ProHoster > Blog > administração > Novo nível de segurança MFP: imageRUNNER ADVANCE III

Novo nível de segurança MFP: imageRUNNER ADVANCE III

Novo nível de segurança MFP: imageRUNNER ADVANCE III

Com o aumento das funções integradas, os MFPs de escritório já foram além da digitalização/impressão trivial. Agora eles se transformaram em dispositivos independentes completos, integrados em redes locais e globais de alta tecnologia, conectando usuários e organizações não apenas dentro de um escritório, mas em todo o mundo.

Neste artigo, junto com o especialista prático em segurança da informação Luka Safonov Luka Safonov Vejamos as principais ameaças aos MFPs de escritório modernos e as formas de evitá-las.

Os equipamentos de escritório modernos possuem seus próprios discos rígidos e sistemas operacionais, graças aos quais os MFPs podem realizar uma ampla gama de tarefas de gerenciamento de documentos de forma independente, aliviando a carga de outros dispositivos. No entanto, esse equipamento técnico de alta qualidade também tem uma desvantagem. Como os MFPs participam ativamente da transmissão de dados pela rede, sem a proteção adequada eles se tornam vulnerabilidades em todo o ambiente de rede da organização. A segurança de qualquer sistema é determinada pelo grau de proteção do elo mais fraco. Portanto, quaisquer custos com medidas de proteção para servidores e computadores corporativos tornam-se insignificantes se permanecer uma brecha para um invasor por meio do MFP. Compreendendo o problema de proteção de informações confidenciais, os desenvolvedores da Canon aumentaram o nível de segurança da terceira versão da plataforma imageRUNNER ADVANCE, que será discutido no artigo.

Principais ameaças

Existem vários riscos potenciais associados ao uso de MFPs nas organizações:

  • Hacking do sistema através de acesso não autorizado ao MFP e uso como “ponto de referência”;
  • Usando MFPs para exfiltrar dados do usuário;
  • Interceptação de dados durante impressão ou digitalização;
  • Acesso a dados de pessoas sem autorização adequada;
  • Acesso a informações confidenciais impressas ou digitalizadas;
  • Acesse dados confidenciais em dispositivos em fim de vida.
  • Envio de documentos por fax ou e-mail para endereço incorreto, intencionalmente ou por erro de digitação;
  • Visualização não autorizada de informações confidenciais armazenadas em MFPs desprotegidos;
  • Uma pilha compartilhada de trabalhos impressos pertencentes a diferentes usuários.

“Na verdade, os MFPs modernos muitas vezes contêm um enorme potencial para um invasor. Nossa experiência em projetos mostra que dispositivos não configurados, ou dispositivos sem o nível adequado de proteção, oferecem aos invasores uma grande oportunidade de expandir o chamado. "superfície de ataque". Trata-se de obter uma lista de contas, endereçamento de rede, capacidade de enviar mensagens de e-mail e muito mais. Vamos tentar descobrir se as soluções oferecidas pela Canon são capazes de neutralizar estas ameaças.”

Para cada tipo de vulnerabilidade, a nova plataforma imageRUNNER ADVANCE oferece toda uma gama de medidas complementares que proporcionam proteção em vários níveis. Ressalta-se que o desenvolvimento exigiu uma abordagem específica devido às peculiaridades do funcionamento do MFP. Ao imprimir e digitalizar documentos, as informações passam de digital para analógica ou vice-versa. Cada um destes tipos de informação requer métodos fundamentalmente diferentes para garantir a proteção. Normalmente, na junção das tecnologias, devido à sua heterogeneidade, forma-se o local mais vulnerável.

“Os MFPs costumam ser presas fáceis tanto para pentesters quanto para invasores. Via de regra, isso se deve a uma atitude negligente na configuração de tais dispositivos e à sua disponibilidade relativamente fácil, tanto no ambiente de escritório quanto na infraestrutura de rede. Um dos casos mais recentes é um ataque indicativo ocorrido em 29 de novembro de 2018, quando um usuário do Twitter sob o pseudônimo TheHackerGiraffe “hackeou” mais de 50 impressoras de rede e imprimiu folhetos nelas pedindo que as pessoas se inscrevessem no canal do YouTube de um certo PewDiePie. No Reddit, TheHackerGiraffe disse que poderia comprometer mais de 000 mil dispositivos, mas se limitou a apenas 800 mil. Ao mesmo tempo, o hacker enfatizou que o principal problema é que ele nunca havia feito nada parecido antes, mas todos os preparativos e o hackear em si só levou meia hora".

Quando a Canon desenvolve tecnologias, produtos e serviços, consideramos o seu impacto potencial nos ambientes de trabalho dos clientes. É por isso que as impressoras multifunções de escritório da Canon vêm com uma vasta gama de funcionalidades de segurança integradas e opcionais para ajudar empresas de todas as dimensões a alcançar o nível de segurança de que necessitam.

Novo nível de segurança MFP: imageRUNNER ADVANCE III

A Canon tem um dos mais rigorosos regimes de testes de segurança em toda a indústria de equipamento de escritório. As tecnologias usadas nos dispositivos são testadas quanto à conformidade com os padrões da empresa. Muita atenção é dada às verificações de segurança com exames atualizados, cujos resultados receberam feedback positivo sobre o funcionamento de dispositivos de empresas como Kaspersky Lab, COMLOGIC, TerraLink e JTI Russia e outras.

“Apesar de na realidade moderna ser lógico aumentar a segurança dos seus produtos, nem todas as empresas seguem este princípio. As empresas estão começando a pensar em proteção após incidentes de hacking (e pressão de usuários) de determinados produtos. Deste lado, a abordagem minuciosa da Canon na implementação de métodos e medidas de proteção é indicativa.”

Acesso não autorizado ao MFP

Muitas vezes, os MFPs desprotegidos estão entre os alvos prioritários tanto dos infratores internos (insiders) quanto dos externos. Nas realidades modernas, uma rede corporativa não se limita a um escritório, mas inclui um grupo de departamentos e usuários com diferentes localizações geográficas. O fluxo centralizado de documentos requer acesso remoto e inclusão de MFPs na rede corporativa. Os dispositivos de impressão em rede pertencem à Internet das Coisas, mas muitas vezes não é dada a devida atenção à sua proteção, o que leva à vulnerabilidade geral de toda a infraestrutura.

Para se proteger contra este tipo de ameaça, foram implementadas as seguintes medidas:

  • Filtro de endereço IP e MAC – configure para permitir a comunicação apenas com dispositivos que possuam endereços IP ou MAC específicos. Esta função regula a transferência de dados dentro e fora da rede.
  • Configuração do servidor proxy - graças a esta função, você pode delegar o controle das conexões MFP a um servidor proxy. Este recurso é recomendado ao conectar-se a dispositivos fora da rede corporativa.
  • A autenticação IEEE 802.1X é outra proteção contra a conexão de dispositivos que não são autorizados pelo servidor de autenticação. O acesso não autorizado é bloqueado pelo switch LAN.
  • Conexão via IPSec – protege contra tentativas de interceptação ou descriptografia de pacotes IP transmitidos pela rede. Recomenda-se usar com criptografia de comunicação TLS adicional.
  • Gerenciamento portuário - projetado para proteger contra assistência interna a invasores. Esta função é responsável por configurar os parâmetros da porta de acordo com a política de segurança.
  • Registro automático de certificados – Este recurso oferece aos administradores de sistema uma ferramenta conveniente para emitir e renovar automaticamente certificados de segurança.
  • Wi-Fi Direct – uma função projetada para impressão segura a partir de dispositivos móveis. Para isso, o dispositivo móvel não precisa estar conectado à rede corporativa. Usando o Wi-Fi Direct, é criada uma conexão ponto a ponto local entre o dispositivo e o MFP.
  • Monitorização de registos – todos os eventos relacionados com a utilização do MFP, incluindo pedidos de ligação bloqueada, são registados em vários registos do sistema em tempo real. Ao analisar registros, você pode detectar ameaças potenciais e existentes, construir uma política de segurança preventiva e realizar uma avaliação especializada de vazamentos de informações que já ocorreram.
  • Criptografia de dispositivo — Esta opção criptografa os trabalhos de impressão à medida que são enviados do PC do usuário para a impressora multifuncional. Você também pode criptografar dados PDF digitalizados ativando um conjunto abrangente de recursos de segurança.
  • Impressão de convidados a partir de dispositivos móveis. O software seguro de gerenciamento de impressão e digitalização em rede elimina problemas comuns de segurança associados à impressão móvel e de convidado, fornecendo métodos externos para envio de trabalhos de impressão, como e-mail, web e aplicativo móvel. Isto garante que o MFP opere a partir de uma fonte segura, minimizando a probabilidade de invasão.

“O compartilhamento desses dispositivos, além de comodidade e redução de custos, também traz riscos de acesso a informações de terceiros. Isto pode ser usado não apenas por invasores, mas também por funcionários sem escrúpulos para obter benefícios pessoais ou obter informações privilegiadas. E o grande potencial da informação que está a ser processada – desde segredos tecnológicos até documentação financeira – é uma prioridade significativa para ataques ou utilização ilegítima.”

Uma novidade na nova versão da plataforma imageRUNNER ADVANCE é a capacidade de conectar dispositivos de impressão a duas redes. Isto é muito conveniente quando o MFP é usado simultaneamente nos modos corporativo e convidado.

Proteção de dados do disco rígido

Sua impressora multifuncional sempre contém uma grande quantidade de dados que precisam ser protegidos — desde trabalhos de impressão em fila até faxes recebidos, imagens digitalizadas, catálogos de endereços, registros de atividades e histórico de trabalhos.

Na verdade, o disco é apenas um armazenamento temporário e manter as informações nele por mais tempo do que o necessário aumenta a vulnerabilidade do sistema de segurança corporativo. Para evitar que isso aconteça, você pode definir um cronograma de limpeza do disco rígido nas configurações. Além do fato de que os trabalhos de impressão são apagados imediatamente após a conclusão ou quando a impressão falha, outros arquivos podem ser excluídos de acordo com uma programação para limpar os dados residuais.

“Infelizmente, mesmo muitos profissionais de TI não estão conscientes do papel do disco rígido nos dispositivos de impressão modernos. A presença de um disco rígido pode reduzir significativamente a duração da fase preparatória de impressão. Os discos rígidos geralmente armazenam informações do sistema, arquivos gráficos e imagens rasterizadas para impressão de cópias. Além do descarte inadequado de MFPs e da possibilidade de vazamento de dados, existe a possibilidade de desmantelamento/roubo do disco rígido para análise, ou de realização de ataques especializados para exfiltração de dados, por exemplo, usando o Printer Exploitation Toolkit.”

Os dispositivos Canon oferecem uma gama de ferramentas para proteger os seus dados durante todo o ciclo de vida do dispositivo, mantendo ao mesmo tempo a sua confidencialidade, integridade e disponibilidade.
Muita atenção é dada à proteção dos dados no disco rígido. As informações ali armazenadas podem ter vários graus de confidencialidade. Portanto, a criptografia do HDD é usada em todos os 26 modelos de dispositivos em 7 séries diferentes da nova versão da plataforma imageRUNNER ADVANCE. Ele está em conformidade com o padrão de segurança FIPS 140-2 Nível 2 do governo dos EUA, bem como com o equivalente japonês JCVMP.

“É importante ter um sistema de acesso à informação que tenha em conta as funções dos utilizadores e os níveis de acesso. Por exemplo, em muitas empresas, a discussão de salários entre os funcionários é estritamente proibida, e o vazamento de comprovantes de salário ou informações sobre bônus pode provocar sérios conflitos na equipe. Infelizmente conheço casos assim, em um deles isso levou à demissão do funcionário responsável por esse tipo de vazamento.”

  • Criptografia do disco rígido. Os dispositivos imageRUNNER ADVANCE criptografam todos os dados em seu disco rígido para maior segurança.
  • Limpando seu disco rígido. Alguns dados, como dados copiados ou digitalizados ou dados de documentos impressos de um computador, são armazenados no disco rígido da impressora por um tempo limitado e são excluídos após a conclusão do trabalho.
  • Inicialização de todos os dados e parâmetros. Para evitar a perda de dados ao substituir ou descartar seu disco rígido, você pode sobrescrever todos os documentos e dados no disco rígido e, em seguida, redefinir as configurações para os valores padrão.
  • Faça backup do disco rígido. As empresas agora podem fazer backup de dados do disco rígido do dispositivo para um disco rígido opcional. Ao fazer backup, os dados em ambos os discos rígidos são totalmente criptografados.
  • Kit de disco rígido removível. Esta opção permite remover o disco rígido do dispositivo para armazenamento seguro enquanto o dispositivo não estiver em uso.

Vazamento de dados críticos

Todas as empresas lidam com documentos confidenciais, como contratos, acordos, documentos contábeis, dados de clientes, planos de departamento de desenvolvimento e muito mais. Se tais documentos caírem em mãos erradas, as consequências podem variar desde danos à reputação até multas pesadas ou até ações judiciais. Os invasores podem obter o controle dos ativos da empresa, informações privilegiadas ou confidenciais.

“Não são apenas concorrentes ou golpistas que roubam informações valiosas. Muitas vezes há casos em que os funcionários decidem desenvolver seu próprio negócio ou ganhar dinheiro extra secretamente vendendo informações para o exterior. Nessas situações, a impressora passa a ser seu principal auxiliar. Qualquer transferência de dados dentro da empresa é fácil de rastrear. Além disso, não são os funcionários comuns que têm acesso a informações valiosas. E o que poderia ser mais fácil para um gerente comum do que roubar um documento valioso que está ocioso? Qualquer um pode lidar com esta tarefa. Os documentos impressos nem sempre precisam ser levados para fora da organização. É o suficiente para tirar rapidamente uma foto dos materiais que estão ociosos em um telefone com uma boa câmera.”

Novo nível de segurança MFP: imageRUNNER ADVANCE III

A Canon oferece uma gama de soluções de segurança para o ajudar a proteger documentos sensíveis ao longo de todo o seu ciclo de vida.

Confidencialidade de documentos impressos

O usuário pode definir um PIN de impressão para que o documento comece a ser impresso somente após inserir o PIN correto no dispositivo. Isso permite proteger documentos confidenciais.

“Muitas vezes, os MFPs podem ser vistos em áreas acessíveis ao público de uma organização para conveniência dos usuários. Podem ser corredores e salas de reuniões, corredores e áreas de recepção. Só a utilização de identificadores (códigos PIN, cartões inteligentes) garantirá a segurança da informação no contexto do nível de acesso do utilizador. Casos notáveis ​​foram quando os usuários obtiveram acesso a documentos enviados anteriormente, digitalizações de passaportes, etc. como resultado de controles inadequados e falta de funções de limpeza de dados.”

No dispositivo imageRUNNER ADVANCE, o administrador pode pausar todos os trabalhos de impressão enviados, exigindo que os usuários façam login para imprimir, protegendo assim a privacidade de todos os materiais impressos.

Os trabalhos de impressão ou documentos digitalizados podem ser armazenados em caixas de correio para fácil acesso a qualquer momento. As caixas de correio podem ser protegidas com um código PIN para garantir que apenas usuários designados possam acessar seu conteúdo. Use este espaço seguro no seu dispositivo para armazenar documentos impressos com frequência (como papéis timbrados e formulários) que exigem manuseio cuidadoso.

Controle total sobre o envio de documentos e faxes

Para reduzir o risco de vazamento de informações, os administradores podem restringir o acesso a vários destinatários, por exemplo, aqueles que não estão no catálogo de endereços do servidor LDAP, não registrados no sistema ou em um domínio específico.

Para evitar que os documentos sejam enviados para destinatários incorretos, você deve desativar o preenchimento automático para endereços de e-mail.

Definir um código PIN para proteção protegerá o catálogo de endereços do dispositivo contra acesso não autorizado de usuários.

Exigir que os usuários digitem novamente o número de fax impedirá que os documentos sejam enviados aos destinatários errados.

Proteger documentos e faxes em uma pasta confidencial ou PIN manterá os documentos armazenados com segurança na memória, sem a necessidade de imprimi-los.

Verificando a origem e autenticidade de um documento

Uma assinatura de dispositivo pode ser adicionada a documentos PDF ou XPS digitalizados usando uma chave e um mecanismo de certificação para que o destinatário possa verificar a origem e a autenticidade do documento.

“Em um documento eletrônico, seu requisito é a assinatura digital eletrônica (EDS), que visa proteger esse documento eletrônico contra falsificação e permite identificar o titular do certificado da chave de assinatura, bem como estabelecer a ausência de distorção de informações no documento eletrônico. Isso garante a segurança do documento transmitido e a identificação exata de seu titular, o que ajuda a manter a confiabilidade das informações.”

A Assinatura do Usuário permite enviar arquivos PDF ou XPS com a assinatura digital exclusiva do usuário obtida de uma empresa certificadora. Desta forma o destinatário poderá verificar quem assinou o documento.

Integração com ADOBE LIFECYCLE MANAGEMENT ES

Os usuários podem proteger arquivos PDF e aplicar políticas consistentes e dinâmicas a eles para controlar o acesso e os direitos de uso e proteger informações confidenciais e valiosas contra divulgação inadvertida ou maliciosa. As políticas de segurança são mantidas no nível do servidor, portanto as permissões podem ser alteradas mesmo após a distribuição do arquivo. Os dispositivos da série imageRUNNER ADVANCE podem ser configurados para integração com Adobe ES.

A impressão segura com o uniFLOW MyPrintAnywhere permite enviar trabalhos de impressão através de um driver universal e imprimi-los em qualquer impressora da sua rede.

Prevenindo duplicatas

Os drivers permitem imprimir marcações visíveis na página que aparecem na parte superior do conteúdo do documento. Isso pode ser usado para informar os funcionários sobre a confidencialidade do documento e evitar que ele seja copiado.

Imprimir/Copiar com marcas d'água invisíveis - Os documentos serão impressos ou copiados com texto oculto incorporado no fundo, que aparecerá quando uma duplicata for criada e atuará como um impedimento.

As capacidades do software uniFLOW da NTware (parte do grupo de empresas Canon) fornecem ferramentas adicionais eficazes para garantir a segurança dos documentos.
Usar o uniFLOW em combinação com o iW SAM Express permitirá digitalizar e arquivar documentos enviados para uma impressora ou recebidos de um dispositivo, bem como analisar dados e atributos de texto ao responder a ameaças de segurança.

Rastreie a origem do documento usando código incorporado.

Bloqueio de digitalização de documentos – Esta opção incorpora um código oculto em documentos impressos e cópias que impede que sejam copiados posteriormente em um dispositivo no qual esse recurso esteja habilitado. O administrador pode usar esta opção para todos os trabalhos ou apenas para os trabalhos selecionados pelo usuário. Os códigos TL e QR estão disponíveis para incorporação.

“Como resultado de testes e familiarização com a funcionalidade da tecnologia imageRUNNER ADVANCE III, conseguimos confirmar a conformidade básica com as modernas políticas de segurança de TI. As medidas de proteção acima atendem aos requisitos básicos de segurança e podem minimizar os riscos de violações da segurança da informação.”

Os dispositivos imageRUNNER ADVANCE mais recentes estão equipados com um recurso de política de segurança que permite ao administrador gerenciar todas as configurações de segurança em um menu e editá-las antes de aplicá-las como uma configuração do dispositivo. Depois de aplicada, o uso do dispositivo e as alterações nas configurações deverão estar de acordo com esta política. A política de segurança pode ser protegida com uma senha separada para fornecer controle e proteção adicionais e só pode ser acessada pelo profissional de segurança de TI responsável.

“É necessário encontrar e manter o equilíbrio entre segurança e comodidade, utilizar sabiamente os avanços tecnológicos e soluções técnicas para proteger a informação, utilizar pessoal qualificado e gerir com habilidade os fundos disponibilizados para garantir a segurança da empresa.”

Auxílio na preparação do material - Luka Safonov, chefe do Laboratório Prático
análise de segurança, Jet Information Systems.

Apenas usuários registrados podem participar da pesquisa. Entrarpor favor

Quão abrangente é a sua abordagem à segurança corporativa?

  • A política de segurança corporativa se aplica à frota de dispositivos multifuncionais

  • A frota de dispositivos de impressão da empresa garante o uso seguro dos dispositivos pessoais dos usuários

  • A empresa garante que a infraestrutura de impressão esteja atualizada e que patches e atualizações sejam instalados de maneira oportuna e eficiente

  • Os convidados da empresa podem imprimir e digitalizar sem colocar a rede corporativa em risco

  • O departamento de TI da empresa tem tempo suficiente para resolver problemas de segurança

  • A empresa encontrou um equilíbrio entre garantir a segurança e a facilidade de uso dos dispositivos

2 usuários votaram. Não há abstenções.

Fonte: habr.com

Adicionar um comentário