Nová úroveň zabezpečenia MFP: imageRUNNER ADVANCE III

Nová úroveň zabezpečenia MFP: imageRUNNER ADVANCE III

S nárastom vstavaných funkcií sa kancelárske multifunkčné zariadenia už dávno dostali za hranice triviálneho skenovania/tlače. Teraz sa zmenili na plnohodnotné nezávislé zariadenia, integrované do špičkových lokálnych a globálnych sietí, ktoré spájajú používateľov a organizácie nielen v rámci jednej kancelárie, ale na celom svete.

V tomto článku spolu s praktickým odborníkom na informačnú bezpečnosť Lukom Safonovom LukaSafonov Pozrime sa na hlavné hrozby pre moderné kancelárske multifunkčné zariadenia a spôsoby, ako im predchádzať.

Moderné kancelárske vybavenie má svoje vlastné pevné disky a operačné systémy, vďaka ktorým môžu multifunkčné zariadenia samostatne vykonávať širokú škálu úloh správy dokumentov, čím odbremeňujú ostatné zariadenia. Takéto vysoké technické vybavenie má však aj háčik. Keďže MFP sa aktívne podieľajú na prenose dát cez sieť, bez náležitej ochrany sa stávajú zraniteľnými miestami v celom sieťovom prostredí organizácie. Bezpečnosť každého systému je určená stupňom ochrany najslabšieho článku. Preto akékoľvek náklady na ochranné opatrenia pre podnikové servery a počítače strácajú zmysel, ak cez MFP ostane pre útočníka medzera. Vývojári Canon pochopili problém ochrany dôverných informácií a zvýšili úroveň zabezpečenia tretej verzie platformy imageRUNNER ADVANCE, o ktorom bude reč v článku.

Hlavné hrozby

Existuje niekoľko potenciálnych rizík spojených s používaním multifunkčných zariadení v organizáciách:

  • Hacknutie systému prostredníctvom neoprávneného prístupu k MFP a použitie ako „referenčný bod“;
  • Používanie multifunkčných zariadení na extrakciu používateľských údajov;
  • Zachytávanie údajov pri tlači alebo skenovaní;
  • Prístup k údajom osôb bez príslušného povolenia;
  • Prístup k vytlačeným alebo naskenovaným dôverným informáciám;
  • Získajte prístup k citlivým údajom na zariadeniach po dobe životnosti.
  • Posielanie dokumentov faxom alebo e-mailom na nesprávnu adresu, úmyselne alebo v dôsledku preklepu;
  • Neoprávnené prezeranie dôverných informácií uložených na nechránených multifunkčných zariadeniach;
  • Zdieľaný balík tlačených úloh patriacich rôznym používateľom.

„Moderné multifunkčné zariadenia často obsahujú obrovský potenciál pre útočníka. Naše projektové skúsenosti ukazujú, že nenakonfigurované zariadenia, alebo zariadenia bez zodpovedajúcej úrovne ochrany, dávajú útočníkom obrovskú príležitosť na rozšírenie tzv. „útočný povrch“. Ide o získanie zoznamu účtov, sieťových adries, možnosť odosielať e-mailové správy a oveľa viac. Pokúsme sa zistiť, či riešenia ponúkané spoločnosťou Canon dokážu tieto hrozby neutralizovať.“

Pre každý typ zraniteľnosti poskytuje nová platforma imageRUNNER ADVANCE celý rad doplnkových opatrení, ktoré poskytujú viacúrovňovú ochranu. Treba poznamenať, že vývoj si vyžadoval špecifický prístup vzhľadom na osobitosti prevádzky MFP. Pri tlači a skenovaní dokumentov prechádzajú informácie z digitálnej na analógovú alebo naopak. Každý z týchto typov informácií si vyžaduje zásadne odlišné metódy zabezpečenia ochrany. Zvyčajne sa na križovatke technológií v dôsledku ich heterogenity vytvára najzraniteľnejšie miesto.

„MFP sú často ľahkou korisťou pre pentesterov aj útočníkov. Spravidla je to spôsobené nedbalým prístupom k nastavovaniu takýchto zariadení a ich relatívne ľahkou dostupnosťou ako v kancelárskom prostredí, tak aj v sieťovej infraštruktúre. Jedným z najnovších prípadov je indikatívny útok, ku ktorému došlo 29. novembra 2018, keď používateľ Twitteru pod pseudonymom TheHackerGiraffe „hackol“ viac ako 50 000 sieťových tlačiarní a vytlačil na nich letáky vyzývajúce ľudí, aby sa prihlásili na odber kanála YouTube istý PewDiePie. Na Reddite TheHackerGiraffe povedal, že by mohol kompromitovať viac ako 800 000 zariadení, no obmedzil sa len na 50 000. Zároveň hacker zdôraznil, že hlavným problémom je, že nikdy predtým nič podobné neurobil, ale všetky prípravy a to všetko. Samotné hacknutie mu trvalo len pol hodiny“.

Keď spoločnosť Canon vyvíja technológie, produkty a služby, zvažujeme ich potenciálny vplyv na pracovné prostredie zákazníkov. Preto sa kancelárske multifunkčné tlačiarne Canon dodávajú so širokou škálou vstavaných a voliteľných bezpečnostných funkcií, ktoré pomáhajú firmám všetkých veľkostí dosiahnuť úroveň zabezpečenia, ktorú potrebujú.

Nová úroveň zabezpečenia MFP: imageRUNNER ADVANCE III

Spoločnosť Canon má jeden z najprísnejších režimov testovania bezpečnosti v celom odvetví kancelárskych zariadení. Technológie používané v zariadeniach sú testované na zhodu s firemnými normami. Veľká pozornosť je venovaná bezpečnostným kontrolám s aktuálnymi skúškami, ktorých výsledky majú pozitívne ohlasy na prevádzku zariadení od spoločností ako Kaspersky Lab, COMLOGIC, TerraLink a JTI Russia a ďalších.

„Napriek tomu, že v modernej realite je logické zvyšovať bezpečnosť svojich produktov, nie všetky spoločnosti sa týmto princípom riadia. Spoločnosti začínajú myslieť na ochranu po incidentoch hackerov (a tlaku používateľov) určitých produktov. Z tohto hľadiska je dôkladný prístup spoločnosti Canon k implementácii ochranných metód a opatrení orientačný.“

Neoprávnený prístup k MFP

Veľmi často sú nechránené multifunkčné zariadenia medzi prioritnými cieľmi interných porušovateľov (insiderov), ako aj externých. V modernej realite nie je podniková sieť obmedzená na jednu kanceláriu, ale zahŕňa skupinu oddelení a používateľov s rôznymi geografickými polohami. Centralizovaný tok dokumentov vyžaduje vzdialený prístup a zahrnutie MFP do podnikovej siete. Sieťové tlačové zariadenia patria do internetu vecí, no ich ochrane sa často nevenuje náležitá pozornosť, čo vedie k celkovej zraniteľnosti celej infraštruktúry.

Na ochranu pred týmto typom hrozby boli zavedené nasledujúce opatrenia:

  • Filter IP a MAC adries – konfigurujte tak, aby umožňovala komunikáciu iba so zariadeniami, ktoré majú špecifické IP alebo MAC adresy. Táto funkcia reguluje prenos dát v rámci siete aj mimo nej.
  • Konfigurácia proxy servera - vďaka tejto funkcii môžete delegovať riadenie MFP pripojení na proxy server. Táto funkcia sa odporúča pri pripájaní k zariadeniam mimo podnikovej siete.
  • Autentifikácia IEEE 802.1X je ďalšou ochranou pred pripojením zariadení, ktoré nie sú autorizované autentifikačným serverom. Neautorizovaný prístup je blokovaný prepínačom LAN.
  • Pripojenie cez IPSec – chráni pred pokusmi o zachytenie alebo dešifrovanie IP paketov prenášaných cez sieť. Odporúča sa používať s dodatočným šifrovaním komunikácie TLS.
  • Správa portov – určená na ochranu pred zasvätenou pomocou útočníkom. Táto funkcia je zodpovedná za konfiguráciu parametrov portu v súlade s bezpečnostnou politikou.
  • Automatická registrácia certifikátov – Táto funkcia poskytuje správcom systému pohodlný nástroj na automatické vydávanie a obnovovanie bezpečnostných certifikátov.
  • Wi-Fi direct – táto funkcia je určená na zabezpečenú tlač z mobilných zariadení. Aby ste to dosiahli, mobilné zariadenie nemusí byť pripojené k podnikovej sieti. Pomocou Wi-Fi direct sa vytvorí miestne peer-to-peer spojenie medzi zariadením a MFP.
  • Monitorovanie protokolov – všetky udalosti súvisiace s používaním MFP, vrátane zablokovaných požiadaviek na pripojenie, sú zaznamenávané v rôznych systémových protokoloch v reálnom čase. Analýzou záznamov môžete odhaliť potenciálne a existujúce hrozby, vytvoriť preventívnu bezpečnostnú politiku a vykonať odborné posúdenie únikov informácií, ku ktorým už došlo.
  • Device Encryption (Šifrovanie zariadenia) – táto možnosť šifruje tlačové úlohy pri ich odosielaní z počítača používateľa do multifunkčnej tlačiarne. Naskenované údaje PDF môžete tiež šifrovať povolením komplexnej sady bezpečnostných funkcií.
  • Hosťovská tlač z mobilných zariadení. Bezpečný softvér na správu sieťovej tlače a skenovania odstraňuje bežné bezpečnostné problémy spojené s mobilnou a hosťovskou tlačou tým, že poskytuje externé metódy odosielania tlačových úloh, ako je e-mail, web a mobilná aplikácia. To zaisťuje, že MFP funguje zo zabezpečeného zdroja, čím sa minimalizuje pravdepodobnosť hackerstva.

„Zdieľanie takýchto zariadení so sebou okrem pohodlia a zníženia nákladov prináša aj riziká prístupu k informáciám tretích strán. To môžu využiť nielen útočníci, ale aj bezohľadní zamestnanci na získanie osobného prospechu alebo dôverných informácií. A veľký potenciál spracovávaných informácií – od technologických tajomstiev až po finančnú dokumentáciu – je významnou prioritou pre útok alebo nelegitímne použitie.“

Novinkou novej verzie platformy imageRUNNER ADVANCE je možnosť pripojenia tlačových zariadení do dvoch sietí. To je veľmi výhodné, keď sa multifunkčné zariadenie používa súčasne v podnikovom a hosťovskom režime.

Ochrana údajov na pevnom disku

Vaša multifunkčná tlačiareň vždy obsahuje veľké množstvo údajov, ktoré je potrebné chrániť – od tlačových úloh vo fronte po prijaté faxy, naskenované obrázky, adresáre, denníky aktivít a históriu úloh.

Disk je v skutočnosti len dočasným úložiskom a uchovávanie informácií na ňom dlhšie, ako je potrebné, zvyšuje zraniteľnosť podnikového bezpečnostného systému. Aby ste tomu zabránili, môžete v nastaveniach nastaviť plán čistenia pevného disku. Okrem skutočnosti, že tlačové úlohy sa vymažú ihneď po dokončení alebo pri zlyhaní tlače, je možné podľa plánu vymazať aj ďalšie súbory, aby sa vymazali zvyškové údaje.

„Bohužiaľ, aj mnohí IT profesionáli si nie sú dostatočne vedomí úlohy pevného disku v moderných tlačových zariadeniach. Prítomnosť pevného disku môže výrazne skrátiť trvanie prípravnej fázy tlače. Pevné disky zvyčajne ukladajú systémové informácie, grafické súbory a rastrované obrázky na tlač kópií. Okrem nesprávnej likvidácie multifunkčných zariadení a možnosti úniku údajov existuje možnosť rozobratia/krádeže pevného disku na analýzu alebo vykonania špecializovaných útokov na exfiltráciu údajov, napríklad pomocou súpravy Printer Exploitation Toolkit.“

Zariadenia Canon ponúkajú celý rad nástrojov na ochranu vašich údajov počas celého životného cyklu zariadenia a zároveň zachovávajú ich dôvernosť, integritu a dostupnosť.
Veľká pozornosť sa venuje ochrane údajov na pevnom disku. Informácie tam uložené môžu mať rôzny stupeň dôvernosti. Preto sa šifrovanie HDD používa na všetkých 26 modeloch zariadení v rámci 7 rôznych sérií novej verzie platformy imageRUNNER ADVANCE. Je v súlade s bezpečnostným štandardom FIPS 140-2 úrovne 2 vlády USA, ako aj s japonským ekvivalentom JCVMP.

„Je dôležité mať systém na prístup k informáciám, ktorý zohľadňuje roly používateľov a úrovne prístupu. Napríklad v mnohých firmách je diskusia o platoch medzi zamestnancami prísne zakázaná a únik výplatných pások či informácií o odmenách môže vyvolať v tíme vážny konflikt. Bohužiaľ, poznám také prípady, v jednom to viedlo k prepusteniu zamestnanca zodpovedného za tento druh úniku informácií.“

  • Šifrovanie pevného disku. Zariadenia imageRUNNER ADVANCE šifrujú všetky údaje na vašom pevnom disku pre zvýšenie bezpečnosti.
  • Čistenie pevného disku. Niektoré údaje, ako sú skopírované alebo naskenované údaje alebo údaje dokumentov vytlačené z počítača, sa na obmedzený čas uložia na pevný disk tlačiarne a po dokončení úlohy sa odstránia.
  • Inicializácia všetkých údajov a parametrov. Ak chcete zabrániť strate údajov pri výmene alebo likvidácii pevného disku, môžete prepísať všetky dokumenty a údaje na pevnom disku a potom obnoviť nastavenia na predvolené hodnoty.
  • Zálohovanie pevného disku. Spoločnosti majú teraz možnosť zálohovať dáta z pevného disku zariadenia na voliteľný pevný disk. Pri zálohovaní sú dáta na oboch pevných diskoch plne šifrované.
  • Súprava odnímateľného pevného disku. Táto možnosť vám umožňuje vybrať pevný disk zo zariadenia a bezpečne ho uložiť, keď sa zariadenie nepoužíva.

Únik kritických údajov

Všetky spoločnosti sa zaoberajú dôvernými dokumentmi, ako sú zmluvy, dohody, účtovné doklady, údaje o zákazníkoch, plány vývojových oddelení a mnohé ďalšie. Ak sa takéto dokumenty dostanú do nesprávnych rúk, následky môžu siahať od poškodenia dobrého mena až po vysoké pokuty či dokonca súdne spory. Útočníci môžu získať kontrolu nad majetkom spoločnosti, internými alebo dôvernými informáciami.

„Nie sú to len konkurenti alebo podvodníci, ktorí kradnú cenné informácie. Často sa vyskytujú prípady, keď sa zamestnanci rozhodnú rozvíjať vlastný biznis alebo si tajne privyrábať predajom informácií navonok. V takýchto situáciách sa tlačiareň stáva ich hlavným pomocníkom. Akýkoľvek prenos údajov v rámci spoločnosti je ľahko sledovateľný. Navyše to nie sú bežní zamestnanci, ktorí majú prístup k cenným informáciám. A čo môže byť pre bežného manažéra jednoduchšie, ako ukradnúť ladom ležiaci cenný dokument? S touto úlohou sa dokáže vyrovnať každý. Vytlačené dokumenty dokonca nie je vždy potrebné odnášať mimo organizácie. Stačí rýchlo odfotiť materiály ležiace nečinne na telefóne s dobrým fotoaparátom.“

Nová úroveň zabezpečenia MFP: imageRUNNER ADVANCE III

Canon ponúka celý rad bezpečnostných riešení, ktoré vám pomôžu chrániť citlivé dokumenty počas celého ich životného cyklu.

Dôvernosť tlačených dokumentov

Používateľ si môže nastaviť PIN tlače tak, aby sa dokument začal tlačiť až po zadaní správneho PIN na zariadení. To vám umožní chrániť dôverné dokumenty.

„MFP možno často vidieť vo verejne prístupných oblastiach organizácie, aby sa uľahčili používateľom. Môžu to byť haly a zasadacie miestnosti, chodby a recepcie. Iba použitie identifikátorov (PIN kódy, čipové karty) zaručí bezpečnosť informácií v kontexte úrovne prístupu používateľa. Pozoruhodné boli prípady, keď používatelia získali prístup k predtým odoslaným dokumentom, skenom pasov atď. v dôsledku neadekvátnych kontrol a nedostatku funkcií na čistenie údajov.“

Na zariadení imageRUNNER ADVANCE môže správca pozastaviť všetky odoslané tlačové úlohy, čo vyžaduje prihlásenie používateľov, aby mohli tlačiť, čím chráni súkromie všetkých tlačených materiálov.

Tlačové úlohy alebo naskenované dokumenty možno uložiť do poštových schránok, aby ste k nim mali kedykoľvek jednoduchý prístup. Schránky môžu byť chránené PIN kódom, aby sa zabezpečilo, že k ich obsahu budú mať prístup len určení používatelia. Tento bezpečný priestor vo svojom zariadení použite na ukladanie často tlačených dokumentov (ako sú hlavičkové papiere a formuláre), ktoré vyžadujú starostlivé zaobchádzanie.

Plná kontrola nad odosielaním dokumentov a faxov

Na zníženie rizika úniku informácií môžu správcovia obmedziť prístup k rôznym príjemcom, napríklad tým, ktorí nie sú v adresári na serveri LDAP, nie sú zaregistrovaní v systéme alebo na špecifickej doméne.

Ak chcete zabrániť odoslaniu dokumentov nesprávnym príjemcom, musíte vypnúť automatické dopĺňanie e-mailových adries.

Nastavenie PIN kódu na ochranu ochráni adresár zariadenia pred neoprávneným prístupom používateľa.

Ak budete od používateľov vyžadovať opätovné zadanie faxového čísla, zabránite tým odoslaniu dokumentov nesprávnym príjemcom.

Ochrana dokumentov a faxov v dôvernom priečinku alebo kóde PIN udrží dokumenty bezpečne uložené v pamäti bez toho, aby ste ich museli tlačiť.

Overenie zdroja a pravosti dokumentu

K naskenovaným dokumentom PDF alebo XPS je možné pridať podpis zariadenia pomocou kľúča a certifikačného mechanizmu, aby si príjemca mohol overiť zdroj a pravosť dokumentu.

„V elektronickom dokumente je nevyhnutný elektronický digitálny podpis (EDS), ktorý je určený na ochranu tohto elektronického dokumentu pred falšovaním a umožňuje identifikovať vlastníka certifikátu podpisového kľúča, ako aj určiť neprítomnosť skreslenia informácií v elektronický dokument. To zaisťuje bezpečnosť prenášaného dokumentu a presnú identifikáciu jeho vlastníka, čo pomáha udržiavať spoľahlivosť informácií.“

Používateľský podpis vám umožňuje odosielať súbory PDF alebo XPS s jedinečným digitálnym podpisom používateľa získaným od certifikačnej spoločnosti. Príjemca si tak bude môcť skontrolovať, kto dokument podpísal.

Integrácia s ADOBE LIFECYCLE MANAGEMENT ES

Používatelia môžu zabezpečiť súbory PDF a aplikovať na ne konzistentné a dynamické zásady na riadenie prístupových práv a práv na používanie a na ochranu dôverných a cenných informácií pred neúmyselným alebo zlomyseľným zverejnením. Bezpečnostné zásady sú udržiavané na úrovni servera, takže povolenia je možné meniť aj po distribúcii súboru. Zariadenia radu imageRUNNER ADVANCE je možné nakonfigurovať na integráciu s Adobe ES.

Bezpečná tlač s uniFLOW MyPrintAnywhere vám umožňuje odosielať tlačové úlohy prostredníctvom univerzálneho ovládača a tlačiť ich na ľubovoľnej tlačiarni vo vašej sieti.

Predchádzanie duplikátom

Ovládače umožňujú vytlačiť viditeľné značky na stránke, ktoré sa zobrazujú nad obsahom dokumentu. Toto možno použiť na informovanie zamestnancov o dôvernosti dokumentu a na zabránenie jeho kopírovaniu.

Tlačiť/kopírovať s neviditeľnými vodoznakmi – Dokumenty sa vytlačia alebo skopírujú so skrytým textom vloženým do pozadia, ktorý sa objaví pri vytvorení duplikátu a pôsobí odstrašujúco.

Možnosti softvéru uniFLOW od spoločnosti NTware (súčasť skupiny spoločností Canon) poskytujú ďalšie efektívne nástroje na zaistenie bezpečnosti dokumentov.
Používanie uniFLOW v kombinácii s iW SAM Express vám umožní digitalizovať a archivovať dokumenty odoslané do tlačiarne alebo prijaté zo zariadenia, ako aj analyzovať textové údaje a atribúty pri reakcii na bezpečnostné hrozby.

Sledovanie zdroja dokumentu pomocou vloženého kódu.

Blokovanie skenovania dokumentov – Táto možnosť vloží do tlačených dokumentov a kópií skrytý kód, ktorý zabráni ich ďalšiemu kopírovaniu na zariadení, na ktorom je táto funkcia povolená. Správca môže použiť túto možnosť pre všetky úlohy alebo len úlohy vybrané používateľom. TL a QR kódy sú k dispozícii na vloženie.

„Výsledkom testov a oboznámenia sa s funkcionalitou technológie imageRUNNER ADVANCE III sa nám podarilo potvrdiť základnú zhodu s modernými bezpečnostnými politikami IT. Vyššie uvedené ochranné opatrenia spĺňajú základné bezpečnostné požiadavky a môžu minimalizovať riziká narušenia informačnej bezpečnosti.“

Najnovšie zariadenia imageRUNNER ADVANCE sú vybavené funkciou bezpečnostnej politiky, ktorá umožňuje správcovi spravovať všetky nastavenia zabezpečenia v jednej ponuke a upravovať ich predtým, ako ich použije ako konfiguráciu zariadenia. Po použití zariadenia a zmeny nastavení musia byť v súlade s týmito zásadami. Bezpečnostná politika môže byť chránená samostatným heslom, ktoré poskytuje dodatočnú kontrolu a ochranu, a môže k nej pristupovať iba zodpovedný odborník na bezpečnosť IT.

"Je potrebné nájsť a udržiavať rovnováhu medzi bezpečnosťou a pohodlím, rozumne využívať technologický pokrok a technické riešenia na ochranu informácií, využívať kvalifikovaný personál a šikovne spravovať poskytnuté prostriedky na zaistenie bezpečnosti spoločnosti."

Pomoc pri príprave materiálu - Luka Safonov, vedúci Praktického laboratória
bezpečnostná analýza, Jet Information Systems.

Do prieskumu sa môžu zapojiť iba registrovaní užívatelia. Prihlásiť saProsím.

Aký komplexný je váš prístup k podnikovej bezpečnosti?

  • Firemná bezpečnostná politika sa vzťahuje na flotilu multifunkčných zariadení

  • Flotila tlačových zariadení spoločnosti zaisťuje bezpečné používanie osobných zariadení používateľov

  • Spoločnosť zabezpečuje aktuálnosť tlačovej infraštruktúry a včasnú a efektívnu inštaláciu záplat a aktualizácií

  • Firemní hostia môžu tlačiť a skenovať bez toho, aby ohrozili podnikovú sieť

  • IT oddelenie spoločnosti má dostatok času na riešenie bezpečnostných problémov

  • Spoločnosť našla rovnováhu medzi zaistením bezpečnosti a jednoduchosťou používania zariadení

Hlasovali 2 používatelia. Nezdržali sa hlasovania.

Zdroj: hab.com

Kúpte si spoľahlivý hosting pre stránky s DDoS ochranou, VPS VDS servery 🔥 Kúpte si spoľahlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster