ProHoster > Log > administrasjon > Nytt nivå av MFP-sikkerhet: imageRUNNER ADVANCE III

Nytt nivå av MFP-sikkerhet: imageRUNNER ADVANCE III

Nytt nivå av MFP-sikkerhet: imageRUNNER ADVANCE III

С увеличением встроенных функций офисные МФУ давно вышли за рамки тривиального сканирования/печати. Сейчас они превратились в полноценные самостоятельные устройства, интегрированные в высокотехнологичные локальные и глобальные сети, связывающие пользователей и организации не только в пределах одного офиса, но и по всему миру.

I denne artikkelen, sammen med praktisk informasjonssikkerhetsekspert Luka Safonov LukaSafonov La oss se på hovedtruslene mot moderne kontor-MFP-er og måter å forhindre dem på.

Moderne kontorutstyr har sine egne harddisker og operativsystemer, takket være hvilke MFPer kan utføre et bredt spekter av dokumenthåndteringsoppgaver uavhengig, og avlaste belastningen på andre enheter. Men så høyt teknisk utstyr har også en bakside. Siden MFP-er tar en aktiv del i dataoverføring over nettverket, blir de sårbarheter i hele nettverksmiljøet i organisasjonen uten riktig beskyttelse. Sikkerheten til ethvert system bestemmes av graden av beskyttelse til det svakeste leddet. Derfor blir eventuelle kostnader for beskyttelsestiltak for bedriftsservere og datamaskiner meningsløse hvis det gjenstår et smutthull for en angriper gjennom MFPen. For å forstå problemet med å beskytte konfidensiell informasjon, har Canon-utviklere økt sikkerhetsnivået til den tredje versjonen av plattformen imageRUNNER ADVANCE, som vil bli diskutert i artikkelen.

Hovedtrusler

Det er flere potensielle risikoer forbundet med bruk av MFPer i organisasjoner:

  • Hacking av systemet gjennom uautorisert tilgang til MFPen og bruk som et "referansepunkt";
  • Bruke MFPer til å eksfiltrere brukerdata;
  • Oppfanging av data ved utskrift eller skanning;
  • Tilgang til data om personer uten passende godkjenning;
  • Tilgang til trykt eller skannet konfidensiell informasjon;
  • Få tilgang til sensitive data på utgåtte enheter.
  • Sende dokumenter på faks eller e-post til en feil adresse, med vilje eller som et resultat av en skrivefeil;
  • Uautorisert visning av konfidensiell informasjon lagret på ubeskyttede MFPer;
  • En delt stabel med utskriftsjobber som tilhører forskjellige brukere.

"Ja, moderne MFPer inneholder ofte et enormt potensial for en angriper. Vår prosjekterfaring viser at ukonfigurerte enheter, eller enheter uten passende beskyttelsesnivå, gir angripere en enorm mulighet til å utvide den såkalte. "angrepsflate". Dette får en liste over kontoer, nettverksadressering, muligheten til å sende e-postmeldinger og mye mer. La oss prøve å finne ut om løsningene som tilbys av Canon er i stand til å nøytralisere disse truslene."

For hver type sårbarhet gir den nye imageRUNNER ADVANCE-plattformen en hel rekke komplementære tiltak som gir beskyttelse på flere nivåer. Det skal bemerkes at utviklingen krevde en spesifikk tilnærming på grunn av særegenhetene ved MFP-operasjonen. Ved utskrift og skanning av dokumenter går informasjonen fra digital til analog eller omvendt. Hver av disse typer informasjon krever fundamentalt forskjellige metoder for å sikre beskyttelse. Vanligvis, i krysset mellom teknologier, på grunn av deres heterogenitet, dannes det mest sårbare stedet.

"MFP-er er ofte et lett bytte for både pentestere og angripere. Som regel skyldes dette en uaktsom holdning til å sette opp slike enheter og deres relativt enkle tilgjengelighet, både i kontormiljøet og i nettverksinfrastrukturen. Et av de siste tilfellene er et indikativt angrep som skjedde 29. november 2018, da en Twitter-bruker under pseudonymet TheHackerGiraffe "hacket" mer enn 50 000 nettverksskrivere og trykket brosjyrer på dem som ba folk om å abonnere på YouTube-kanalen til en visse PewDiePie. På Reddit sa TheHackerGiraffe at han kunne kompromittere mer enn 800 000 enheter, men begrenset seg til bare 50 000. Samtidig understreket hackeren at hovedproblemet er at han aldri hadde gjort noe lignende før, men alle forberedelsene og selve hacket tok ham bare en halvtime".

Når Canon utvikler teknologier, produkter og tjenester, vurderer vi deres potensielle innvirkning på kundenes arbeidsmiljø. Det er derfor Canons multifunksjonsskrivere for kontorer kommer med et bredt spekter av innebygde og valgfrie sikkerhetsfunksjoner for å hjelpe bedrifter i alle størrelser med å oppnå sikkerhetsnivået de trenger.

Nytt nivå av MFP-sikkerhet: imageRUNNER ADVANCE III

Canon har et av de strengeste sikkerhetstestregimene i hele kontorutstyrsbransjen. Teknologier som brukes i enheter er testet for samsvar med selskapets standarder. Mye oppmerksomhet rettes mot sikkerhetssjekker med oppdaterte undersøkelser, hvis resultater har fått positive tilbakemeldinger på driften av enheter fra selskaper som Kaspersky Lab, COMLOGIC, TerraLink og JTI Russland og andre.

«Несмотря на то, что в современных реалиях является логичным повышать безопасность своих продуктов, этому принципу следуют далеко не все компании. Компании начинают задумываться о защите после случившихся фактов взлома (и давления со стороны пользователей) тех или иных продуктов. С этой стороны основательный подход компании Canon к реализации методов и мер защиты – показателен».

Несанкционированный доступ к МФУ

Svært ofte er ubeskyttede MFP-er blant de prioriterte målene for både interne overtredere (innsidere) og eksterne. I moderne virkeligheter er et bedriftsnettverk ikke begrenset til ett kontor, men inkluderer en gruppe avdelinger og brukere med forskjellige geografiske lokasjoner. Sentralisert dokumentflyt krever ekstern tilgang og inkludering av MFPer i bedriftsnettverket. Nettverksbaserte utskriftsenheter tilhører tingenes internett, men deres beskyttelse blir ofte ikke gitt behørig oppmerksomhet, noe som fører til den generelle sårbarheten til hele infrastrukturen.

For å beskytte mot denne typen trusler er følgende tiltak iverksatt:

  • Фильтр IP- и MAC-адресов – настройка разрешения связи только с устройствами, имеющими определенные IP- или MAC-адреса. Эта функция регламентирует передачу данных как внутри сети, так вывод за ее пределы.
  • Конфигурация прокси-сервера – благодаря этой функции можно делегировать управление подключениями МФУ прокси-серверу. Эта функция рекомендована при подключении к устройствам вне корпоративной сети.
  • IEEE 802.1X-autentisering er en annen beskyttelse mot å koble til enheter som ikke er autorisert av autentiseringsserveren. Uautorisert tilgang blokkeres av LAN-svitsjen.
  • Подключение через IPSec – защищает от попыток перехвата или расшифровки IP-пакетов, передаваемых по сети. Рекомендовано использовать с дополнительным шифрованием связи TLS.
  • Port management - designet for å beskytte mot innsidehjelp til angripere. Denne funksjonen er ansvarlig for å konfigurere portparametere i samsvar med sikkerhetspolicyen.
  • Автоматическая регистрация сертификатов – эта функция дает системным администраторам удобный инструмент для автоматического выпуска и обновления сертификатов безопасности.
  • Wi-Fi Direct – denne funksjonen er designet for sikker utskrift fra mobile enheter. For å gjøre dette trenger ikke mobilenheten å være koblet til bedriftsnettverket. Ved å bruke Wi-Fi Direct opprettes en lokal node-til-node-forbindelse mellom enheten og MFP.
  • Loggovervåking – alle hendelser knyttet til bruken av MFPen, inkludert blokkerte tilkoblingsforespørsler, registreres i ulike systemlogger i sanntid. Ved å analysere poster kan du oppdage potensielle og eksisterende trusler, bygge en forebyggende sikkerhetspolicy og gjennomføre en ekspertvurdering av informasjonslekkasjer som allerede har oppstått.
  • Шифрование данных при взаимодействии с устройством — эта опция шифрует задания печати при их отправке с пользовательского ПК на многофункциональный принтер. Вы также можете шифровать отсканированные данные в формате PDF, активировав универсальный набор функций безопасности.
  • Gjesteutskrift fra mobile enheter. Programvare for sikker nettverksutskrift og -skanning eliminerer vanlige sikkerhetsproblemer knyttet til mobil- og gjesteutskrift ved å tilby eksterne metoder for å sende utskriftsjobber som e-post, web og mobilapp. Dette sikrer at MFP-en opererer fra en sikker kilde, og minimerer sannsynligheten for hacking.

«Совместное использование такого рода устройств помимо удобства и сокращения расходов влечет и риски доступа к сторонней информации. Этим могут воспользоваться не только злоумышленники, но и недобросовестные сотрудники для извлечения личной выгоды либо получения инсайдерской информации. А большой потенциал обрабатываемой информации – от технологических секретов до финансовой документации – является значимым приоритетом для атаки или нелегитимного использования».

Nytt i den nye versjonen av imageRUNNER ADVANCE-plattformen er muligheten til å koble utskriftsenheter til to nettverk. Dette er veldig praktisk når MFP-en brukes samtidig i bedrifts- og gjestemodus.

Beskytter data på harddisken

Multifunksjonsskriveren din inneholder alltid en stor mengde data som må beskyttes – fra utskriftsjobber i kø til mottatte fakser, skannede bilder, adressebøker, aktivitetslogger og jobbhistorikk.

Faktisk er disken bare midlertidig lagring, og å holde informasjon på den lenger enn nødvendig øker sårbarheten til bedriftens sikkerhetssystem. For å forhindre at dette skjer, kan du angi en rengjøringsplan for harddisken i innstillingene. I tillegg til at utskriftsjobber slettes umiddelbart etter fullføring eller når utskrift mislykkes, kan andre filer slettes etter en tidsplan for å fjerne gjenværende data.

"Dessverre er til og med mange IT-fagfolk lite klar over hvilken rolle harddisken har i moderne utskriftsenheter. Tilstedeværelsen av en harddisk kan redusere varigheten av det forberedende utskriftsstadiet betydelig. Harddisker lagrer vanligvis systeminformasjon, grafikkfiler og rastrerte bilder for utskrift av kopier. I tillegg til feilaktig avhending av multifunksjonsmaskiner og muligheten for datalekkasje, er det mulighet for demontering/tyveri av harddisken for analyse, eller utføre spesialiserte angrep for å eksfiltrere data, for eksempel ved å bruke Printer Exploitation Toolkit.»

Canon-enheter tilbyr en rekke verktøy for å beskytte dataene dine gjennom hele enhetens livssyklus, samtidig som de opprettholder konfidensialitet, integritet og tilgjengelighet.
Большое внимание уделено защите данных на жестком диске. Хранимая там информация может иметь разную степень конфиденциальности. Поэтому на всех 26 моделях устройств в рамках 7 различных серий новой версии платформы imageRUNNER ADVANCE применяется шифрование HDD. Оно соответствует стандарту безопасности FIPS 140-2 уровня 2, принятому правительством США, а также японскому аналогу JCVMP.

«Det er viktig å ha et system for tilgang til informasjon som tar hensyn til brukerroller og tilgangsnivåer. For eksempel i mange bedrifter er diskusjon om lønn blant ansatte strengt forbudt, og lekkasje av lønnsslipper eller informasjon om bonuser kan provosere frem en alvorlig konflikt i teamet. Dessverre kjenner jeg til slike tilfeller, i en av dem førte dette til oppsigelse av den ansatte som var ansvarlig for denne typen lekkasje.»

  • Шифрование жесткого диска. Устройства imageRUNNER ADVANCE шифруют все данные на жестком диске для повышения уровня безопасности.
  • Очистка жесткого диска. Некоторые данные, например данные скопированных или отсканированных изображений, а также данные документов, распечатанных с компьютера, хранятся на жестком диске принтера ограниченное время и удаляются после выполнения соответствующего задания.
  • Initialisering av alle data og parametere. For å forhindre tap av data når du bytter ut eller kaster harddisken, kan du overskrive alle dokumenter og data på harddisken, og deretter tilbakestille innstillingene til standardverdiene.
  • Sikkerhetskopier harddisk. Bedrifter har nå muligheten til å sikkerhetskopiere data fra enhetens harddisk til en valgfri harddisk. Ved sikkerhetskopiering er dataene på begge harddiskene fullstendig kryptert.
  • Uttakbart harddisksett. Dette alternativet lar deg fjerne harddisken fra enheten for sikker lagring mens enheten ikke er i bruk.

Утечка критичных данных

Alle virksomheter håndterer konfidensielle dokumenter som kontrakter, avtaler, regnskapsdokumenter, kundedata, utviklingsavdelingsplaner og mye mer. Hvis slike dokumenter kommer i feil hender, kan konsekvensene variere fra omdømmeskader til store bøter eller til og med søksmål. Angripere kan få kontroll over selskapets eiendeler, innsideinformasjon eller konfidensiell informasjon.

"Det er ikke bare konkurrenter eller svindlere som stjeler verdifull informasjon. Det er ofte tilfeller der ansatte bestemmer seg for å utvikle sin egen virksomhet eller i hemmelighet tjener ekstra penger ved å selge informasjon til utsiden. I slike situasjoner blir skriveren deres hovedassistent. Eventuell dataoverføring innen selskapet er lett å spore. I tillegg er det ikke vanlige ansatte som har tilgang til verdifull informasjon. Og hva kan være lettere for en vanlig leder enn å stjele et verdifullt dokument som ligger stille? Hvem som helst kan takle denne oppgaven. Utskrevne dokumenter trenger ikke engang alltid tas med utenfor organisasjonen. Det er nok å raskt ta et bilde av materialene som ligger uvirksomme på en telefon med et godt kamera.»

Nytt nivå av MFP-sikkerhet: imageRUNNER ADVANCE III

Canon tilbyr en rekke sikkerhetsløsninger som hjelper deg med å beskytte sensitive dokumenter gjennom hele livssyklusen.

Konfidensialitet av trykte dokumenter

Brukeren kan angi en utskrifts-PIN slik at dokumentet begynner å skrives ut først etter å ha angitt riktig PIN-kode på enheten. Dette lar deg beskytte konfidensielle dokumenter.

"MFP-er kan ofte sees i offentlig tilgjengelige områder av en organisasjon for brukernes bekvemmelighet. Dette kan være saler og møterom, korridorer og resepsjonsområder. Kun bruk av identifikatorer (PIN-koder, smartkort) vil garantere sikkerheten til informasjon i sammenheng med brukertilgangsnivået. Viktige tilfeller var når brukere fikk tilgang til tidligere sendte dokumenter, skanninger av pass osv. som et resultat av utilstrekkelige kontroller og mangel på datarensefunksjoner.»

На устройстве imageRUNNER ADVANCE администратор может приостановить все отправленные задания на печать — таким образом для печати пользователям необходимо будет выполнить вход в систему, за счет чего обеспечивается защита конфиденциальности всех печатных материалов.

Utskriftsjobber eller skannede dokumenter kan lagres i postbokser for enkel tilgang når som helst. Postbokser kan beskyttes med en PIN-kode for å sikre at kun utpekte brukere har tilgang til innholdet deres. Bruk denne sikre plassen på enheten din til å lagre ofte utskrevne dokumenter (som brevhoder og skjemaer) som krever forsiktig håndtering.

Full kontroll over sending av dokumenter og fakser

For å redusere risikoen for informasjonslekkasje kan administratorer begrense tilgangen til ulike mottakere, for eksempel de som ikke er i adresseboken på LDAP-serveren, ikke er registrert i systemet eller på et spesifikt domene.

For å forhindre at dokumenter sendes til feil mottakere, må du deaktivere autofyll for e-postadresser.

Å angi en PIN-kode for beskyttelse vil beskytte enhetens adressebok mot uautorisert brukertilgang.

Запрос повторного ввода номера факса пользователями предотвратит отправку документов неправильным адресатам.

Beskyttelse av dokumenter og fakser i en konfidensiell mappe eller PIN-kode vil holde dokumenter sikkert lagret i minnet uten å måtte skrive dem ut.

Проверка источника и подлинности документа

En enhetssignatur kan legges til skannede PDF- eller XPS-dokumenter ved hjelp av en nøkkel og sertifiseringsmekanisme slik at mottakeren kan bekrefte kilden og autentisiteten til dokumentet.

"I et elektronisk dokument er det nødvendig med en elektronisk digital signatur (EDS), designet for å beskytte dette elektroniske dokumentet mot forfalskning og lar deg identifisere eieren av signaturnøkkelsertifikatet, samt fastslå fravær av forvrengning av informasjon i elektronisk dokument. Dette sikrer sikkerheten til det overførte dokumentet og den nøyaktige identifiseringen av eieren, noe som bidrar til å opprettholde påliteligheten til informasjonen."

Brukersignatur lar deg sende PDF- eller XPS-filer med brukerens unike digitale signatur hentet fra et sertifiseringsselskap. På denne måten vil mottakeren kunne sjekke hvem som har signert dokumentet.

Интеграция с ADOBE LIFECYCLE MANAGEMENT ES

Brukere kan sikre PDF-filer og bruke konsekvente og dynamiske retningslinjer for dem for å kontrollere tilgang og bruksrettigheter, og beskytte konfidensiell og verdifull informasjon mot utilsiktet eller ondsinnet avsløring. Sikkerhetspolicyer opprettholdes på servernivå, slik at tillatelser kan endres selv etter at filen er distribuert. Enhetene i imageRUNNER ADVANCE-serien kan konfigureres til å integreres med Adobe ES.

Sikker utskrift med uniFLOW MyPrintAnywhere lar deg sende utskriftsjobber via en universell driver og skrive dem ut til hvilken som helst skriver på nettverket ditt.

Forhindrer duplikater

Drivere lar deg skrive ut synlige markeringer på siden som vises på toppen av dokumentinnholdet. Dette kan brukes til å informere ansatte om dokumentets konfidensialitet og forhindre at det kopieres.

Skriv ut/kopier med usynlige vannmerker - Dokumenter vil bli skrevet ut eller kopiert med skjult tekst innebygd i bakgrunnen, som vises når et duplikat opprettes og virker avskrekkende.

Mulighetene til uniFLOW-programvare fra NTware (en del av Canon-gruppen) gir ekstra effektive verktøy for å sikre dokumentsikkerhet.
Использование uniFLOW в сочетании с iW SAM Express позволит выполнять оцифровку и архивирование документов, отправленных на принтер или полученных с устройства, а также анализировать текстовые данные и атрибуты при реагировании на угрозы безопасности.

Spor dokumentkilde ved hjelp av innebygd kode.

Dokumentskanningsblokkering – Dette alternativet bygger inn en skjult kode i trykte dokumenter og kopier som hindrer dem i å bli kopiert videre på en enhet der denne funksjonen er aktivert. Administratoren kan bruke dette alternativet for alle jobber eller bare jobber valgt av brukeren. TL- og QR-koder er tilgjengelige for innebygging.

«Som et resultat av tester og kjennskap til funksjonaliteten til imageRUNNER ADVANCE III-teknologien, var vi i stand til å bekrefte grunnleggende samsvar med moderne IT-sikkerhetspolicyer. Ovennevnte beskyttelsestiltak oppfyller grunnleggende sikkerhetskrav og kan minimere risikoen for brudd på informasjonssikkerheten."

De nyeste imageRUNNER ADVANCE-enhetene er utstyrt med en sikkerhetspolicyfunksjon som lar administratoren administrere alle sikkerhetsinnstillingene i én meny og redigere dem før de bruker dem som en enhetskonfigurasjon. Når den er brukt, må bruk av enheten og endringer i innstillingene være i samsvar med denne policyen. Sikkerhetspolicyen kan beskyttes med et eget passord for å gi ekstra kontroll og beskyttelse, og kan bare nås av den ansvarlige IT-sikkerhetseksperten.

"Det er nødvendig å finne og opprettholde en balanse mellom sikkerhet og bekvemmelighet, klokt bruke teknologiske fremskritt og tekniske løsninger for å beskytte informasjon, bruke kvalifisert personell og dyktig administrere midlene som gis for å sikre sikkerheten til selskapet."

Hjelp til å utarbeide materialet - Luka Safonov, leder av Praktisk laboratorium
анализа защищенности, Инфосистемы Джет.

Kun registrerte brukere kan delta i undersøkelsen. Logg inn, vær så snill.

Hvor omfattende er din tilnærming til bedriftssikkerhet?

  • Bedriftens sikkerhetspolicy gjelder for flåten av multifunksjonelle enheter

  • Selskapets flåte av utskriftsenheter sikrer trygg bruk av brukernes personlige enheter

  • Selskapet sikrer at utskriftsinfrastrukturen er oppdatert og at patcher og oppdateringer installeres på en rettidig og effektiv måte

  • Гости компании могут выполнять печать и сканирование, не подвергая корпоративную сеть риску

  • Selskapets IT-avdeling har nok tid til å løse sikkerhetsproblemer

  • Selskapet har funnet en balanse mellom å sikre sikkerhet og brukervennlighet for enheter

2 brukere stemte. Det er ingen avståelser.

Kilde: www.habr.com

Legg til en kommentar