ProHoster > Blog > Uprava > Nova raven varnosti MFP: imageRUNNER ADVANCE III

Nova raven varnosti MFP: imageRUNNER ADVANCE III

Nova raven varnosti MFP: imageRUNNER ADVANCE III

S povečanjem števila vgrajenih funkcij so pisarniške večnamenske naprave že zdavnaj presegle trivialno skeniranje/tiskanje. Zdaj so se spremenili v polnopravne neodvisne naprave, integrirane v visokotehnološka lokalna in globalna omrežja, ki povezujejo uporabnike in organizacije ne samo znotraj ene pisarne, temveč po vsem svetu.

V tem članku skupaj s praktičnim strokovnjakom za informacijsko varnost Luko Safonovom LukaSafonov Oglejmo si glavne grožnje sodobnim pisarniškim večnamenskim napravam in načine, kako jih preprečiti.

Sodobna pisarniška oprema ima lastne trde diske in operacijske sisteme, zahvaljujoč katerim lahko večnamenske naprave samostojno opravljajo širok spekter nalog upravljanja dokumentov in razbremenijo druge naprave. Vendar ima tako visoka tehnična opremljenost tudi slabo stran. Ker večnamenske naprave aktivno sodelujejo pri prenosu podatkov po omrežju, postanejo brez ustrezne zaščite ranljive točke v celotnem omrežnem okolju organizacije. Varnost vsakega sistema določa stopnja zaščite najšibkejšega člena. Zato vsi stroški za zaščitne ukrepe za poslovne strežnike in računalnike postanejo nesmiselni, če za napadalca ostane vrzel prek večnamenske naprave. Canonovi razvijalci so razumeli problem varovanja zaupnih informacij in povečali raven varnosti tretje različice platforme. imageRUNNER ADVANCE, o katerem bo govora v članku.

Glavne grožnje

Z uporabo večnamenskih naprav v organizacijah je povezanih več možnih tveganj:

  • Vdiranje v sistem z nepooblaščenim dostopom do MFP in uporabo kot "referenčno točko";
  • Uporaba večnamenskih naprav za izločanje uporabniških podatkov;
  • Prestrezanje podatkov pri tiskanju ali skeniranju;
  • Dostop do podatkov oseb brez ustreznega dovoljenja;
  • Dostop do natisnjenih ali skeniranih zaupnih informacij;
  • Dostop do občutljivih podatkov na napravah ob koncu življenjske dobe.
  • Pošiljanje dokumentov po faksu ali elektronski pošti na napačen naslov, namerno ali zaradi tipkarske napake;
  • Nepooblaščeno ogledovanje zaupnih informacij, shranjenih na nezaščitenih večnamenskih napravah;
  • Skupni kup tiskanih opravil, ki pripadajo različnim uporabnikom.

»Sodobne večnamenske naprave dejansko vsebujejo ogromen potencial za napadalce. Naše projektne izkušnje kažejo, da nekonfigurirane naprave ali naprave brez ustrezne ravni zaščite napadalcem dajejo veliko priložnost za razširitev t.i. "napadna površina". To je pridobivanje seznama računov, omrežno naslavljanje, možnost pošiljanja e-poštnih sporočil in še veliko več. Poskusimo ugotoviti, ali so rešitve, ki jih ponuja Canon, sposobne nevtralizirati te grožnje.«

Za vsako vrsto ranljivosti nova platforma imageRUNNER ADVANCE zagotavlja celo vrsto dopolnilnih ukrepov, ki zagotavljajo zaščito na več ravneh. Treba je opozoriti, da je razvoj zahteval poseben pristop zaradi posebnosti delovanja MFP. Pri tiskanju in skeniranju dokumentov informacije prehajajo iz digitalne v analogno ali obratno. Vsaka od teh vrst informacij zahteva bistveno drugačne metode zagotavljanja zaščite. Običajno se na stičišču tehnologij zaradi njihove heterogenosti oblikuje najbolj ranljivo mesto.

»MFP so pogosto lahek plen tako za pentesterje kot za napadalce. Praviloma je to posledica malomarnega odnosa do postavitve tovrstnih naprav in njihove relativno enostavne dostopnosti, tako v pisarniškem okolju kot v omrežni infrastrukturi. Eden najnovejših primerov je indikativni napad, ki se je zgodil 29. novembra 2018, ko je uporabnik Twitterja pod psevdonimom TheHackerGiraffe »vdrl« v več kot 50 omrežnih tiskalnikov in na njih natisnil letake, ki so pozivali ljudi, naj se naročijo na YouTube kanal določen PewDiePie. TheHackerGiraffe je na Redditu dejal, da bi lahko ogrozil več kot 000 naprav, a se je omejil na le 800.Haker je ob tem poudaril, da je glavna težava v tem, da česa takega še ni naredil, a vse priprave in sam hack mu je vzel le pol ure."

Ko Canon razvija tehnologije, izdelke in storitve, upošteva njihov potencialni vpliv na delovna okolja strank. Zato so Canonovi pisarniški večfunkcijski tiskalniki opremljeni s široko paleto vgrajenih in izbirnih varnostnih funkcij, ki podjetjem vseh velikosti pomagajo doseči raven varnosti, ki jo potrebujejo.

Nova raven varnosti MFP: imageRUNNER ADVANCE III

Canon ima enega najstrožjih režimov testiranja varnosti v celotni industriji pisarniške opreme. Tehnologije, ki se uporabljajo v napravah, so testirane glede skladnosti s standardi podjetja. Veliko pozornosti namenjamo varnostnim pregledom z najnovejšimi pregledi, katerih rezultati so prejeli pozitivne povratne informacije o delovanju naprav podjetij, kot so Kaspersky Lab, COMLOGIC, TerraLink in JTI Rusija ter drugih.

»Kljub dejstvu, da je v sodobni realnosti logično povečati varnost svojih izdelkov, vsa podjetja ne sledijo temu načelu. Podjetja začenjajo razmišljati o zaščiti po primerih vdorov (in pritiskov uporabnikov) na določene izdelke. S te strani je indikativen Canonov temeljit pristop k izvajanju zaščitnih metod in ukrepov.«

Nepooblaščen dostop do MFP

Zelo pogosto so nezaščitene večnamenske naprave med prednostnimi tarčami tako notranjih kršiteljev (insajderjev) kot zunanjih. V sodobnih realnostih korporativno omrežje ni omejeno na eno pisarno, ampak vključuje skupino oddelkov in uporabnikov z različnimi geografskimi lokacijami. Centraliziran pretok dokumentov zahteva oddaljeni dostop in vključitev večnamenskih naprav v omrežje podjetja. Omrežne tiskalne naprave sodijo v internet stvari, vendar se njihovi zaščiti pogosto ne posveča dovolj pozornosti, kar vodi v splošno ranljivost celotne infrastrukture.

Za zaščito pred to vrsto grožnje so bili izvedeni naslednji ukrepi:

  • Filter naslovov IP in MAC – konfigurirajte tako, da omogočite komunikacijo samo z napravami, ki imajo določene naslove IP ali MAC. Ta funkcija uravnava prenos podatkov v omrežju in zunaj njega.
  • Konfiguracija strežnika proxy - zahvaljujoč tej funkciji lahko nadzor nad povezavami MFP prenesete na strežnik proxy. Ta funkcija je priporočljiva pri povezovanju z napravami zunaj omrežja podjetja.
  • Preverjanje pristnosti IEEE 802.1X je še ena zaščita pred povezovanjem naprav, ki jih strežnik za preverjanje pristnosti ne pooblasti. Nepooblaščen dostop blokira stikalo LAN.
  • Povezava prek IPSec – ščiti pred poskusi prestrezanja ali dešifriranja paketov IP, ki se prenašajo po omrežju. Priporočljiva je uporaba z dodatnim TLS šifriranjem komunikacije.
  • Upravljanje vrat – zasnovano za zaščito pred notranjo pomočjo napadalcem. Ta funkcija je odgovorna za konfiguracijo parametrov vrat v skladu z varnostno politiko.
  • Samodejni vpis potrdila – Ta funkcija daje sistemskim skrbnikom priročno orodje za samodejno izdajanje in obnavljanje varnostnih potrdil.
  • Wi-Fi direct – ta funkcija je zasnovana za varno tiskanje iz mobilnih naprav. Za to ni treba, da je mobilna naprava povezana z omrežjem podjetja. Z uporabo Wi-Fi Direct se ustvari lokalna povezava enakovrednih med napravo in večnamensko napravo.
  • Nadzor dnevnika – vsi dogodki, povezani z uporabo večnamenske naprave, vključno z blokiranimi zahtevami za povezavo, se v realnem času beležijo v različnih sistemskih dnevnikih. Z analizo zapisov lahko odkrijete potencialne in obstoječe grožnje, zgradite preventivno varnostno politiko in opravite strokovno oceno že uhajanja informacij.
  • Device Encryption (Šifriranje naprave) – ta možnost šifrira tiskalna opravila, ko so poslana iz uporabnikovega računalnika v večnamenski tiskalnik. Prav tako lahko šifrirate optično prebrane podatke PDF, tako da omogočite celovit nabor varnostnih funkcij.
  • Gostujoče tiskanje iz mobilnih naprav. Programska oprema za upravljanje varnega omrežnega tiskanja in skeniranja odpravlja običajne varnostne težave, povezane z mobilnim tiskanjem in tiskanjem za goste, tako da zagotavlja zunanje metode za pošiljanje tiskalnih opravil, kot so e-pošta, splet in mobilna aplikacija. To zagotavlja, da MFP deluje iz varnega vira, kar zmanjšuje verjetnost vdora.

»Souporaba takih naprav poleg udobja in znižanja stroškov prinaša tudi tveganja dostopa do informacij tretjih oseb. To lahko izkoristijo ne le napadalci, ampak tudi brezvestni zaposleni za pridobitev osebne koristi ali pridobitev notranjih informacij. In velik potencial informacij, ki se obdelujejo – od tehnoloških skrivnosti do finančne dokumentacije – je pomembna prednostna naloga za napad ali nelegitimno uporabo.«

Novost nove različice platforme imageRUNNER ADVANCE je možnost povezovanja tiskalnih naprav v dve omrežji. To je zelo priročno, ko se večnamenska naprava uporablja istočasno v korporativnem in gostujočem načinu.

Zaščita podatkov na trdem disku

Vaš večfunkcijski tiskalnik vedno vsebuje veliko količino podatkov, ki jih je treba zaščititi – od tiskalnih opravil v čakalni vrsti do prejetih faksov, skeniranih slik, imenikov, dnevnikov dejavnosti in zgodovine opravil.

Pravzaprav je disk le začasna shramba in shranjevanje informacij na njem dlje, kot je potrebno, poveča ranljivost korporativnega varnostnega sistema. Da se to ne bi zgodilo, lahko v nastavitvah nastavite urnik čiščenja trdega diska. Poleg dejstva, da se tiskalna opravila počistijo takoj po zaključku ali ko tiskanje ne uspe, je mogoče druge datoteke izbrisati po urniku, da počistite preostale podatke.

»Žal se tudi številni IT strokovnjaki premalo zavedajo vloge trdega diska v sodobnih tiskalnih napravah. Prisotnost trdega diska lahko znatno skrajša trajanje pripravljalne faze tiskanja. Trdi diski običajno shranjujejo sistemske informacije, grafične datoteke in rastrizirane slike za tiskanje kopij. Poleg nepravilnega odstranjevanja večnamenskih naprav in možnosti uhajanja podatkov obstaja možnost razgradnje/kraje trdega diska za analizo ali izvedbe specializiranih napadov za izločanje podatkov, na primer z uporabo Printer Exploitation Toolkit.«

Naprave Canon ponujajo vrsto orodij za zaščito vaših podatkov v celotnem življenjskem ciklu naprave, hkrati pa ohranjajo njihovo zaupnost, celovitost in razpoložljivost.
Veliko pozornosti namenjamo zaščiti podatkov na trdem disku. Tam shranjene informacije imajo lahko različne stopnje zaupnosti. Zato se šifriranje HDD uporablja na vseh 26 modelih naprav v 7 različnih serijah nove različice platforme imageRUNNER ADVANCE. Skladen je z varnostnim standardom ameriške vlade FIPS 140-2 Level 2, kot tudi z japonskim ekvivalentom JCVMP.

»Pomembno je imeti sistem dostopa do informacij, ki upošteva uporabniške vloge in ravni dostopa. Na primer, v mnogih podjetjih je razprava o plačah med zaposlenimi strogo prepovedana, uhajanje plačilnih listov ali informacij o bonusih pa lahko povzroči resen konflikt v ekipi. Na žalost poznam takšne primere, v enem od njih je to privedlo do odpovedi uslužbenca, odgovornega za tovrstno uhajanje informacij.”

  • Šifriranje trdega diska. Naprave imageRUNNER ADVANCE šifrirajo vse podatke na vašem trdem disku za večjo varnost.
  • Čiščenje trdega diska. Nekateri podatki, kot so kopirani ali optično prebrani podatki ali podatki dokumentov, natisnjeni iz računalnika, so shranjeni na trdem disku tiskalnika za omejen čas in se po končanem opravilu izbrišejo.
  • Inicializacija vseh podatkov in parametrov. Če želite preprečiti izgubo podatkov pri zamenjavi ali odstranjevanju trdega diska, lahko prepišete vse dokumente in podatke na trdem disku in nato ponastavite nastavitve na privzete vrednosti.
  • Varnostni trdi disk. Podjetja imajo zdaj možnost varnostnega kopiranja podatkov s trdega diska naprave na izbirni trdi disk. Pri varnostnem kopiranju so podatki na obeh trdih diskih v celoti šifrirani.
  • Odstranljiv komplet trdega diska. Ta možnost vam omogoča, da odstranite trdi disk iz naprave za varno shranjevanje, ko naprava ni v uporabi.

Uhajanje kritičnih podatkov

Vsa podjetja imajo opravka z zaupnimi dokumenti, kot so pogodbe, sporazumi, računovodske listine, podatki o strankah, načrti razvojnih oddelkov in še mnogo več. Če takšni dokumenti padejo v napačne roke, lahko posledice segajo od škode ugleda do velikih denarnih kazni ali celo tožb. Napadalci lahko pridobijo nadzor nad sredstvi podjetja, notranjimi ali zaupnimi informacijami.

»Vrednih informacij ne ukradejo samo konkurenti ali prevaranti. Pogosto se zgodi, da se zaposleni odločijo za razvoj lastnega podjetja ali na skrivaj dodatno zaslužijo s prodajo informacij navzven. V takih situacijah postane tiskalnik njihov glavni pomočnik. Vsakemu prenosu podatkov znotraj podjetja je enostavno slediti. Poleg tega niso navadni zaposleni tisti, ki imajo dostop do dragocenih informacij. In kaj bi lahko bilo lažjega za navadnega menedžerja kot ukrasti dragocen dokument, ki leži v prostem teku? Vsakdo se lahko spopade s to nalogo. Natisnjenih dokumentov sploh ni treba vedno odnesti zunaj organizacije. Dovolj je, da na telefonu z dobrim fotoaparatom na hitro fotografirate ležeče materiale.”

Nova raven varnosti MFP: imageRUNNER ADVANCE III

Canon ponuja vrsto varnostnih rešitev, ki vam pomagajo zaščititi občutljive dokumente v celotnem življenjskem ciklu.

Zaupnost natisnjenih dokumentov

Uporabnik lahko nastavi PIN za tiskanje tako, da se dokument začne tiskati šele po vnosu pravilnega PIN-a v napravo. To vam omogoča zaščito zaupnih dokumentov.

»MFP-je je pogosto mogoče videti na javno dostopnih območjih organizacije zaradi udobja uporabnikov. To so lahko dvorane in sejne sobe, hodniki in sprejemnice. Samo uporaba identifikatorjev (PIN kode, pametne kartice) bo zagotovila varnost informacij v okviru ravni dostopa uporabnika. Pomembni so bili primeri, ko so uporabniki pridobili dostop do predhodno poslanih dokumentov, skenov potnih listov itd. kot posledica neustreznega nadzora in pomanjkanja funkcij čiščenja podatkov.«

Na napravi imageRUNNER ADVANCE lahko skrbnik začasno ustavi vsa predložena tiskalna opravila, pri čemer se morajo uporabniki prijaviti za tiskanje, s čimer zaščiti zasebnost vseh natisnjenih materialov.

Tiskalna opravila ali skenirane dokumente lahko shranite v nabiralnike za enostaven dostop kadar koli. Nabiralnike je mogoče zaščititi s kodo PIN, s čimer zagotovite, da imajo le določeni uporabniki dostop do njihove vsebine. Uporabite ta varen prostor v vaši napravi za shranjevanje pogosto natisnjenih dokumentov (kot so pisemske glave in obrazci), s katerimi je treba skrbno ravnati.

Popoln nadzor nad pošiljanjem dokumentov in faksov

Za zmanjšanje tveganja uhajanja informacij lahko skrbniki omejijo dostop do različnih prejemnikov, na primer tistih, ki niso v imeniku na strežniku LDAP, niso registrirani v sistemu ali na določeni domeni.

Če želite preprečiti pošiljanje dokumentov napačnim prejemnikom, morate onemogočiti samodejno izpolnjevanje za e-poštne naslove.

Če nastavite kodo PIN za zaščito, boste imenik naprave zaščitili pred nepooblaščenim uporabniškim dostopom.

Če od uporabnikov zahtevate ponovni vnos številke faksa, preprečite pošiljanje dokumentov napačnim prejemnikom.

Zaščita dokumentov in faksov v zaupni mapi ali kodi PIN bo ohranila dokumente varno shranjene v pomnilniku, ne da bi jih bilo treba natisniti.

Preverjanje vira in pristnosti dokumenta

Podpis naprave je mogoče dodati skeniranim dokumentom PDF ali XPS z uporabo ključa in certifikacijskega mehanizma, tako da lahko prejemnik preveri izvor in pristnost dokumenta.

»V elektronskem dokumentu je njegov rekvizit elektronski digitalni podpis (EDS), ki je namenjen zaščiti tega elektronskega dokumenta pred ponarejanjem in vam omogoča identifikacijo lastnika potrdila ključa podpisa ter ugotavljanje odsotnosti izkrivljanja informacij v elektronski dokument. To zagotavlja varnost poslanega dokumenta in natančno identifikacijo njegovega lastnika, kar pripomore k ohranjanju zanesljivosti informacij.«

Podpis uporabnika omogoča pošiljanje datotek PDF ali XPS z edinstvenim digitalnim podpisom uporabnika, pridobljenim pri certifikacijskem podjetju. Tako bo prejemnik lahko preveril, kdo je podpisal dokument.

Integracija z ADOBE LIFECYCLE MANAGEMENT ES

Uporabniki lahko zavarujejo datoteke PDF in zanje uporabljajo dosledne in dinamične pravilnike za nadzor pravic dostopa in uporabe ter zaščitijo zaupne in dragocene informacije pred nenamernim ali zlonamernim razkritjem. Varnostni pravilniki se vzdržujejo na ravni strežnika, tako da je dovoljenja mogoče spremeniti tudi po tem, ko je datoteka razdeljena. Naprave serije imageRUNNER ADVANCE je mogoče konfigurirati za integracijo z Adobe ES.

Varno tiskanje z uniFLOW MyPrintAnywhere vam omogoča pošiljanje tiskalnih opravil prek univerzalnega gonilnika in njihovo tiskanje na kateri koli tiskalnik v vašem omrežju.

Preprečevanje dvojnikov

Gonilniki vam omogočajo tiskanje vidnih oznak na strani, ki se pojavijo na vrhu vsebine dokumenta. To lahko uporabite za obveščanje zaposlenih o zaupnosti dokumenta in preprečitev njegovega kopiranja.

Tiskanje/kopiranje z nevidnimi vodnimi žigi – dokumenti bodo natisnjeni ali kopirani s skritim besedilom, vdelanim v ozadje, ki se bo pojavilo, ko bo ustvarjen dvojnik, in bo delovalo kot odvračilo.

Zmogljivosti programske opreme uniFLOW podjetja NTware (del skupine podjetij Canon) zagotavljajo dodatna učinkovita orodja za zagotavljanje varnosti dokumentov.
Uporaba uniFLOW v kombinaciji z iW SAM Express vam bo omogočila digitalizacijo in arhiviranje dokumentov, poslanih na tiskalnik ali prejetih iz naprave, ter analizo besedilnih podatkov in atributov pri odzivanju na varnostne grožnje.

Sledite izvoru dokumenta z uporabo vdelane kode.

Blokiranje skeniranja dokumentov – ta možnost vdela skrito kodo v natisnjene dokumente in kopije, ki preprečuje njihovo nadaljnje kopiranje v napravi, v kateri je omogočena ta funkcija. Skrbnik lahko to možnost uporablja za vsa opravila ali samo opravila, ki jih izbere uporabnik. Za vdelavo sta na voljo kodi TL in QR.

»Kot rezultat testiranj in seznanjanja s funkcionalnostjo tehnologije imageRUNNER ADVANCE III smo lahko potrdili osnovno skladnost s sodobnimi varnostnimi politikami IT. Zgornji zaščitni ukrepi izpolnjujejo osnovne varnostne zahteve in lahko zmanjšajo tveganja kršitev varnosti informacij."

Najnovejše naprave imageRUNNER ADVANCE so opremljene s funkcijo varnostne politike, ki skrbniku omogoča upravljanje vseh varnostnih nastavitev v enem meniju in njihovo urejanje, preden jih uporabi kot konfiguracijo naprave. Po uporabi morajo biti uporaba naprave in spremembe nastavitev v skladu s tem pravilnikom. Varnostno politiko je mogoče zaščititi z ločenim geslom, da zagotovite dodaten nadzor in zaščito, do nje pa lahko dostopa samo odgovorni strokovnjak za varnost IT.

»Treba je najti in vzdrževati ravnotežje med varnostjo in udobjem, pametno uporabljati tehnološki napredek in tehnične rešitve za zaščito informacij, uporabljati usposobljeno osebje in spretno upravljati s ponujenimi sredstvi, da zagotovimo varnost podjetja.«

Pomoč pri pripravi gradiva - Luka Safonov, vodja praktičnega laboratorija
varnostna analiza, informacijski sistemi Jet.

V anketi lahko sodelujejo samo registrirani uporabniki. Prijaviti se, prosim.

Kako celovit je vaš pristop k korporativni varnosti?

  • Korporativna varnostna politika velja za floto večnamenskih naprav

  • Flota tiskalnih naprav podjetja zagotavlja varno uporabo osebnih naprav uporabnikov

  • Podjetje zagotavlja, da je tiskalniška infrastruktura posodobljena ter da so popravki in posodobitve nameščeni pravočasno in učinkovito.

  • Gostje podjetja lahko tiskajo in skenirajo, ne da bi ogrozili omrežje podjetja

  • IT-oddelek podjetja ima dovolj časa za obravnavo varnostnih vprašanj

  • Podjetje je našlo ravnovesje med zagotavljanjem varnosti in enostavnostjo uporabe naprav

Glasovala sta 2 uporabnika. Vzdržanih ni.

Vir: www.habr.com

Dodaj komentar