隨著內建功能的增加,辦公室多功能一體機早已超越了瑣碎的掃描/列印的範圍。 現在,它們已變成成熟的獨立設備,整合到高科技本地和全球網路中,不僅連接一個辦公室內的用戶和組織,而且連接世界各地的用戶和組織。
在本文中,與實用資訊安全專家 Luka Safonov 一起 讓我們看看現代辦公室多功能一體機面臨的主要威脅以及預防方法。
現代辦公設備都有自己的硬碟和作業系統,多功能一體機可以獨立執行各種文件管理任務,減輕其他設備的負載。 然而,如此高科技的設備也有一個缺點。 由於多功能一體機積極參與網路上的資料傳輸,如果沒有適當的保護,它們就會成為組織整個網路環境中的漏洞。 任何系統的安全性都取決於最薄弱環節的保護程度。 因此,如果攻擊者透過 MFP 仍然存在漏洞,那麼為企業伺服器和電腦採取保護措施的任何成本都將變得毫無意義。 了解保護機密資訊的問題,佳能開發人員提高了第三版平台的安全級別 ,這將在文章中討論。
主要威脅
在組織中使用 MFP 存在一些潛在風險:
- 透過未經授權存取 MFP 並用作「參考點」來攻擊系統;
- 使用 MFP 竊取用戶資料;
- 列印或掃描時截取資料;
- 未經適當許可就取得人員資料;
- 存取列印或掃描的機密資訊;
- 存取報廢設備上的敏感資料。
- 故意或因拼字錯誤而透過傳真或電子郵件將文件發送到不正確的地址;
- 未經授權查看儲存在未受保護的 MFP 上的機密資訊;
- 屬於不同使用者的列印作業的共享堆疊。
「事實上,現代多功能一體機通常蘊藏著巨大的攻擊潛力。 我們的專案經驗表明,未配置的設備,或沒有適當保護等級的設備,給攻擊者提供了巨大的機會來擴大所謂的攻擊範圍。 「攻擊面」。 這是獲取帳戶清單、網路尋址、發送電子郵件的能力等等。 讓我們嘗試看看佳能提供的解決方案是否能夠消除這些威脅。”
對於每種類型的漏洞,新的 imageRUNNER ADVANCE 平台提供了一整套補充措施,提供多層保護。 應該指出的是,由於 MFP 操作的特殊性,開發需要特定的方法。 列印和掃描文件時,資訊從數位轉換為模擬,反之亦然。 每種類型的資訊都需要完全不同的方法來確保保護。 通常,在技術的交匯處,由於其異質性,形成了最脆弱的地方。
「MFP 通常很容易成為滲透測試者和攻擊者的獵物。 一般來說,這是由於在辦公室環境和網路基礎設施中對設置此類設備及其相對容易的可用性造成的疏忽態度。 最近的案例之一是29 年2018 月50 日發生的一次指示性攻擊,當時一名化名TheHackerGiraffe 的Twitter 用戶“黑掉”了000 多台網絡打印機,並在上面打印傳單,呼籲人們訂閱某個組織的YouTube 頻道。某些 PewDiePie。 在 Reddit 上,TheHackerGiraffe 表示,他可以入侵超過 800 萬台設備,但自己僅限於 000 萬台。同時,駭客強調,主要問題是他以前從未做過這樣的事情,但所有的準備工作和駭客攻擊本身只花了他半小時」。
當佳能開發技術、產品和服務時,我們會考慮它們對客戶工作環境的潛在影響。 這就是為什麼佳能辦公室多功能印表機配備了廣泛的內建和可選安全功能,以幫助各種規模的企業實現所需的安全等級。
佳能擁有整個辦公設備產業中最嚴格的安全測試制度之一。 設備中使用的技術經過測試是否符合公司標準。 我們非常重視最新檢查的安全檢查,其結果得到了卡巴斯基實驗室、COMLOGIC、TerraLink 和 JTI Russia 等公司對設備運作的正面回饋。
「儘管在現代現實中,提高產品的安全性是合乎邏輯的,但並非所有公司都遵循這項原則。 在某些產品遭受駭客攻擊(以及來自用戶的壓力)事件後,公司開始考慮保護問題。 從這一點來說,佳能對保護方法和措施的徹底落實就具有代表性。”
未經授權存取 MFP
很多時候,未受保護的 MFP 是內部違規者(內部人員)和外部違規者的優先目標之一。 在現代現實中,企業網路不僅限於一個辦公室,還包括一組位於不同地理位置的部門和使用者。 集中文檔流需要遠端存取並將多功能一體機納入企業網路。 聯網列印設備屬於物聯網,但其保護往往沒有得到應有的重視,導致整個基礎設施整體脆弱。
為了防範此類威脅,已採取以下措施:
- IP 和 MAC 位址過濾器 – 設定為僅允許與具有特定 IP 或 MAC 位址的裝置進行通訊。 此功能調節網路內部和外部的資料傳輸。
- 代理伺服器設定 - 透過此功能,您可以將對 MFP 連線的控制權委託給代理伺服器。 連接到公司網路外部的裝置時,建議使用此功能。
- IEEE 802.1X 驗證是針對連接未經驗證伺服器授權的裝置的另一種保護。 LAN 交換機會阻止未經授權的存取。
- 透過 IPSec 連線 – 防止嘗試攔截或解密透過網路傳輸的 IP 封包。 建議與額外的 TLS 通訊加密一起使用。
- 連接埠管理 - 旨在防止攻擊者受到內部協助。 此功能負責根據安全策略配置連接埠參數。
- 自動證書註冊 – 此功能為系統管理員提供了自動發行和續訂安全證書的便利工具。
- Wi-Fi direct – 此功能專為從行動裝置進行安全列印而設計。 為此,行動裝置不需要連接到公司網路。 使用 Wi-Fi direct,在裝置和 MFP 之間建立本地對等連線。
- 日誌監控 – 與 MFP 使用相關的所有事件,包括阻塞的連線要求,都會即時記錄在各種系統日誌中。 透過分析記錄,您可以偵測潛在和現有的威脅,建立預防性安全策略,並對已經發生的資訊外洩進行專家評估。
- 裝置加密—此選項在列印作業從使用者的 PC 傳送到多功能印表機時加密。 您也可以透過啟用一套全面的安全功能來加密掃描的 PDF 資料。
- 從行動裝置進行訪客列印。 安全網路列印和掃描管理軟體透過提供提交列印作業(例如電子郵件、Web 和行動應用程式)的外部方法,消除了與行動和訪客列印相關的常見安全性問題。 這可確保 MFP 從安全來源運行,從而最大限度地減少駭客攻擊的可能性。
「共享此類設備除了帶來便利性和降低成本外,還帶來了獲取第三方資訊的風險。 這不僅可以被攻擊者利用,也可以被不法員工用來獲取個人利益或取得內線資訊。 正在處理的資訊的巨大潛力——從技術秘密到財務文件——是攻擊或非法使用的一個重要優先事項。”
新版本 imageRUNNER ADVANCE 平台的新增功能是將列印設備連接到兩個網路。 當多功能一體機在公司和訪客模式下同時使用時,這非常方便。
保護硬碟上的數據
您的多功能印表機始終包含大量需要保護的資料 - 從排隊的列印作業到接收的傳真、掃描的影像、通訊錄、活動日誌和作業記錄。
事實上,磁碟只是暫時存儲,在其上保存資訊的時間超過必要的時間會增加企業安全系統的脆弱性。 為了防止這種情況發生,您可以在設定中設定硬碟清潔計畫。 除了列印作業完成後或列印失敗時立即清除之外,還可以按計劃刪除其他文件以清除殘留資料。
「不幸的是,即使是許多 IT 專業人士也對硬碟在現代列印設備中的作用知之甚少。 硬碟機的存在可以顯著減少準備列印階段的持續時間。 硬碟通常儲存系統資訊、圖形檔案和用於列印副本的光柵影像。 除了複合機處置不當和數據洩露的可能性之外,還存在拆卸/盜竊硬碟進行分析的可能性,或進行專門的攻擊以竊取數據,例如使用印表機漏洞利用工具包。”
佳能設備提供一系列工具來在整個設備生命週期中保護您的數據,同時保持其機密性、完整性和可用性。
人們非常重視保護硬碟上的資料。 儲存在那裡的資訊可能具有不同程度的機密性。 因此,新版本imageRUNNER ADVANCE平台26個不同系列的所有7種設備型號均採用了硬碟加密。 它符合美國政府的 FIPS 140-2 2 級安全標準以及日本等效的 JCVMP。
「擁有一個考慮使用者角色和存取等級的資訊存取系統非常重要。 例如,在許多公司中,員工之間討論工資是被嚴格禁止的,工資單或獎金資訊的洩漏可能會引發團隊中的嚴重衝突。 不幸的是,我知道這樣的案例,其中一個導致負責此類洩密的員工被解僱。”
- 硬碟加密。 imageRUNNER ADVANCE 裝置對硬碟上的所有資料進行加密,以提高安全性。
- 清潔您的硬碟。 某些資料(例如影印或掃描的資料或從電腦列印的文件資料)會在印表機硬碟上儲存一段有限的時間,並在作業完成後刪除。
- 所有數據和參數的初始化。 為了防止在更換或處置硬碟時遺失數據,您可以覆蓋硬碟上的所有文件和數據,然後將設定重設為預設值。
- 備份硬碟。 該公司現在能夠將資料從設備的硬碟備份到可選的硬碟。 備份時,兩個硬碟上的資料均完全加密。
- 可拆卸硬碟套件。 此選項可讓您在裝置不使用時從裝置上卸下硬碟以進行安全儲存。
關鍵資料外洩
所有公司都會處理機密文件,例如合約、協議、會計文件、客戶資料、開發部門計劃等等。 如果此類文件落入壞人之手,後果可能包括聲譽受損、巨額罰款甚至訴訟。 攻擊者可以獲得公司資產、內部或機密資訊的控制權。
「竊取有價值資訊的不僅是競爭對手或詐騙者。 經常有員工決定發展自己的業務或透過向外界出售資訊來暗中賺取額外收入的情況。 在這種情況下,印表機就成了他們的主要助手。 公司內部的任何資料傳輸都很容易追蹤。 此外,能夠獲得有價值資訊的並不是普通員工。 對於普通經理來說,還有什麼比竊取一份閒置的有價值的文件更容易的呢? 任何人都可以應付這項任務。 列印的文件甚至不總是需要帶到組織之外。 用一台好的相機,用手機快速拍下閒置材料的照片就足夠了。”
佳能提供一系列安全解決方案,協助您在整個生命週期中保護敏感文件。
印刷文件的保密性
使用者可以設定列印 PIN,以便只有在裝置上輸入正確的 PIN 後才能開始列印文件。 這使您可以保護機密文件。
「為了方便用戶,多功能一體機通常出現在組織的公共區域。 這些可以是大廳、會議室、走廊和接待區。 只有使用識別碼(PIN 碼、智慧卡)才能確保使用者存取等級範圍內的資訊安全。 值得注意的案例是用戶可以存取先前發送的文件、護照掃描件等。 由於控制不充分和缺乏數據清理功能。”
在imageRUNNER ADVANCE設備上,管理員可以暫停所有提交的列印作業,要求使用者登入才能列印,從而保護所有列印資料的隱私。
列印作業或掃描文件可以儲存在郵箱中,以便隨時輕鬆存取。 郵箱可以使用 PIN 碼進行保護,以確保只有指定的使用者才能存取其內容。 使用裝置上的這個安全空間來儲存需要小心處理的經常列印的文件(例如信紙和表格)。
完全控制發送文件和傳真
為了降低資訊外洩的風險,管理員可以限制對各種收件者的訪問,例如不在 LDAP 伺服器上的通訊錄中、未在系統中或特定網域中註冊的收件者。
為了防止文件傳送給錯誤的收件人,您必須停用電子郵件地址的自動填入。
設定 PIN 碼進行保護將保護裝置的通訊錄免遭未經授權的使用者存取。
要求使用者重新輸入傳真號碼將防止文件傳送給錯誤的收件人。
將文件和傳真保護在機密資料夾或 PIN 中可以將文件安全地儲存在記憶體中,而無需列印它們。
驗證文件的來源和真實性
可以使用金鑰和認證機制將裝置簽章新增至掃描的 PDF 或 XPS 文件中,以便收件者可以驗證文件的來源和真實性。
「在電子文件中,電子數位簽章(EDS)是其必備條件,旨在保護該電子文件不被偽造,並允許您識別簽署金鑰憑證的擁有者,並確保文件中的資訊不存在失真。電子文檔。 這確保了傳輸文件的安全性和所有者的準確身份,從而有助於保持資訊的可靠性。”
使用者簽名可讓您發送帶有從認證公司獲得的使用者唯一數位簽署的 PDF 或 XPS 檔案。 這樣收件人就可以檢查誰簽署了該文件。
與 ADOBE LIFECYCLE MANAGEMENT ES 集成
使用者可以保護 PDF 文件,並對它們應用一致的動態策略來控制存取和使用權限,並保護機密和有價值的資訊免遭無意或惡意洩露。 安全性原則是在伺服器層級維護的,因此即使在檔案分發後也可以變更權限。 imageRUNNER ADVANCE 系列設備可配置為與 Adobe ES 整合。
使用 uniFLOW MyPrintAnywhere 進行安全列印可讓您透過通用驅動程式傳送列印作業並將其列印到網路上的任何印表機。
防止重複
驅動程式可讓您在頁面上列印出現在文件內容頂部的可見標記。 這可用於告知員工文件的機密性並防止其被複製。
帶有隱形浮水印的列印/複印 - 列印或複印文件時,背景中嵌入隱藏文本,創建副本時會出現這些文本並起到威懾作用。
NTware(佳能集團公司的一部分)的 uniFLOW 軟體的功能為確保文件安全提供了額外的有效工具。
將 uniFLOW 與 iW SAM Express 結合使用,您可以將傳送至印表機或從裝置接收的文件進行數位化和存檔,以及在應對安全威脅時分析文字資料和屬性。
使用嵌入式程式碼追蹤文檔來源。
文件掃描封鎖 - 此選項將隱藏程式碼嵌入到列印文件和副本中,以防止它們在啟用此功能的裝置上進一步複製。 管理員可以將此選項用於所有作業或僅用於使用者選擇的作業。 TL 和 QR 碼可用於嵌入。
「透過測試和熟悉 imageRUNNER ADVANCE III 技術的功能,我們能夠確認其基本上符合現代 IT 安全策略。 上述防護措施滿足基本的安全要求,可以最大程度地降低資訊安全違規風險。”
最新的 imageRUNNER ADVANCE 設備配備了安全性策略功能,可讓管理員在一個選單中管理所有安全設置,並在將其應用為設備配置之前對其進行編輯。 應用後,設備的使用和設定的變更必須符合此政策。 安全性原則可以使用單獨的密碼進行保護,以提供額外的控制和保護,並且只能由負責的 IT 安全專業人員存取。
“有必要在安全性和便利性之間找到並保持平衡,明智地利用技術進步和技術解決方案來保護信息,使用合格的人員並熟練地管理所提供的資金,以確保公司的安全。”
協助準備材料 - Luka Safonov,實用實驗室負責人
安全分析,Jet 資訊系統。
只有註冊用戶才能參與調查。 , 請。
您的企業安全方法有多全面?
-
公司安全策略適用於多功能設備群組
-
本公司的列印設備群確保用戶個人設備的安全使用
-
該公司確保列印基礎設施是最新的,並及時有效地安裝修補程式和更新
-
公司客人可以列印和掃描,而不會使公司網路面臨風險
-
公司的IT部門有足夠的時間來解決安全問題
-
該公司在確保設備的安全性和易用性之間找到了平衡
2 位用戶投票。 沒有棄權票。
來源: www.habr.com