ProHoster > blog > administratie > Nieuw niveau van MFP-beveiliging: imageRUNNER ADVANCE III

Nieuw niveau van MFP-beveiliging: imageRUNNER ADVANCE III

Nieuw niveau van MFP-beveiliging: imageRUNNER ADVANCE III

Met de toename van het aantal ingebouwde functies zijn kantoor-MFP's al lang verder gegaan dan het triviale scannen/afdrukken. Nu zijn ze uitgegroeid tot volwaardige, onafhankelijke apparaten, geïntegreerd in hightech lokale en mondiale netwerken, die gebruikers en organisaties niet alleen binnen één kantoor, maar over de hele wereld met elkaar verbinden.

In dit artikel samen met praktijkdeskundige informatiebeveiliging Luka Safonov Luka Safonov Laten we eens kijken naar de belangrijkste bedreigingen voor moderne kantoor-MFP's en manieren om deze te voorkomen.

Moderne kantoorapparatuur heeft zijn eigen harde schijven en besturingssystemen, waardoor MFP's zelfstandig een breed scala aan documentbeheertaken kunnen uitvoeren, waardoor de belasting van andere apparaten wordt verlicht. Dergelijke hoogwaardige technische apparatuur heeft echter ook een keerzijde. Omdat MFP's actief deelnemen aan de gegevensoverdracht via het netwerk, worden ze zonder de juiste bescherming kwetsbaarheden in de gehele netwerkomgeving van de organisatie. De veiligheid van elk systeem wordt bepaald door de mate van bescherming van de zwakste schakel. Daarom worden eventuele kosten voor beschermende maatregelen voor bedrijfsservers en computers zinloos als er via de MFP een maas in de wet blijft bestaan ​​voor een aanvaller. Omdat ze het probleem van de bescherming van vertrouwelijke informatie begrijpen, hebben de ontwikkelaars van Canon het beveiligingsniveau van de derde versie van het platform verhoogd imageRUNNER ADVANCE, die in het artikel zal worden besproken.

Belangrijkste bedreigingen

Er zijn verschillende potentiële risico's verbonden aan het gebruik van MFP's in organisaties:

  • Hacken van het systeem door ongeautoriseerde toegang tot de MFP en gebruik als “referentiepunt”;
  • MFP's gebruiken om gebruikersgegevens te exfiltreren;
  • Onderschepping van gegevens tijdens het printen of scannen;
  • Toegang tot gegevens van personen zonder passende toestemming;
  • Toegang tot afgedrukte of gescande vertrouwelijke informatie;
  • Krijg toegang tot gevoelige gegevens op apparaten die het einde van hun levensduur hebben.
  • Het versturen van documenten per fax of e-mail naar een onjuist adres, opzettelijk of als gevolg van een typefout;
  • Ongeoorloofd bekijken van vertrouwelijke informatie die is opgeslagen op onbeveiligde MFP's;
  • Een gedeelde stapel afgedrukte taken van verschillende gebruikers.

“Inderdaad, moderne MFP’s bieden vaak een enorm potentieel voor een aanvaller. Uit onze projectervaring blijkt dat niet-geconfigureerde apparaten, of apparaten zonder het juiste beschermingsniveau, aanvallers een enorme kans bieden om de zogenaamde. "aanvalsoppervlak". Dit krijgt een lijst met accounts, netwerkadressen, de mogelijkheid om e-mailberichten te verzenden en nog veel meer. Laten we proberen uit te vinden of de oplossingen van Canon deze bedreigingen kunnen neutraliseren.”

Voor elk type kwetsbaarheid biedt het nieuwe imageRUNNER ADVANCE-platform een ​​hele reeks aanvullende maatregelen die bescherming op meerdere niveaus bieden. Opgemerkt moet worden dat de ontwikkeling een specifieke aanpak vereiste vanwege de eigenaardigheden van de MFP-operatie. Bij het afdrukken en scannen van documenten gaat informatie over van digitaal naar analoog of omgekeerd. Elk van deze soorten informatie vereist fundamenteel verschillende methoden om bescherming te garanderen. Meestal wordt op het kruispunt van technologieën, vanwege hun heterogeniteit, de meest kwetsbare plaats gevormd.

“MFP’s zijn vaak een gemakkelijke prooi voor zowel pentesters als aanvallers. In de regel is dit te wijten aan een nalatige houding bij het opzetten van dergelijke apparaten en hun relatief gemakkelijke beschikbaarheid, zowel in de kantooromgeving als in de netwerkinfrastructuur. Een van de meest recente gevallen is een indicatieve aanval die plaatsvond op 29 november 2018, toen een Twitter-gebruiker onder het pseudoniem TheHackerGiraffe meer dan 50 netwerkprinters ‘hackte’ en er folders op drukte waarin hij mensen opriep zich te abonneren op het YouTube-kanaal van een bepaalde PewDiePie. Op Reddit zei TheHackerGiraffe dat hij meer dan 000 apparaten kon compromitteren, maar zichzelf beperkte tot slechts 800. Tegelijkertijd benadrukte de hacker dat het grootste probleem is dat hij nog nooit zoiets eerder had gedaan, maar dat alle voorbereidingen en de hack zelf kostte hem slechts een half uur".

Wanneer Canon technologieën, producten en diensten ontwikkelt, houden we rekening met de potentiële impact ervan op de werkomgevingen van klanten. Daarom worden multifunctionele kantoorprinters van Canon geleverd met een breed scala aan ingebouwde en optionele beveiligingsfuncties om bedrijven van elke omvang te helpen het beveiligingsniveau te bereiken dat ze nodig hebben.

Nieuw niveau van MFP-beveiliging: imageRUNNER ADVANCE III

Canon hanteert een van de strengste veiligheidstestregimes in de gehele kantoorapparatuurindustrie. Technologieën die in apparaten worden gebruikt, worden getest op naleving van bedrijfsnormen. Er wordt veel aandacht besteed aan veiligheidscontroles met actuele onderzoeken, waarvan de resultaten positieve feedback hebben gekregen over de werking van apparaten van bedrijven als Kaspersky Lab, COMLOGIC, TerraLink en JTI Russia en anderen.

“Ondanks het feit dat het in de moderne realiteit logisch is om de veiligheid van hun producten te vergroten, volgen niet alle bedrijven dit principe. Bedrijven beginnen na te denken over bescherming na incidenten van hacking (en druk van gebruikers) van bepaalde producten. Vanuit dit oogpunt is de grondige aanpak van Canon bij de implementatie van beveiligingsmethoden en -maatregelen indicatief.”

Ongeautoriseerde toegang tot MFP

Heel vaak behoren onbeschermde MFP's tot de prioritaire doelwitten van zowel interne overtreders (insiders) als externe overtreders. In de moderne realiteit is een bedrijfsnetwerk niet beperkt tot één kantoor, maar omvat het een groep afdelingen en gebruikers met verschillende geografische locaties. Gecentraliseerde documentstroom vereist externe toegang en opname van MFP's in het bedrijfsnetwerk. Netwerkprinters behoren tot het internet der dingen, maar aan de bescherming ervan wordt vaak niet de nodige aandacht besteed, wat leidt tot de algehele kwetsbaarheid van de gehele infrastructuur.

Ter bescherming tegen dit soort bedreigingen zijn de volgende maatregelen geïmplementeerd:

  • IP- en MAC-adresfilter – configureer om alleen communicatie toe te staan ​​met apparaten die specifieke IP- of MAC-adressen hebben. Deze functie regelt de gegevensoverdracht zowel binnen als buiten het netwerk.
  • Proxyserverconfiguratie - dankzij deze functie kunt u de controle over MFP-verbindingen delegeren aan een proxyserver. Deze functie wordt aanbevolen als u verbinding maakt met apparaten buiten het bedrijfsnetwerk.
  • IEEE 802.1X-authenticatie is een andere bescherming tegen het verbinden van apparaten die niet zijn geautoriseerd door de authenticatieserver. Ongeautoriseerde toegang wordt geblokkeerd door de LAN-switch.
  • Verbinding via IPSec – beschermt tegen pogingen om IP-pakketten die via het netwerk worden verzonden te onderscheppen of te decoderen. Het wordt aanbevolen om gebruik te maken van aanvullende TLS-communicatieversleuteling.
  • Havenbeheer - ontworpen om te beschermen tegen hulp van binnenuit aan aanvallers. Deze functie is verantwoordelijk voor het configureren van poortparameters in overeenstemming met het beveiligingsbeleid.
  • Automatische certificaatinschrijving – Deze functie geeft systeembeheerders een handig hulpmiddel om automatisch beveiligingscertificaten uit te geven en te vernieuwen.
  • Wi-Fi direct – deze functie is ontworpen voor veilig afdrukken vanaf mobiele apparaten. Hiervoor hoeft het mobiele apparaat niet verbonden te zijn met het bedrijfsnetwerk. Met behulp van Wi-Fi direct wordt een lokale peer-to-peer-verbinding tussen apparaat en MFP tot stand gebracht.
  • Logmonitoring – alle gebeurtenissen die verband houden met het gebruik van de MFP, inclusief geblokkeerde verbindingsverzoeken, worden in realtime vastgelegd in verschillende systeemlogboeken. Door gegevens te analyseren, kunt u potentiële en bestaande bedreigingen detecteren, een preventief beveiligingsbeleid opstellen en een deskundige beoordeling uitvoeren van informatielekken die al hebben plaatsgevonden.
  • Apparaatcodering: deze optie codeert afdruktaken terwijl deze van de pc van de gebruiker naar de multifunctionele printer worden verzonden. U kunt gescande PDF-gegevens ook coderen door een uitgebreide reeks beveiligingsfuncties in te schakelen.
  • Afdrukken door gasten vanaf mobiele apparaten. Veilige netwerkprint- en scanbeheersoftware elimineert veelvoorkomende beveiligingsproblemen die gepaard gaan met mobiel printen en printen door gasten, door externe methoden te bieden voor het indienen van printopdrachten, zoals e-mail, internet en mobiele apps. Dit zorgt ervoor dat de MFP vanuit een veilige bron werkt, waardoor de kans op hacking wordt geminimaliseerd.

“Het delen van dergelijke apparaten brengt naast gemak en kostenreductie ook risico’s met zich mee van toegang tot informatie van derden. Dit kan niet alleen door aanvallers worden gebruikt, maar ook door gewetenloze werknemers om persoonlijk voordeel te behalen of voorkennis te verkrijgen. En het grote potentieel van de informatie die wordt verwerkt – van technologische geheimen tot financiële documentatie – is een belangrijke prioriteit voor aanvallen of onrechtmatig gebruik.”

Nieuw in de nieuwe versie van het imageRUNNER ADVANCE-platform is de mogelijkheid om printapparaten met twee netwerken te verbinden. Dit is erg handig wanneer de MFP tegelijkertijd in de bedrijfs- en gastmodus wordt gebruikt.

Gegevens op uw harde schijf beschermen

Uw multifunctionele printer bevat altijd een grote hoeveelheid gegevens die moeten worden beschermd: van afdruktaken in de wachtrij tot ontvangen faxen, gescande afbeeldingen, adresboeken, activiteitenlogboeken en taakgeschiedenis.

In feite is de schijf slechts een tijdelijke opslagplaats, en het langer dan noodzakelijk bewaren van informatie daarop vergroot de kwetsbaarheid van het bedrijfsbeveiligingssysteem. Om dit te voorkomen, kunt u in de instellingen een schoonmaakschema voor de harde schijf instellen. Naast het feit dat afdruktaken onmiddellijk na voltooiing of wanneer het afdrukken mislukt worden gewist, kunnen andere bestanden volgens een schema worden verwijderd om resterende gegevens te wissen.

“Helaas zijn zelfs veel IT-professionals zich slecht bewust van de rol van de harde schijf in moderne printapparaten. De aanwezigheid van een harde schijf kan de duur van de voorbereidende printfase aanzienlijk verkorten. Harde schijven slaan doorgaans systeeminformatie, grafische bestanden en gerasterde afbeeldingen op voor het afdrukken van kopieën. Naast het oneigenlijk weggooien van MFP’s en de mogelijkheid van datalekken, bestaat er de mogelijkheid van het ontmantelen/diefstal van de harde schijf voor analyse, of het uitvoeren van gespecialiseerde aanvallen om gegevens te exfiltreren, bijvoorbeeld met behulp van de Printer Exploitation Toolkit.”

Canon-apparaten bieden een reeks tools om uw gegevens gedurende de gehele levenscyclus van het apparaat te beschermen, terwijl de vertrouwelijkheid, integriteit en beschikbaarheid ervan behouden blijft.
Er wordt veel aandacht besteed aan het beschermen van gegevens op de harde schijf. De daar opgeslagen informatie kan een verschillende mate van vertrouwelijkheid hebben. Daarom wordt HDD-codering gebruikt op alle 26 apparaatmodellen binnen 7 verschillende series van de nieuwe versie van het imageRUNNER ADVANCE-platform. Het voldoet aan de FIPS 140-2 Level 2-beveiligingsnorm van de Amerikaanse overheid, evenals aan de Japanse equivalent JCVMP.

“Het is belangrijk om een ​​systeem te hebben voor toegang tot informatie dat rekening houdt met gebruikersrollen en toegangsniveaus. In veel bedrijven is het bijvoorbeeld ten strengste verboden om over salarissen onder werknemers te praten, en het lekken van salarisstroken of informatie over bonussen kan een ernstig conflict in het team veroorzaken. Helaas ken ik dergelijke gevallen, in één ervan leidde dit tot het ontslag van de medewerker die verantwoordelijk was voor dit soort lekkage.”

  • Encryptie van de harde schijf. imageRUNNER ADVANCE-apparaten coderen alle gegevens op uw harde schijf voor verhoogde beveiliging.
  • Uw harde schijf schoonmaken. Sommige gegevens, zoals gegevens die zijn gekopieerd of gescand, of documentgegevens die zijn afgedrukt vanaf een computer, worden gedurende een beperkte tijd op de harde schijf van de printer opgeslagen en worden verwijderd nadat de taak is voltooid.
  • Initialisatie van alle gegevens en parameters. Om gegevensverlies te voorkomen bij het vervangen of weggooien van uw harde schijf, kunt u alle documenten en gegevens op de harde schijf overschrijven en vervolgens de instellingen terugzetten naar hun standaardwaarden.
  • Back-up harde schijf. Bedrijven hebben nu de mogelijkheid om een ​​back-up te maken van gegevens vanaf de harde schijf van het apparaat naar een optionele harde schijf. Bij het maken van een back-up worden de gegevens op beide harde schijven volledig gecodeerd.
  • Kit met verwijderbare harde schijf. Met deze optie kunt u de harde schijf uit het apparaat verwijderen voor veilige opslag terwijl het apparaat niet in gebruik is.

Lekkage van kritieke gegevens

Alle bedrijven hebben te maken met vertrouwelijke documenten zoals contracten, overeenkomsten, boekhoudkundige documenten, klantgegevens, ontwikkelingsafdelingplannen en nog veel meer. Als dergelijke documenten in verkeerde handen vallen, kunnen de gevolgen variëren van reputatieschade tot hoge boetes of zelfs rechtszaken. Aanvallers kunnen controle krijgen over bedrijfseigendommen, insider- of vertrouwelijke informatie.

“Het zijn niet alleen concurrenten of oplichters die waardevolle informatie stelen. Er zijn vaak gevallen waarin werknemers besluiten hun eigen bedrijf te ontwikkelen of in het geheim extra geld verdienen door informatie aan buitenstaanders te verkopen. In dergelijke situaties wordt de drukker hun belangrijkste assistent. Elke gegevensoverdracht binnen het bedrijf is eenvoudig te volgen. Bovendien zijn het niet de gewone werknemers die toegang hebben tot waardevolle informatie. En wat is er makkelijker voor een gewone manager dan een waardevol document te stelen dat ongebruikt ligt? Iedereen kan deze taak aan. Gedrukte documenten hoeven niet eens altijd mee naar buiten de organisatie. Het volstaat om met een goede camera snel een foto te maken van de materialen die inactief zijn op een telefoon.”

Nieuw niveau van MFP-beveiliging: imageRUNNER ADVANCE III

Canon biedt een reeks beveiligingsoplossingen waarmee u gevoelige documenten gedurende hun gehele levenscyclus kunt beschermen.

Vertrouwelijkheid van afgedrukte documenten

De gebruiker kan een afdrukpincode instellen, zodat het document pas begint met afdrukken nadat de juiste pincode op het apparaat is ingevoerd. Hiermee kunt u vertrouwelijke documenten beschermen.

“Voor het gemak van gebruikers zijn MFP’s vaak te zien in publiek toegankelijke ruimtes van een organisatie. Dit kunnen zalen en vergaderruimtes zijn, gangen en ontvangstruimtes. Alleen het gebruik van identificatiegegevens (PIN-codes, smartcards) garandeert de veiligheid van informatie in de context van het gebruikerstoegangsniveau. Opvallende gevallen waren waarin gebruikers toegang kregen tot eerder verzonden documenten, scans van paspoorten, enz. als gevolg van ontoereikende controles en een gebrek aan functies voor het opschonen van gegevens.”

Op het imageRUNNER ADVANCE-apparaat kan de beheerder alle ingediende afdruktaken pauzeren, waardoor gebruikers moeten inloggen om af te drukken, waardoor de privacy van al het afgedrukte materiaal wordt beschermd.

Afdrukopdrachten of gescande documenten kunnen in mailboxen worden opgeslagen, zodat u ze op elk gewenst moment eenvoudig kunt raadplegen. Mailboxen kunnen worden beveiligd met een pincode om ervoor te zorgen dat alleen aangewezen gebruikers toegang hebben tot de inhoud. Gebruik deze beveiligde ruimte op uw apparaat om vaak afgedrukte documenten (zoals briefhoofden en formulieren) op te slaan die zorgvuldig moeten worden behandeld.

Volledige controle over het verzenden van documenten en faxen

Om het risico op het lekken van informatie te verminderen, kunnen beheerders de toegang beperken tot verschillende ontvangers, bijvoorbeeld degenen die niet in het adresboek op de LDAP-server staan, niet zijn geregistreerd in het systeem of op een specifiek domein.

Om te voorkomen dat documenten naar onjuiste ontvangers worden verzonden, moet u automatisch aanvullen voor e-mailadressen uitschakelen.

Als u ter bescherming een pincode instelt, wordt het adresboek van het apparaat beschermd tegen toegang door onbevoegden.

Door gebruikers te verplichten het faxnummer opnieuw in te voeren, wordt voorkomen dat documenten naar de verkeerde ontvangers worden verzonden.

Door documenten en faxen in een vertrouwelijke map of pincode te beveiligen, blijven documenten veilig in het geheugen opgeslagen zonder dat u ze hoeft af te drukken.

Het verifiëren van de bron en authenticiteit van een document

Er kan een apparaathandtekening worden toegevoegd aan gescande PDF- of XPS-documenten met behulp van een sleutel en certificeringsmechanisme, zodat de ontvanger de bron en authenticiteit van het document kan verifiëren.

“In een elektronisch document is een elektronische digitale handtekening (EDS) een vereiste, ontworpen om dit elektronische document te beschermen tegen vervalsing en u in staat te stellen de eigenaar van het handtekeningsleutelcertificaat te identificeren, evenals de afwezigheid van vervorming van informatie in de elektronisch document. Dit garandeert de veiligheid van het verzonden document en de exacte identificatie van de eigenaar, waardoor de betrouwbaarheid van de informatie behouden blijft.”

Met Gebruikershandtekening kunt u PDF- of XPS-bestanden verzenden met de unieke digitale handtekening van de gebruiker, verkregen van een certificeringsbedrijf. Op deze manier kan de ontvanger controleren wie het document heeft ondertekend.

Integratie met ADOBE LIFECYCLE MANAGEMENT ES

Gebruikers kunnen PDF-bestanden beveiligen en er consistent en dynamisch beleid op toepassen om de toegangs- en gebruiksrechten te controleren en vertrouwelijke en waardevolle informatie te beschermen tegen onbedoelde of kwaadwillige openbaarmaking. Het beveiligingsbeleid wordt op serverniveau gehandhaafd, zodat machtigingen kunnen worden gewijzigd, zelfs nadat het bestand is gedistribueerd. De apparaten uit de imageRUNNER ADVANCE-serie kunnen worden geconfigureerd voor integratie met Adobe ES.

Veilig printen met uniFLOW Met MyPrintAnywhere kunt u printopdrachten versturen via een universeel stuurprogramma en deze afdrukken naar elke printer in uw netwerk.

Duplicaten voorkomen

Met stuurprogramma's kunt u zichtbare markeringen op de pagina afdrukken die bovenop de documentinhoud verschijnen. Dit kan worden gebruikt om medewerkers te informeren over de vertrouwelijkheid van het document en te voorkomen dat het wordt gekopieerd.

Afdrukken/kopiëren met onzichtbare watermerken - Documenten worden afgedrukt of gekopieerd met verborgen tekst op de achtergrond, die verschijnt wanneer een duplicaat wordt gemaakt en als afschrikmiddel werkt.

De mogelijkheden van uniFLOW-software van NTware (onderdeel van de Canon-bedrijvengroep) bieden aanvullende effectieve hulpmiddelen voor het garanderen van documentbeveiliging.
Door uniFLOW in combinatie met iW SAM Express te gebruiken, kunt u documenten digitaliseren en archiveren die naar een printer zijn verzonden of vanaf een apparaat zijn ontvangen, en tekstgegevens en attributen analyseren bij het reageren op beveiligingsrisico's.

Volg de documentbron met behulp van ingesloten code.

Documentscanblokkering – Deze optie integreert een verborgen code in afgedrukte documenten en kopieën, waardoor wordt voorkomen dat ze verder worden gekopieerd op een apparaat waarop deze functie is ingeschakeld. De beheerder kan deze optie gebruiken voor alle opdrachten of alleen voor opdrachten die door de gebruiker zijn geselecteerd. TL- en QR-codes zijn beschikbaar voor insluiting.

“Als resultaat van tests en kennismaking met de functionaliteit van de imageRUNNER ADVANCE III-technologie konden we de basisconformiteit met het moderne IT-beveiligingsbeleid bevestigen. Bovenstaande beschermende maatregelen voldoen aan de basisveiligheidseisen en kunnen de risico’s op schendingen van de informatiebeveiliging minimaliseren.”

De nieuwste imageRUNNER ADVANCE-apparaten zijn uitgerust met een beveiligingsbeleidsfunctie waarmee de beheerder alle beveiligingsinstellingen in één menu kan beheren en bewerken voordat ze worden toegepast als apparaatconfiguratie. Eenmaal toegepast, moeten het gebruik van het apparaat en de wijzigingen aan de instellingen in overeenstemming zijn met dit beleid. Het beveiligingsbeleid kan worden beveiligd met een apart wachtwoord om extra controle en bescherming te bieden en is alleen toegankelijk voor de verantwoordelijke IT-beveiligingsprofessional.

“Het is noodzakelijk om een ​​evenwicht te vinden en te behouden tussen veiligheid en gemak, waarbij verstandig gebruik wordt gemaakt van technologische vooruitgang en technische oplossingen om informatie te beschermen, gekwalificeerd personeel wordt ingezet en de verstrekte middelen vakkundig worden beheerd om de veiligheid van het bedrijf te garanderen.”

Hulp bij het voorbereiden van het materiaal - Luka Safonov, hoofd van het Praktisch Laboratorium
beveiligingsanalyse, Jet Information Systems.

Alleen geregistreerde gebruikers kunnen deelnemen aan het onderzoek. Inloggen, Alsjeblieft.

Hoe alomvattend is uw benadering van bedrijfsbeveiliging?

  • Het bedrijfsbeveiligingsbeleid is van toepassing op de vloot van multifunctionele apparaten

  • De vloot printapparatuur van het bedrijf zorgt voor een veilig gebruik van de persoonlijke apparaten van gebruikers

  • Het bedrijf zorgt ervoor dat de printinfrastructuur up-to-date is en dat patches en updates tijdig en efficiënt worden geïnstalleerd

  • Bedrijfsgasten kunnen printen en scannen zonder het bedrijfsnetwerk in gevaar te brengen

  • De IT-afdeling van het bedrijf heeft voldoende tijd om beveiligingsproblemen op te lossen

  • Het bedrijf heeft een balans gevonden tussen het waarborgen van de veiligheid en het gebruiksgemak van apparaten

2 gebruikers hebben gestemd. Er zijn geen onthoudingen.

Bron: www.habr.com

Voeg een reactie