentadbir boleh menjeda semua kerja cetakan yang diserahkan, memerlukan pengguna log masuk untuk mencetak, dengan itu melindungi privasi semua bahan bercetak.

Kerja cetak atau dokumen yang diimbas boleh disimpan dalam peti mel untuk akses mudah pada bila-bila masa. Peti mel boleh dilindungi dengan kod PIN untuk memastikan bahawa hanya pengguna yang ditetapkan boleh mengakses kandungan mereka. Gunakan ruang selamat ini pada peranti anda untuk menyimpan dokumen yang kerap dicetak (seperti kepala surat dan borang) yang memerlukan pengendalian yang teliti.

Kawalan penuh ke atas penghantaran dokumen dan faks

Untuk mengurangkan risiko kebocoran maklumat, pentadbir boleh menyekat akses kepada pelbagai penerima, contohnya mereka yang tiada dalam buku alamat pada pelayan LDAP, tidak berdaftar dalam sistem atau pada domain tertentu.

Untuk mengelakkan dokumen daripada dihantar kepada penerima yang salah, anda mesti melumpuhkan autolengkap untuk alamat e-mel.

Menetapkan kod PIN untuk perlindungan akan melindungi buku alamat peranti daripada akses pengguna yang tidak dibenarkan.

Memerlukan pengguna memasukkan semula nombor faks akan menghalang dokumen daripada dihantar kepada penerima yang salah.

Melindungi dokumen dan faks dalam folder sulit atau PIN akan memastikan dokumen disimpan dengan selamat dalam ingatan tanpa perlu mencetaknya.

Mengesahkan sumber dan ketulenan dokumen

Tandatangan peranti boleh ditambahkan pada dokumen PDF atau XPS yang diimbas menggunakan kunci dan mekanisme pensijilan supaya penerima boleh mengesahkan sumber dan ketulenan dokumen.

“Dalam dokumen elektronik, tandatangan digital elektronik (EDS) adalah keperluannya, direka bentuk untuk melindungi dokumen elektronik ini daripada pemalsuan dan membolehkan anda mengenal pasti pemilik sijil kunci tandatangan, serta menentukan ketiadaan herotan maklumat dalam dokumen elektronik. Ini memastikan keselamatan dokumen yang dihantar dan pengenalan tepat pemiliknya, yang membantu mengekalkan kebolehpercayaan maklumat itu.”

Tandatangan Pengguna membolehkan anda menghantar fail PDF atau XPS dengan tandatangan digital unik pengguna yang diperoleh daripada syarikat pensijilan. Dengan cara ini penerima akan dapat menyemak siapa yang menandatangani dokumen tersebut.

Integrasi dengan ADOBE LIFECYCLE MANAGEMENT ES

Pengguna boleh melindungi fail PDF dan menggunakan dasar yang konsisten dan dinamik kepada mereka untuk mengawal akses dan hak penggunaan, dan melindungi maklumat sulit dan berharga daripada pendedahan yang tidak disengajakan atau berniat jahat. Dasar keselamatan dikekalkan di peringkat pelayan, jadi kebenaran boleh ditukar walaupun selepas fail telah diedarkan. Peranti siri imageRUNNER ADVANCE boleh dikonfigurasikan untuk disepadukan dengan Adobe ES.

Pencetakan selamat dengan uniFLOW MyPrintAnywhere membolehkan anda menghantar kerja cetakan melalui pemacu universal dan mencetaknya ke mana-mana pencetak pada rangkaian anda.

Mencegah Pendua

Pemacu membenarkan anda mencetak tanda yang boleh dilihat pada halaman yang muncul di atas kandungan dokumen. Ini boleh digunakan untuk memaklumkan pekerja tentang kerahsiaan dokumen dan menghalangnya daripada disalin.

Cetak/Salin dengan Tera Air Halimunan - Dokumen akan dicetak atau disalin dengan teks tersembunyi yang dibenamkan di latar belakang, yang akan muncul apabila pendua dibuat dan bertindak sebagai penghalang.

Keupayaan perisian uniFLOW daripada NTware (sebahagian daripada kumpulan syarikat Canon) menyediakan alat tambahan yang berkesan untuk memastikan keselamatan dokumen.
Menggunakan uniFLOW dalam kombinasi dengan iW SAM Express akan membolehkan anda mendigitalkan dan mengarkibkan dokumen yang dihantar ke pencetak atau diterima daripada peranti, serta menganalisis data teks dan atribut apabila bertindak balas terhadap ancaman keselamatan.

Jejaki sumber dokumen menggunakan kod terbenam.

Penyekatan Imbasan Dokumen – Pilihan ini membenamkan kod tersembunyi ke dalam dokumen bercetak dan salinan yang menghalangnya daripada disalin lagi pada peranti yang membolehkan ciri ini didayakan. Pentadbir boleh menggunakan pilihan ini untuk semua kerja atau hanya kerja yang dipilih oleh pengguna. Kod TL dan QR tersedia untuk dibenamkan.

“Hasil ujian dan membiasakan diri dengan fungsi teknologi imageRUNNER ADVANCE III, kami dapat mengesahkan pematuhan asas dengan dasar keselamatan IT moden. Langkah perlindungan di atas memenuhi keperluan keselamatan asas dan boleh meminimumkan risiko pelanggaran keselamatan maklumat."

Peranti imageRUNNER ADVANCE terkini dilengkapi dengan ciri dasar keselamatan yang membolehkan pentadbir mengurus semua tetapan keselamatan dalam satu menu dan mengeditnya sebelum menggunakannya sebagai konfigurasi peranti. Setelah digunakan, penggunaan peranti dan perubahan pada tetapan mestilah mengikut dasar ini. Dasar keselamatan boleh dilindungi dengan kata laluan yang berasingan untuk menyediakan kawalan dan perlindungan tambahan dan hanya boleh diakses oleh profesional keselamatan IT yang bertanggungjawab.

"Adalah perlu untuk mencari dan mengekalkan keseimbangan antara keselamatan dan kemudahan, dengan bijak menggunakan kemajuan teknologi dan penyelesaian teknikal untuk melindungi maklumat, menggunakan kakitangan yang berkelayakan dan menguruskan dana yang disediakan dengan mahir untuk memastikan keselamatan syarikat."

Bantuan dalam menyediakan bahan - Luka Safonov, ketua Makmal Praktikal
analisis keselamatan, Sistem Maklumat Jet.

Hanya pengguna berdaftar boleh mengambil bahagian dalam tinjauan. Log masuk, Sama-sama.

Sejauh manakah pendekatan anda terhadap keselamatan korporat?

  • Dasar keselamatan korporat digunakan pada kumpulan peranti pelbagai fungsi

  • Kumpulan peranti pencetak syarikat memastikan penggunaan peranti peribadi pengguna yang selamat

  • Syarikat memastikan bahawa infrastruktur percetakan adalah terkini dan tampalan dan kemas kini dipasang pada masa yang tepat dan cekap.

  • Tetamu syarikat boleh mencetak dan mengimbas tanpa meletakkan rangkaian korporat pada risiko

  • Jabatan IT syarikat mempunyai masa yang cukup untuk menangani isu keselamatan

  • Syarikat itu telah menemui keseimbangan antara memastikan keselamatan dan kemudahan penggunaan peranti

2 pengguna mengundi. Tidak ada pantang.

Sumber: www.habr.com

Tambah komen