ProHoster > Блог > адміністрування > Новий рівень безпеки МФУ: imageRUNNER ADVANCE III

Новий рівень безпеки МФУ: imageRUNNER ADVANCE III

Новий рівень безпеки МФУ: imageRUNNER ADVANCE III

Зі збільшенням вбудованих функцій офісні БФП давно вийшли за рамки тривіального сканування/друку. Зараз вони перетворилися на повноцінні самостійні пристрої, інтегровані у високотехнологічні локальні та глобальні мережі, які пов'язують користувачів та організації не тільки в межах одного офісу, а й у всьому світі.

У цій статті разом із експертом із практичної інформаційної безпеки Лукою Сафоновим LukaSafonov розглянемо основні загрози для сучасних офісних МФУ та шляхи їх запобігання.

Сучасна офісна техніка має власні жорсткі диски та операційні системи, завдяки яким МФУ можуть виконувати широкий спектр завдань документообігу самостійно, знімаючи навантаження з інших пристроїв. Однак така висока технічна оснащеність має і зворотний бік. Оскільки МФУ беруть активну участь у передачі даних через мережу, то без належного захисту вони стають уразливими місцями всього мережного середовища організації. Захищеність будь-якої системи визначається ступенем захисту найслабшої ланки. Тому будь-які витрати на захисні заходи для серверів та комп'ютерів підприємства стають безглуздими, якщо для зловмисника залишається лазівка ​​через МФУ. Розуміючи проблему охорони конфіденційної інформації, розробники Canon підвищили рівень безпеки третьої версії платформи imageRUNNER ADVANCE, про що й йтиметься у статті.

Основні загрози

Існує кілька потенційних ризиків, пов'язаних із використанням МФУ в організаціях:

  • Зламування системи через несанкціонований доступ до МФУ та використання як «опорну точку»;
  • використання МФУ для ексфільтрації даних про користувачів;
  • Перехоплення даних під час друку або сканування;
  • Доступ до даних осіб, які не мають відповідного допуску;
  • Доступ до надрукованої або відсканованої конфіденційної інформації;
  • Доступ до конфіденційних даних на пристроях, які закінчили термін служби.
  • Надсилання документів факсом або електронною поштою на неправильну адресу навмисне або в результаті друкарської помилки;
  • Несанкціонований перегляд конфіденційної інформації, що зберігається на незахищених БФП;
  • Загальний стос надрукованих завдань, що належать різним користувачам.

«Справді, сучасні МФУ найчастіше таять у собі величезний потенціал для атакуючого. Наш проектний досвід показує, що не налаштовані пристрої, або пристрої, без належного рівня захисту дають атакуючим велику можливість розширити т.зв. „поверхня атаки“. Це отримання списку облікових записів, мережевої адресації, можливість надсилання поштових повідомлень та багато іншого. Спробуємо дізнатися, чи здатні рішення, які пропонує компанія Canon, нівелювати ці загрози».

Для кожного типу вразливостей у новій платформі imageRUNNER ADVANCE передбачено цілий комплекс взаємодоповнюючих заходів, що забезпечують багаторівневий захист. Слід зазначити, що розробки зажадали специфічного підходу через особливості роботи МФУ. Під час друку та сканування документів відбуваються переходи інформації з цифрового вигляду до аналогового або навпаки. Кожен з цих видів інформації вимагає різних способів забезпечення захисту. Зазвичай на стику технологій, внаслідок їх різнорідності, утворюється вразливе місце.

«Часто МФУ є легким видобутком як пентестерів, так і зловмисників. Як правило це пов'язано з недбалим ставленням до налаштування таких пристроїв та їх порівняно легкої доступності, як в офісному середовищі, так і в мережній інфраструктурі. З останніх випадків – показова атака, що сталася 29 листопада 2018 року, коли користувач твіттера під псевдонімом TheHackerGiraffe «зламав» понад 50 000 мережевих принтерів і роздрукував на них листівки із закликом підписуватись на YouTube-канал PewDieP. На Reddit The Hacker Giraffe заявив, що міг скомпрометувати більше 800 000 пристроїв, але обмежився лише 50 000. При цьому зломщик підкреслив, що основна проблема полягає в тому, що він ніколи раніше не займався нічим подібним, але всі приготування і сам хак зайняли у нього лише півгодини».

Коли компанія Canon розробляє технології, продукти та послуги, враховується їх можливий вплив на середовище клієнтів. Саме тому багатофункціональні офісні принтери Canon оснащені широким набором вбудованих і додаткових функцій безпеки, які дозволяють компаніям будь-якого розміру досягти необхідного рівня захисту.

Новий рівень безпеки МФУ: imageRUNNER ADVANCE III

Canon використовує один із найсуворіших режимів перевірки безпеки у всій індустрії офісного обладнання. Технології, які застосовуються у пристроях, тестуються на відповідність стандартам компанії. Чимало уваги приділяється перевіркам безпеки з проведенням актуальних експертиз, за ​​результатами яких було отримано позитивні відгуки про експлуатацію пристроїв від таких компаній, як Лабораторія Касперського, COMLOGIC, TerraLink та JTI Росія та інших.

«Незважаючи на те, що в сучасних реаліях є логічним підвищувати безпеку своїх продуктів, цей принцип дотримуються далеко не всі компанії. Компанії починають замислюватися про захист після фактів злому (і тиску з боку користувачів) тих чи інших продуктів. З цього боку ґрунтовний підхід компанії Canon до реалізації методів та заходів захисту є показовим».

Несанкціонований доступ до БФП

Найчастіше незахищені МФУ є одним із пріоритетних цілей як внутрішніх порушників (інсайдерів), і зовнішніх. У сучасних реаліях корпоративна мережа не обмежується одним офісом, а включає групу підрозділів і користувачів, що мають різну географічну локацію. Централізований документообіг вимагає віддаленого доступу та включення МФУ в корпоративну мережу. Мережеві друкувальні пристрої відносяться до Інтернету речей, при цьому їх захисту часто не приділяється належна увага, що призводить до загальної вразливості всієї інфраструктури.

Для захисту від такого роду загроз реалізовано такі заходи:

  • Фільтр IP- та MAC-адрес – налаштування дозволу зв'язку тільки з пристроями, що мають певні IP- або MAC-адреси. Ця функція регламентує передачу даних як усередині мережі, так і висновок за її межі.
  • Конфігурація проксі-сервера – завдяки цій функції можна делегувати керування підключення МФУ проксі-серверу. Ця функція рекомендована при підключенні до пристроїв поза корпоративною мережею.
  • Аутентифікація IEEE 802.1X – ще один захист від підключення пристроїв, неавторизованих сервером аутентифікації. Несанкціонований доступ блокується LAN-комутатором.
  • Підключення через IPSec – захищає від спроб перехоплення або розшифровки IP-пакетів, що передаються через мережу. Рекомендовано використовувати із додатковим шифруванням зв'язку TLS.
  • Управління портами – призначене захисту від інсайдерської допомоги зловмисникам. Ця функція відповідає за налаштування конфігурації параметрів портів відповідно до політики безпеки.
  • Автоматична реєстрація сертифікатів – ця функція дає системним адміністраторам зручний інструмент для автоматичного випуску та оновлення сертифікатів безпеки.
  • Wi-Fi direct – функція призначена для безпечного друку з мобільних пристроїв. Для цього мобільний пристрій не потрібно підключати до корпоративної мережі. За допомогою Wi-Fi direct створюється локальне однорангове з'єднання МФУ.
  • Моніторинг журналів – усі події щодо використання МФУ, у тому числі й заблоковані запити на підключення, фіксуються у різних системних журналах у режимі реального часу. Аналізуючи записи, можна виявляти потенційні та існуючі загрози, будувати превентивну безпекову політику і проводити експертну оцінку вже витоку інформації.
  • Шифрування даних при взаємодії з пристроєм — ця опція шифрує завдання друку при їх надсиланні з ПК на багатофункціональний принтер. Ви також можете шифрувати відскановані дані у форматі PDF, увімкнувши універсальний набір функцій безпеки.
  • Гостьовий друк з мобільних пристроїв. Програмне забезпечення для керування безпечним мережевим друком та скануванням усуває частотні проблеми, пов'язані з безпекою друку з мобільних пристроїв та гостьового друку, надаючи зовнішні способи надсилання завдань на друк, такі як електронна пошта, інтернет та мобільний додаток. Це забезпечує роботу МФУ із безпечним джерелом, мінімізуючи ймовірність злому.

«Спільне використання такого роду пристроїв крім зручності та скорочення витрат тягне за собою ризики доступу до сторонньої інформації. Цим можуть скористатися як зловмисники, а й недобросовісні співробітники для отримання особистої вигоди чи отримання інсайдерської інформації. А великий потенціал інформації, що обробляється – від технологічних секретів до фінансової документації – є значним пріоритетом для атаки або нелегітимного використання».

Нововведенням нової версії платформи imageRUNNER ADVANCE є можливість підключення пристроїв друку до двох мереж. Це дуже зручно, коли МФУ використовується одночасно в корпоративному та гостьовому режимі.

Захист даних на жорсткому диску

На багатофункціональному принтері завжди зберігається великий обсяг даних, які необхідно захищати, - від завдань на друк, що знаходяться в черзі, до отриманих факсів, відсканованих зображень, адресних книг, журналів активності та історії завдань.

По суті, диск є лише тимчасовим сховищем, і знаходження на ньому інформації довше за необхідний час підвищує вразливість корпоративної системи безпеки. Щоб цього не відбувалося, в налаштуваннях можна задавати регламент очищення жорсткого диска. Крім того, що завдання друку очищаються відразу після виконання або при збоях друку, інші файли можуть видалятися за розкладом з очищенням залишкових даних.

«На жаль, навіть багато ІТ-фахівців слабо обізнані про роль жорсткого диска в сучасних друкованих пристроях. Наявність жорсткого диска дозволяє значно скоротити тривалість підготовчого етапу друку. На жорстких дисках зазвичай зберігається системна інформація, графічні файли, растровані зображення друку копій. Крім неправильної утилізації МФУ та можливості витоку даних існує ймовірність демонтажу/крадіжки жорсткого диска для аналізу, або проведення спеціалізованих атак для ексфільтрації даних, наприклад, за допомогою Printer Exploitation Toolkit».

Пристрої Canon пропонують низку інструментів для захисту даних на всіх етапах життєвого циклу пристрою, а також для збереження їхньої конфіденційності, цілісності та доступності.
Велику увагу приділено захисту даних на жорсткому диску. Інформація, що зберігається там, може мати різний ступінь конфіденційності. Тому на всіх 26 моделях пристроїв у рамках 7 різних серій нової версії платформи imageRUNNER ADVANCE застосовується шифрування HDD. Воно відповідає стандарту безпеки FIPS 140-2 рівня 2, прийнятому урядом США, а також японському аналогу JCVMP.

«Важливо мати систему доступу до інформації, яка враховує ролі користувачів та рівні доступу. Наприклад, у багатьох компаніях обговорення зарплат серед співробітників суворо заборонено, а витік зарплатної відомості чи інформації про преміювання може спровокувати серйозний конфлікт у колективі. На жаль, мені такі випадки відомі, в одному з них це призвело до звільнення співробітника, відповідального за такий витік».

  • Шифрування жорсткого диска. imageRUNNER ADVANCE шифрують всі дані на жорсткому диску для підвищення рівня безпеки.
  • Очищення жорсткого диска. Деякі дані, наприклад, дані скопійованих або відсканованих зображень, а також дані документів, роздрукованих з комп'ютера, зберігаються на жорсткому диску принтера обмежений час і видаляються після виконання відповідного завдання.
  • Ініціалізація всіх даних та параметрів. Щоб запобігти втраті даних під час заміни або утилізації жорсткого диска, можна перезаписати всі документи та дані на жорсткому диску, а потім скинути установки до значень за промовчанням.
  • Резервний жорсткий диск. Компанії отримали можливість виконувати резервне копіювання даних з жорсткого диска пристрою на жорсткий диск, що додатково купується. При резервному копіюванні на обох жорстких дисках дані проходять повне шифрування.
  • Комплект жорсткого диска, що знімається. Ця опція дозволяє виймати жорсткий диск із пристрою для його безпечного зберігання, доки пристрій не використовується.

Витік критичних даних

Всі компанії мають справу з конфіденційними документами, такими як контракти, угоди, бухгалтерські документи, дані про клієнтів, плани відділу розробки та багато іншого. Якщо такі документи потраплять у чужі руки, наслідки можуть змінюватись від підриву репутації до великих штрафів або навіть судових позовів. Зловмисники можуть отримати контроль за активами компанії, інсайдерською або конфіденційною інформацією.

«Крадіжкою цінної інформації промишляють не лише конкуренти чи шахраї. Непоодинокі випадки, коли працівники вирішували розвивати свій бізнес або потай підробляли, продаючи інформацію на бік. У таких ситуаціях принтер стає головним помічником. Будь-який трансфер даних усередині компанії легко відстежити. До того ж доступом до цінної інформації мають зовсім не пересічні співробітники. А що може бути простіше для рядового менеджера, ніж викрасти цінний документ, що лежить без справи? З таким завданням упорається кожен. Роздруковані документи навіть не потрібно виносити за межі організації. Досить швидко сфотографувати матеріали, що валяються без діла, на телефон з гарною камерою».

Новий рівень безпеки МФУ: imageRUNNER ADVANCE III

Canon пропонує низку рішень для забезпечення безпеки, які допоможуть вам захистити конфіденційні документи протягом усього їхнього життєвого циклу.

Конфіденційність друкованих документів

Користувач може встановити PIN-код друку, щоб друк документа починався тільки після введення правильного PIN-коду на пристрої. Це дозволяє захистити конфіденційні документи.

«Часто МФУ можна побачити в загальнодоступних місцях організації – для зручності користувачів. Це можуть бути холи та переговорні, коридори та приймальні. Тільки використання ідентифікаторів (ПІН-коди, смарт-карти) дозволять гарантувати збереження інформації в контексті рівня доступу користувача. Примітними є випадки, коли користувачі отримували доступ до раніше відправлених документів, сканів паспортів і т.д. внаслідок неналежного контролю та відсутності функцій очищення даних».

На пристрої imageRUNNER ADVANCE адміністратор може призупинити всі надіслані завдання на друк – таким чином для друку користувачам необхідно буде виконати вхід до системи, за рахунок чого забезпечується захист конфіденційності всіх друкованих матеріалів.

Завдання на друк або відскановані документи можна зберігати у поштових скриньках для доступу у будь-який зручний час. Поштові скриньки можна захистити PIN-кодом, щоб лише призначені користувачі могли здійснювати доступ до їхнього вмісту. У цьому захищеному просторі на пристрої можна зберігати документи, що часто друкуються (наприклад, бланки та форми), які потребують обережного поводження.

Повний контроль над відправкою документів та факсів

Щоб скоротити ризики витоку інформації, адміністратори можуть обмежити доступ до різних адресатів, наприклад відсутніх в адресній книзі на сервері LDAP, які не зареєстровані в системі або на певному домені.

Щоб запобігти надсиланню документів невірним адресатам, необхідно вимкнути автозаповнення адрес електронної пошти.

Встановлення PIN-коду для захисту захистить адресну книгу пристрою від несанкціонованого доступу користувачів.

Запит повторного введення номера факсу користувачам запобігає надсиланню документів неправильним адресатам.

Захист документів і факсів у конфіденційній папці або PIN-кодом забезпечить надійне зберігання документів у пам'яті без друку.

Перевірка джерела та справжності документа

Підпис пристрою можна додати на відскановані документи у форматах PDF або XPS за допомогою ключа та механізму сертифікації – таким чином одержувач зможе перевірити джерело та справжність документа.

«В електронному документі електронний цифровий підпис (ЕЦП) є його реквізитом, призначеним для захисту цього електронного документа від підробки та дозволяє ідентифікувати власника сертифіката ключа підпису, а також встановити відсутність спотворення інформації в електронному документі. Таким чином гарантується збереження документа, що передається, і точна ідентифікація його власника, що дозволяє зберегти достовірність інформації».

Підпис користувача дозволяє надсилати файли PDF або XPS з унікальним цифровим підписом користувача, отриманим від компанії, що сертифікує. Таким чином, одержувач зможе перевірити, хто поставив підпис під документом.

Інтеграція з ADOBE LIFECYCLE MANAGEMENT ES

Користувачі можуть захищати PDF-файли та застосовувати до них однакові та динамічні політики для контролю доступу та прав користування, а також захисту конфіденційної та цінної інформації від ненавмисного чи зловмисного розголошення. Політики безпеки підтримуються на рівні сервера, тому права можна змінити навіть після розподілу файлу. Пристрої серії imageRUNNER ADVANCE можна настроїти для інтеграції з Adobe ES.

Безпечний друк uniFLOW MyPrintAnywhere – це надсилання завдань на друк через універсальний драйвер та їх друк на будь-якому принтері мережі.

Запобігання створенню дублікатів

Драйвери дозволяють друкувати на сторінці видимі позначки, які розміщуються поверх вмісту документа. Це можна використовувати для інформування співробітників про конфіденційність документа та запобігти його копіюванню.

Друк/копіювання з невидимими водяними знаками – документи будуть друкуватись або копіюватися з вбудованим прихованим текстом на фоні, який виявлятиметься при створенні дубліката та відіграватиме роль стримуючого заходу.

Можливості програмного забезпечення uniFLOW від NTware (входить до групи компаній Canon) дають додаткові ефективні інструменти безпеки документообігу.
Використання uniFLOW у поєднанні з iW SAM Express дозволить виконувати оцифрування та архівування документів, надісланих на принтер або отриманих із пристрою, а також аналізувати текстові дані та атрибути при реагуванні на загрози безпеці.

Відстеження джерела документа за допомогою вбудованого коду.

Блокування сканування документів – ця опція вбудовує в друковані документи та копії прихований код, який запобігає їх подальшому копіюванню на пристрої, на якому активовано цю функцію. Адміністратор може використовувати цей параметр для всіх завдань або лише завдань, вибраних користувачем. Для вбудовування доступні TL- та QR-коди.

«В результаті тестів та ознайомлення з функціоналом технології imageRUNNER ADVANCE III вдалося підтвердити основні відповідності сучасним політикам IT-безпеки. Перераховані вище захисні заходи відповідають основним вимогам до безпеки і здатні мінімізувати ризики порушення інформаційної безпеки».

Найновіші пристрої imageRUNNER ADVANCE оснащені функцією політики безпеки, яка дозволяє адміністратору керувати всіма параметрами безпеки в одному меню та редагувати їх до застосування як конфігурацію пристрою. Після використання пристрій та зміна параметрів повинні відбуватися відповідно до цієї політики. Політику безпеки можна захистити окремим паролем, щоб вона забезпечувала додаткові можливості керування та захисту, а доступ до неї був лише у відповідального фахівця з ІТ-безпеки.

«Необхідно знайти та утримати баланс між безпекою та зручністю, грамотно використовуючи технологічні досягнення та технічні рішення для захисту інформації, використовувати кваліфіковані кадри та вміло розпоряджатися наданими засобами для забезпечення безпеки компанії».

Допомога у підготовці матеріалу – Лука Сафонов, керівник Лабораторії практичного
аналізу захищеності, Інфосистеми Джет.

Тільки зареєстровані користувачі можуть брати участь в опитуванні. Увійдіть, будь ласка.

Наскільки комплексний підхід до корпоративної безпеки ви використовуєте?

  • Політика корпоративної безпеки поширюється на парк багатофункціональних пристроїв

  • Парк друкарських пристроїв компанії забезпечує безпечне використання особистих пристроїв користувачів.

  • Компанія забезпечує актуальність інфраструктури друку, а також своєчасне та ефективне встановлення виправлень та оновлень

  • Гості компанії можуть виконувати друк та сканування, не наражаючи на корпоративну мережу ризику.

  • ІТ-відділ компанії досить часу для розгляду проблем безпеки

  • Компанія знайшла баланс між забезпеченням безпеки та зручністю використання пристроїв

Проголосували 2 користувача. Утриманих немає.

Джерело: habr.com

Додати коментар або відгук