ProHoster > blogg > administration > Ny nivå av MFP-säkerhet: imageRUNNER ADVANCE III

Ny nivå av MFP-säkerhet: imageRUNNER ADVANCE III

Ny nivå av MFP-säkerhet: imageRUNNER ADVANCE III

Med ökningen av inbyggda funktioner har kontors-MFP länge gått längre än trivial skanning/utskrift. Nu har de förvandlats till fullfjädrade oberoende enheter, integrerade i högteknologiska lokala och globala nätverk, som kopplar samman användare och organisationer inte bara inom ett kontor utan över hela världen.

I den här artikeln, tillsammans med den praktiska informationssäkerhetsexperten Luka Safonov Luka Safonov Låt oss titta på de största hoten mot moderna kontors-MFP och sätt att förhindra dem.

Modern kontorsutrustning har sina egna hårddiskar och operativsystem, tack vare vilka MFP:er kan utföra ett brett utbud av dokumenthanteringsuppgifter oberoende, vilket avlastar andra enheter. Men så hög teknisk utrustning har också en baksida. Eftersom MFP:er tar en aktiv del i att överföra data över nätverket, blir de utan ordentligt skydd sårbarheter i hela organisationens nätverksmiljö. Säkerheten för alla system bestäms av graden av skydd för den svagaste länken. Därför blir alla kostnader för skyddsåtgärder för företagsservrar och datorer meningslösa om ett kryphål kvarstår för en angripare genom MFP:n. Canons utvecklare förstår problemet med att skydda konfidentiell information och har ökat säkerhetsnivån för den tredje versionen av plattformen imageRUNNER ADVANCE, som kommer att diskuteras i artikeln.

Huvudhoten

Det finns flera potentiella risker förknippade med användningen av MFP:er i organisationer:

  • Hackning av systemet genom obehörig åtkomst till MFP:n och användning som en "referenspunkt";
  • Använda MFP:er för att exfiltrera användardata;
  • Avlyssning av data vid utskrift eller skanning;
  • Tillgång till uppgifter om personer utan lämpligt tillstånd;
  • Tillgång till utskriven eller skannad konfidentiell information;
  • Få tillgång till känslig data på uttjänta enheter.
  • Skicka dokument via fax eller e-post till en felaktig adress, avsiktligt eller som ett resultat av ett stavfel;
  • Otillåten visning av konfidentiell information lagrad på oskyddade MFP:er;
  • En delad hög med utskrifter som tillhör olika användare.

"Visst innehåller moderna MFP:er ofta en enorm potential för en angripare. Vår projekterfarenhet visar att okonfigurerade enheter, eller enheter utan lämplig skyddsnivå, ger angripare en enorm möjlighet att utöka den sk. "attackyta". Det här får en lista över konton, nätverksadressering, möjligheten att skicka e-postmeddelanden och mycket mer. Låt oss försöka ta reda på om de lösningar som Canon erbjuder är kapabla att neutralisera dessa hot."

För varje typ av sårbarhet erbjuder den nya imageRUNNER ADVANCE-plattformen en hel rad kompletterande åtgärder som ger skydd på flera nivåer. Det bör noteras att utvecklingen krävde ett specifikt tillvägagångssätt på grund av MFP-driftens egenheter. Vid utskrift och scanning av dokument övergår informationen från digital till analog eller vice versa. Var och en av dessa typer av information kräver fundamentalt olika metoder för att säkerställa skydd. Vanligtvis, i korsningen av teknologier, på grund av deras heterogenitet, bildas den mest sårbara platsen.

"MFP är ofta ett lätt byte för både pentestare och angripare. Som regel beror detta på en försumlig inställning till att installera sådana enheter och deras relativt lättillgänglighet, både i kontorsmiljön och i nätverksinfrastrukturen. Ett av de senaste fallen är en indikativ attack som inträffade den 29 november 2018, när en Twitter-användare under pseudonymen TheHackerGiraffe "hackade" mer än 50 000 nätverksskrivare och skrev ut broschyrer på dem som uppmanade folk att prenumerera på YouTube-kanalen för en vissa PewDiePie. På Reddit sa TheHackerGiraffe att han kunde kompromissa med mer än 800 000 enheter, men begränsade sig till endast 50 000. Samtidigt betonade hackaren att huvudproblemet är att han aldrig hade gjort något liknande tidigare, men alla förberedelser och själva hacket tog honom bara en halvtimme”.

När Canon utvecklar teknologier, produkter och tjänster överväger vi deras potentiella inverkan på kundernas arbetsmiljö. Det är därför Canons multifunktionsskrivare för kontor kommer med ett brett utbud av inbyggda och valfria säkerhetsfunktioner för att hjälpa företag av alla storlekar att uppnå den säkerhetsnivå de behöver.

Ny nivå av MFP-säkerhet: imageRUNNER ADVANCE III

Canon har ett av de strängaste säkerhetstestregimerna inom hela kontorsutrustningsbranschen. Teknologier som används i enheter testas för överensstämmelse med företagets standarder. Mycket uppmärksamhet ägnas åt säkerhetskontroller med uppdaterade undersökningar, vars resultat har fått positiv feedback på driften av enheter från företag som Kaspersky Lab, COMLOGIC, TerraLink och JTI Ryssland och andra.

"Trots det faktum att det i moderna verkligheter är logiskt att öka säkerheten för sina produkter, följer inte alla företag denna princip. Företag börjar tänka på skydd efter incidenter med hacking (och påtryckningar från användare) av vissa produkter. Från denna sida är Canons grundliga tillvägagångssätt för implementering av skyddsmetoder och åtgärder vägledande.”

Obehörig åtkomst till MFP

Mycket ofta är oskyddade MFP:er bland de prioriterade målen för både interna överträdare (insiders) och externa. I moderna verkligheter är ett företagsnätverk inte begränsat till ett kontor, utan inkluderar en grupp av avdelningar och användare med olika geografiska lägen. Centraliserat dokumentflöde kräver fjärråtkomst och inkludering av MFP:er i företagsnätverket. Nätverksanslutna utskriftsenheter tillhör Internet of Things, men deras skydd ges ofta inte vederbörlig uppmärksamhet, vilket leder till den övergripande sårbarheten för hela infrastrukturen.

För att skydda mot denna typ av hot har följande åtgärder vidtagits:

  • IP- och MAC-adressfilter – konfigurera för att endast tillåta kommunikation med enheter som har specifika IP- eller MAC-adresser. Denna funktion reglerar dataöverföring både inom och utanför nätverket.
  • Proxyserverkonfiguration - tack vare den här funktionen kan du delegera kontroll över MFP-anslutningar till en proxyserver. Den här funktionen rekommenderas när du ansluter till enheter utanför företagets nätverk.
  • IEEE 802.1X-autentisering är ett annat skydd mot att ansluta enheter som inte är auktoriserade av autentiseringsservern. Obehörig åtkomst blockeras av LAN-switchen.
  • Anslutning via IPSec – skyddar mot försök att avlyssna eller dekryptera IP-paket som överförs över nätverket. Det rekommenderas att använda med ytterligare TLS-kommunikationskryptering.
  • Port management - utformad för att skydda mot insiderhjälp till angripare. Denna funktion är ansvarig för att konfigurera portparametrar i enlighet med säkerhetspolicyn.
  • Automatisk certifikatregistrering – Den här funktionen ger systemadministratörer ett praktiskt verktyg för att automatiskt utfärda och förnya säkerhetscertifikat.
  • Wi-Fi Direct – den här funktionen är designad för säker utskrift från mobila enheter. För att göra detta behöver den mobila enheten inte vara ansluten till företagets nätverk. Med Wi-Fi Direct skapas en lokal peer-to-peer-anslutning mellan enheten och MFP.
  • Loggövervakning – alla händelser relaterade till användningen av MFP, inklusive blockerade anslutningsbegäranden, registreras i olika systemloggar i realtid. Genom att analysera register kan du upptäcka potentiella och befintliga hot, bygga en förebyggande säkerhetspolicy och göra en expertbedömning av informationsläckor som redan har inträffat.
  • Enhetskryptering—Det här alternativet krypterar utskriftsjobb när de skickas från användarens dator till multifunktionsskrivaren. Du kan också kryptera skannade PDF-data genom att aktivera en omfattande uppsättning säkerhetsfunktioner.
  • Gästutskrift från mobila enheter. Programvara för hantering av säker nätverksutskrift och skanning eliminerar vanliga säkerhetsproblem i samband med mobil- och gästutskrift genom att tillhandahålla externa metoder för att skicka utskriftsjobb som e-post, webb och mobilapp. Detta säkerställer att MFP:n fungerar från en säker källa, vilket minimerar risken för hackning.

”Delande av sådana enheter innebär, förutom bekvämlighet och kostnadsminskning, även risker för tillgång till tredje parts information. Detta kan användas inte bara av angripare, utan också av skrupelfria anställda för att få personlig nytta eller få insiderinformation. Och den stora potentialen hos den information som bearbetas – från tekniska hemligheter till finansiell dokumentation – är en betydande prioritet för attack eller olaglig användning.”

Nytt för den nya versionen av imageRUNNER ADVANCE-plattformen är möjligheten att ansluta utskriftsenheter till två nätverk. Detta är mycket praktiskt när MFP:n används samtidigt i företags- och gästläge.

Skydda data på din hårddisk

Din multifunktionsskrivare innehåller alltid en stor mängd data som behöver skyddas – från utskriftsjobb i kö till mottagna fax, skannade bilder, adressböcker, aktivitetsloggar och jobbhistorik.

Faktum är att disken bara är tillfällig lagring, och att lagra information på den längre än nödvändigt ökar sårbarheten för företagets säkerhetssystem. För att förhindra att detta händer kan du ställa in ett rengöringsschema för hårddisken i inställningarna. Förutom det faktum att utskriftsjobb rensas omedelbart efter att de är klara eller när utskriften misslyckas, kan andra filer raderas enligt ett schema för att rensa restdata.

"Tyvärr är även många IT-proffs dåligt medvetna om hårddiskens roll i moderna utskriftsenheter. Närvaron av en hårddisk kan avsevärt minska varaktigheten av det förberedande utskriftssteget. Hårddiskar lagrar vanligtvis systeminformation, grafikfiler och rastrerade bilder för utskrift av kopior. Förutom felaktig kassering av MFP:er och möjligheten till dataläckage, finns det möjlighet att demontera/stölda hårddisken för analys, eller utföra specialiserade attacker för att exfiltrera data, till exempel med hjälp av Printer Exploitation Toolkit.”

Canon-enheter erbjuder en rad verktyg för att skydda dina data under hela enhetens livscykel, samtidigt som dess konfidentialitet, integritet och tillgänglighet bibehålls.
Mycket uppmärksamhet ägnas åt att skydda data på hårddisken. Den information som lagras där kan ha olika grad av konfidentialitet. Därför används HDD-kryptering på alla 26 enhetsmodeller inom 7 olika serier av den nya versionen av imageRUNNER ADVANCE-plattformen. Den överensstämmer med den amerikanska regeringens FIPS 140-2 nivå 2 säkerhetsstandard, samt den japanska motsvarigheten JCVMP.

”Det är viktigt att ha ett system för att komma åt information som tar hänsyn till användarroller och åtkomstnivåer. Till exempel i många företag är diskussion om löner bland anställda strängt förbjuden, och ett läckage av lönebesked eller information om bonusar kan provocera fram en allvarlig konflikt i teamet. Tyvärr känner jag till sådana fall, i ett av dem ledde detta till uppsägning av den anställde som var ansvarig för den här typen av läckage.”

  • Hårddiskkryptering. imageRUNNER ADVANCE-enheter krypterar all data på din hårddisk för ökad säkerhet.
  • Rengör din hårddisk. Vissa data, till exempel data som kopierats eller skannats, eller dokumentdata som skrivs ut från en dator, lagras på skrivarens hårddisk under en begränsad tid och raderas efter att jobbet är klart.
  • Initiering av alla data och parametrar. För att förhindra dataförlust när du byter ut eller kasserar din hårddisk kan du skriva över alla dokument och data på hårddisken och sedan återställa inställningarna till standardvärdena.
  • Säkerhetskopiera hårddisk. Företag har nu möjlighet att säkerhetskopiera data från enhetens hårddisk till en valfri hårddisk. Vid säkerhetskopiering är data på båda hårddiskarna helt krypterade.
  • Avtagbar hårddisksats. Med det här alternativet kan du ta bort hårddisken från enheten för säker lagring medan enheten inte används.

Läckage av kritisk data

Alla företag hanterar konfidentiella dokument såsom kontrakt, avtal, redovisningshandlingar, kunddata, utvecklingsavdelningsplaner och mycket mer. Om sådana dokument hamnar i orätta händer kan konsekvenserna vara allt från rykteskada till stora böter eller till och med stämningar. Angripare kan få kontroll över företagets tillgångar, insider eller konfidentiell information.

"Det är inte bara konkurrenter eller bedragare som stjäl värdefull information. Det finns ofta fall då anställda bestämmer sig för att utveckla sitt eget företag eller i hemlighet tjäna extra pengar genom att sälja information till utsidan. I sådana situationer blir skrivaren deras huvudassistent. All dataöverföring inom företaget är lätt att spåra. Dessutom är det inte vanliga anställda som har tillgång till värdefull information. Och vad kan vara lättare för en vanlig chef än att stjäla ett värdefullt dokument som ligger sysslolöst? Vem som helst kan klara av denna uppgift. Utskrivna dokument behöver inte ens alltid tas utanför organisationen. Det räcker med att snabbt ta ett foto av materialet som ligger i tomgång på en telefon med en bra kamera.”

Ny nivå av MFP-säkerhet: imageRUNNER ADVANCE III

Canon erbjuder en rad säkerhetslösningar som hjälper dig att skydda känsliga dokument under hela deras livscykel.

Sekretess för utskrivna dokument

Användaren kan ställa in en utskrifts-PIN så att dokumentet börjar skrivas ut först efter att ha angett rätt PIN-kod på enheten. Detta gör att du kan skydda konfidentiella dokument.

"MFP:er kan ofta ses i offentligt tillgängliga områden i en organisation för användarnas bekvämlighet. Det kan vara salar och mötesrum, korridorer och receptioner. Endast användningen av identifierare (PIN-koder, smartkort) kommer att garantera säkerheten för information i samband med användarens åtkomstnivå. Noterbara fall var när användare fick tillgång till tidigare skickade dokument, skanningar av pass etc. som ett resultat av otillräckliga kontroller och bristande datarensningsfunktioner."

På imageRUNNER ADVANCE-enheten kan administratören pausa alla inskickade utskriftsjobb, vilket kräver att användarna loggar in för att skriva ut, och skyddar därmed integriteten för allt tryckt material.

Utskriftsjobb eller skannade dokument kan lagras i brevlådor för enkel åtkomst när som helst. Brevlådor kan skyddas med en PIN-kod för att säkerställa att endast utsedda användare kan komma åt deras innehåll. Använd detta säkra utrymme på enheten för att lagra ofta utskrivna dokument (som brevhuvuden och formulär) som kräver noggrann hantering.

Full kontroll över att skicka dokument och fax

För att minska risken för informationsläckage kan administratörer begränsa åtkomsten till olika mottagare, till exempel de som inte finns i adressboken på LDAP-servern, inte är registrerade i systemet eller på en specifik domän.

För att förhindra att dokument skickas till felaktiga mottagare måste du inaktivera autofyll för e-postadresser.

Om du ställer in en PIN-kod för skydd skyddas enhetens adressbok från obehörig åtkomst.

Att kräva att användare anger faxnumret igen kommer att förhindra att dokument skickas till fel mottagare.

Genom att skydda dokument och fax i en konfidentiell mapp eller PIN-kod sparas dokument säkert i minnet utan att behöva skriva ut dem.

Verifiera källan och äktheten av ett dokument

En enhetssignatur kan läggas till skannade PDF- eller XPS-dokument med hjälp av en nyckel och certifieringsmekanism så att mottagaren kan verifiera dokumentets källa och äkthet.

"I ett elektroniskt dokument är en elektronisk digital signatur (EDS) dess nödvändighet, utformad för att skydda detta elektroniska dokument från förfalskning och gör att du kan identifiera ägaren av signaturnyckelcertifikatet, samt fastställa frånvaron av förvrängning av information i elektroniskt dokument. Detta säkerställer säkerheten för det överförda dokumentet och den exakta identifieringen av dess ägare, vilket hjälper till att upprätthålla tillförlitligheten för informationen."

Användarsignatur låter dig skicka PDF- eller XPS-filer med användarens unika digitala signatur erhållen från ett certifieringsföretag. På så sätt kommer mottagaren att kunna kontrollera vem som undertecknat dokumentet.

Integration med ADOBE LIFECYCLE MANAGEMENT ES

Användare kan säkra PDF-filer och tillämpa konsekventa och dynamiska policyer på dem för att kontrollera åtkomst och användningsrättigheter och skydda konfidentiell och värdefull information från oavsiktlig eller skadlig avslöjande. Säkerhetspolicyer upprätthålls på servernivå, så behörigheter kan ändras även efter att filen har distribuerats. Enheterna i imageRUNNER ADVANCE-serien kan konfigureras för att integreras med Adobe ES.

Säker utskrift med uniFLOW MyPrintAnywhere låter dig skicka utskriftsjobb via en universell drivrutin och skriva ut dem till vilken skrivare som helst i ditt nätverk.

Förhindra dubbletter

Drivrutiner låter dig skriva ut synliga markeringar på sidan som visas ovanpå dokumentinnehållet. Detta kan användas för att informera anställda om dokumentets sekretess och förhindra att det kopieras.

Skriv ut/Kopiera med osynliga vattenstämplar - Dokument kommer att skrivas ut eller kopieras med dold text inbäddad i bakgrunden, som visas när en dubblett skapas och fungerar avskräckande.

Möjligheterna hos uniFLOW-programvaran från NTware (en del av Canon-koncernen) ger ytterligare effektiva verktyg för att säkerställa dokumentsäkerhet.
Genom att använda uniFLOW i kombination med iW SAM Express kan du digitalisera och arkivera dokument som skickas till en skrivare eller tas emot från en enhet, samt analysera textdata och attribut när du svarar på säkerhetshot.

Spåra dokumentkälla med inbäddad kod.

Blockering av dokumentskanning – Detta alternativ bäddar in en dold kod i utskrivna dokument och kopior som förhindrar att de kopieras vidare på en enhet där den här funktionen är aktiverad. Administratören kan använda detta alternativ för alla jobb eller bara jobb som valts av användaren. TL- och QR-koder finns tillgängliga för inbäddning.

"Som ett resultat av tester och bekantskap med funktionaliteten hos imageRUNNER ADVANCE III-tekniken kunde vi bekräfta den grundläggande överensstämmelsen med moderna IT-säkerhetspolicyer. Ovanstående skyddsåtgärder uppfyller grundläggande säkerhetskrav och kan minimera riskerna för informationssäkerhetsbrott.”

De senaste imageRUNNER ADVANCE-enheterna är utrustade med en säkerhetspolicyfunktion som gör att administratören kan hantera alla säkerhetsinställningar i en meny och redigera dem innan de tillämpas som en enhetskonfiguration. När den väl har tillämpats måste användningen av enheten och ändringar av inställningar vara i enlighet med denna policy. Säkerhetspolicyn kan skyddas med ett separat lösenord för att ge ytterligare kontroll och skydd och kan endast nås av ansvarig IT-säkerhetsexpert.

"Det är nödvändigt att hitta och upprätthålla en balans mellan säkerhet och bekvämlighet, klokt använda tekniska framsteg och tekniska lösningar för att skydda information, använda kvalificerad personal och skickligt hantera de medel som tillhandahålls för att säkerställa företagets säkerhet."

Hjälp med att förbereda materialet - Luka Safonov, chef för Praktiska laboratoriet
säkerhetsanalys, Jet Information Systems.

Endast registrerade användare kan delta i undersökningen. Logga in, Snälla du.

Hur omfattande är din inställning till företagssäkerhet?

  • Företagets säkerhetspolicy gäller för flottan av multifunktionella enheter

  • Företagets flotta av utskriftsenheter säkerställer säker användning av användarnas personliga enheter

  • Företaget säkerställer att utskriftsinfrastrukturen är uppdaterad och att patchar och uppdateringar installeras i tid och effektivt

  • Företagsgäster kan skriva ut och skanna utan att utsätta företagets nätverk för fara

  • Företagets IT-avdelning har tillräckligt med tid för att ta itu med säkerhetsfrågor

  • Företaget har hittat en balans mellan att säkerställa säkerhet och enkelhet att använda enheter

2 användare röstade. Det finns inga nedlagda röster.

Källa: will.com

Lägg en kommentar