Con el aumento de las funciones integradas, las impresoras multifunción de oficina han ido mucho más allá del escaneo / impresión trivial. Ahora se han convertido en dispositivos independientes completos integrados en redes locales y globales de alta tecnología que conectan a usuarios y organizaciones no solo dentro de la misma oficina, sino en todo el mundo.
En este artículo, junto con el experto en seguridad práctica de la información Luka
Safonov LukaSafonov, consideraremos las principales amenazas para las MFP modernas de oficina y las formas de prevenirlas.
Los equipos de oficina modernos tienen sus propios discos duros y sistemas operativos, gracias a los cuales las MFP pueden realizar una amplia gama de tareas de flujo de trabajo por sí mismas, eliminando la carga de otros dispositivos. Sin embargo, un equipo tan técnico tiene un inconveniente. Dado que las MFP participan activamente en la transmisión de datos a través de la red, sin la protección adecuada, se convierten en vulnerabilidades en todo el entorno de red de la organización. La seguridad de cualquier sistema está determinada por el grado de protección del enlace más débil. Por lo tanto, cualquier costo de las medidas de protección para los servidores y las computadoras de la empresa carece de sentido si el atacante sigue teniendo lagunas en la impresora multifunción. Al comprender el problema de proteger la información confidencial, los desarrolladores de Canon aumentaron el nivel de seguridad de la tercera versión de la plataforma
imageRUNNER ADVANCE , que se discutirá en el artículo.
Principales amenazas
Existen varios riesgos potenciales asociados con el uso de las IFI en las organizaciones:
- Hackear el sistema a través de acceso no autorizado a la MFP y utilizarlo como "punto de referencia";
- Usar una impresora multifunción para filtrar los datos del usuario;
- Interceptación de datos al imprimir o escanear;
- Acceso a los datos de personas sin acceso apropiado;
- Acceso a información confidencial impresa o escaneada;
- Acceda a datos confidenciales en dispositivos al final de su vida útil.
- Enviar documentos por fax o correo electrónico a la dirección incorrecta intencionalmente o como resultado de un error tipográfico;
- Visualización no autorizada de información confidencial almacenada en equipos multifunción sin protección;
- Una pila común de trabajos impresos pertenecientes a diferentes usuarios.
“De hecho, las MFP modernas a menudo tienen un enorme potencial para un atacante. La experiencia de nuestro proyecto muestra que los dispositivos no configurados, o dispositivos sin un nivel de protección adecuado, brindan a los atacantes una gran oportunidad para expandir el llamado "Ataque de superficie". Esto es obtener una lista de cuentas, direcciones de red, la capacidad de enviar mensajes de correo electrónico y mucho más. Intentaremos averiguar si las soluciones ofrecidas por Canon pueden mitigar estas amenazas ".
Para cada tipo de vulnerabilidad, la nueva plataforma imageRUNNER ADVANCE proporciona una gama de actividades complementarias que brindan protección en varios niveles. Cabe señalar que el desarrollo requirió un enfoque específico debido a los detalles del trabajo de las IFI. Al imprimir y escanear documentos, la información se transfiere de digital a analógica o viceversa. Cada uno de estos tipos de información requiere formas fundamentalmente diferentes de proporcionar protección. Por lo general, en la unión de la tecnología, debido a su heterogeneidad, se forma el punto más vulnerable.
“A menudo, las impresoras multifunción son presa fácil tanto para Pentesters como para intrusos. Como regla, esto se debe a una actitud negligente con respecto a la configuración de dichos dispositivos y su disponibilidad relativamente fácil, tanto en el entorno de oficina como en la infraestructura de red. De los casos recientes, se produjo un ataque significativo el 29 de noviembre de 2018, cuando un usuario de Twitter bajo el seudónimo TheHackerGiraffe "pirateó" más de 50,000 impresoras de red y folletos impresos instándolos a suscribirse a un determinado canal de YouTube PewDiePie. En Reddit, TheHackerGiraffe declaró que podría haber comprometido más de 800,000 dispositivos, pero lo limitó a solo 50,000. Al mismo tiempo, el cracker enfatizó que el problema principal era que nunca había hecho algo así antes, pero que solo le quitó todos los preparativos y el hackeo. media hora ".
Cuando Canon desarrolla tecnologías, productos y servicios, se considera su impacto potencial en los entornos de trabajo de los clientes. Es por eso que las impresoras multifunción de oficina de Canon están equipadas con una amplia gama de funciones de seguridad incorporadas y adicionales que permiten a las empresas de cualquier tamaño alcanzar el nivel de protección requerido.
Canon utiliza uno de los modos de verificación de seguridad más estrictos de toda la industria de equipos de oficina. Las tecnologías utilizadas en los dispositivos se prueban para cumplir con los estándares de la compañía. Se presta mucha atención a las auditorías de seguridad con los exámenes actuales, que dieron como resultado comentarios positivos sobre el funcionamiento de los dispositivos de compañías como Kaspersky Lab, COMLOGIC, TerraLink, JTI Russia y otras.
“A pesar del hecho de que en las realidades modernas es lógico aumentar la seguridad de sus productos, no todas las empresas siguen este principio. Las empresas están comenzando a pensar en la protección después de los hechos de piratería (y la presión de los usuarios) de ciertos productos. Por este lado, el enfoque sólido de Canon para implementar métodos y medidas de seguridad es indicativo ".
Acceso no autorizado a MFP
Muy a menudo, las IMF desprotegidas son uno de los objetivos prioritarios tanto de los infractores internos (internos) como de los externos. En las realidades modernas, la red corporativa no se limita a una oficina, sino que incluye un grupo de divisiones y usuarios con diferentes ubicaciones geográficas. El flujo de trabajo centralizado requiere acceso remoto y la inclusión de una impresora multifunción en una red corporativa. Los dispositivos de impresión en red pertenecen a Internet de las cosas, y su protección a menudo no recibe la debida atención, lo que conduce a una vulnerabilidad común de toda la infraestructura.
Las siguientes medidas se han implementado para proteger contra tales amenazas:
- Filtro de direcciones IP y MAC: configure el permiso para comunicarse solo con dispositivos que tengan direcciones IP o MAC específicas. Esta función regula la transferencia de datos tanto dentro de la red, por lo que la salida más allá de sus límites.
- Configuración del servidor proxy: gracias a esta función, puede delegar la administración de las conexiones MFP al servidor proxy. Esta función se recomienda cuando se conecta a dispositivos fuera de la red corporativa.
- La autenticación IEEE 802.1X es otra protección contra la conexión de dispositivos que no están autorizados por el servidor de autenticación. El acceso no autorizado está bloqueado por el conmutador LAN.
- Conexión a través de IPSec: protege contra intentos de interceptar o descifrar paquetes IP transmitidos a través de la red. Recomendado para usar con cifrado de comunicación TLS opcional.
- Gestión de puertos: diseñada para proteger contra la asistencia interna a los ciberdelincuentes. Esta función es responsable de configurar la configuración de los parámetros del puerto de acuerdo con la política de seguridad.
- Registro automático de certificados: esta función brinda a los administradores del sistema una herramienta conveniente para emitir y actualizar automáticamente certificados de seguridad.
- Wi-Fi directo: esta función está diseñada para una impresión segura desde dispositivos móviles. Para hacer esto, el dispositivo móvil no necesita estar conectado a la red corporativa. Mediante Wi-Fi directo, se crea una conexión local de dispositivo a dispositivo MFP localmente.
- Monitoreo de registros: todos los eventos relacionados con el uso de MFP, incluidas las solicitudes de conexión bloqueadas, se registran en varios registros del sistema en tiempo real. Al analizar los registros, puede detectar amenazas potenciales y existentes, crear una política de seguridad preventiva y realizar una evaluación experta de una fuga de información ya ocurrida.
- Cifrado de datos al interactuar con el dispositivo: esta opción cifra los trabajos de impresión cuando se envían desde una PC de usuario a una impresora multifunción. También puede cifrar datos escaneados en formato PDF activando un conjunto universal de características de seguridad.
- Impresión de invitados desde dispositivos móviles. El software de gestión segura de impresión y escaneo en red elimina los problemas de frecuencia asociados con la impresión segura desde dispositivos móviles y la impresión de invitados al proporcionar formas externas de enviar trabajos de impresión como correo electrónico, Internet y una aplicación móvil. Esto garantiza que la impresora multifunción funcione con una fuente segura, minimizando la posibilidad de piratería.
“Compartir dichos dispositivos además de la conveniencia y la reducción de costos conlleva riesgos de acceso a información de terceros. Esto puede ser utilizado no solo por atacantes, sino también por empleados sin escrúpulos para extraer ganancias personales u obtener información interna. Y el gran potencial de la información procesada, desde secretos tecnológicos hasta documentación financiera, es una prioridad importante para el ataque o el uso ilegítimo ".
Una innovación de la nueva versión de la plataforma imageRUNNER ADVANCE es la capacidad de conectar dispositivos de impresión a dos redes. Esto es muy conveniente cuando la MFP se usa simultáneamente en modo corporativo e invitado.
Protección de datos del disco duro
Una impresora multifunción siempre almacena una gran cantidad de datos que deben protegerse, desde trabajos de impresión en la cola hasta faxes recibidos, imágenes escaneadas, libretas de direcciones, registros de actividad e historial de trabajos.
De hecho, el disco es solo un almacenamiento temporal, y encontrar información en él durante más tiempo del necesario aumenta la vulnerabilidad del sistema de seguridad corporativo. Para evitar que esto suceda, en la configuración puede establecer las reglas para limpiar el disco duro. Además del hecho de que los trabajos de impresión se borran inmediatamente después de la ejecución o cuando falla la impresión, se pueden eliminar otros archivos en un horario con limpieza de datos residuales.
“Desafortunadamente, incluso muchos profesionales de TI son poco conscientes del papel del disco duro en los dispositivos de impresión modernos. La presencia de un disco duro puede reducir significativamente la duración de la fase preparatoria de impresión. Los discos duros suelen almacenar información del sistema, archivos de imágenes e imágenes rasterizadas para imprimir copias. Además de la eliminación inadecuada de las impresoras multifunción y la posibilidad de fuga de datos, existe la posibilidad de desmantelar / robar el disco duro para su análisis o realizar ataques especializados para filtrar datos, por ejemplo, utilizando el Kit de herramientas de explotación de impresoras ".
Los dispositivos Canon ofrecen una gama de herramientas para proteger los datos en todas las etapas del ciclo de vida del dispositivo, así como para preservar su confidencialidad, integridad y disponibilidad.
Se presta mucha atención a la protección de datos en el disco duro. La información almacenada allí puede tener diversos grados de confidencialidad. Por lo tanto, en los 26 modelos de dispositivos dentro de 7 series diferentes de la nueva versión de la plataforma imageRUNNER ADVANCE, se utiliza el cifrado HDD. Cumple con el estándar de seguridad FIPS 140-2 Nivel 2 adoptado por el gobierno de los EE. UU., Así como con el equivalente japonés de JCVMP.
“Es importante tener un sistema de acceso a la información que tenga en cuenta los roles de los usuarios y los niveles de acceso. Por ejemplo, en muchas empresas, la discusión de los salarios entre los empleados está estrictamente prohibida, y la filtración de una hoja de sueldos o información adicional puede provocar un conflicto serio en el equipo. Desafortunadamente, sé de tales casos, en uno de ellos esto llevó al despido del empleado responsable de tal fuga ".
- Cifrado de disco duro. Los dispositivos ImageRUNNER ADVANCE encriptan todos los datos en su disco duro para mayor seguridad.
- Limpieza de disco duro. Algunos datos, como los datos de imágenes copiadas o escaneadas, así como los datos de documentos impresos desde una computadora, se almacenan en el disco duro de la impresora durante un tiempo limitado y se eliminan después de completar la tarea correspondiente.
- Inicialización de todos los datos y parámetros. Para evitar la pérdida de datos al reemplazar o eliminar un disco duro, puede sobrescribir todos los documentos y datos en el disco duro y luego restablecer los valores predeterminados.
- Copia de seguridad del disco duro. Las empresas pudieron hacer una copia de seguridad de los datos del disco duro del dispositivo en un disco duro opcional. Al realizar una copia de seguridad, los datos en ambos discos duros están completamente encriptados.
- Un conjunto de disco duro extraíble. Esta opción le permite quitar el disco duro del dispositivo para un almacenamiento seguro mientras el dispositivo no está en uso.
Fuga de datos críticos
Todas las empresas manejan documentos confidenciales como contratos, acuerdos, documentos contables, datos de clientes, planes del departamento de desarrollo y mucho más. En el caso de que dichos documentos caigan en manos equivocadas, las consecuencias pueden ir desde socavar la reputación hasta multas importantes o incluso demandas judiciales. Los atacantes pueden obtener control sobre los activos de la empresa, información privilegiada o información confidencial.
“No solo los competidores o estafadores están robando información valiosa. Hay casos frecuentes en los que los empleados decidieron desarrollar su negocio o ganar dinero en secreto vendiendo información a un lado. En tales situaciones, la impresora se convierte en su asistente principal. Cualquier transferencia de datos dentro de la empresa es fácil de rastrear. Además, el acceso a información valiosa está lejos de los empleados comunes. ¿Y qué podría ser más fácil para el gerente promedio que robar un documento valioso que está inactivo? Todos harán frente a tal tarea. Los documentos impresos no siempre deben trasladarse fuera de la organización. Es lo suficientemente rápido como para fotografiar los materiales que están inactivos en un teléfono con una buena cámara ".
Canon ofrece una gama de soluciones de seguridad para ayudarlo a proteger documentos confidenciales durante todo su ciclo de vida.
Confidencialidad de impresión
El usuario puede configurar el PIN de impresión para que la impresión del documento comience solo después de ingresar el PIN correcto en el dispositivo. Esto protege los documentos confidenciales.
“A menudo, las IMF se pueden ver en lugares públicos de la organización, para comodidad de los usuarios. Pueden ser salones y salas de reuniones, pasillos y salas de recepción. Solo el uso de identificadores (códigos PIN, tarjetas inteligentes) garantizará la seguridad de la información en el contexto de un nivel de acceso de usuario. Hay casos notables cuando los usuarios obtuvieron acceso a documentos enviados previamente, escaneos de pasaportes, etc. como resultado del control inadecuado y la falta de funciones de limpieza de datos ".
En el dispositivo imageRUNNER ADVANCE, el administrador puede pausar todos los trabajos de impresión enviados; por lo tanto, para imprimir, los usuarios deberán iniciar sesión en el sistema, protegiendo así la confidencialidad de todos los materiales impresos.
Los trabajos de impresión o los documentos escaneados se pueden almacenar en buzones para acceder en cualquier momento conveniente. Los buzones se pueden proteger con PIN para que solo los usuarios designados puedan acceder a sus contenidos. Los documentos impresos con frecuencia (por ejemplo, formularios y formularios) que requieren un manejo cuidadoso se pueden almacenar en este espacio seguro en el dispositivo.
Control total sobre el envío de documentos y faxes.
Para reducir el riesgo de pérdida de información, los administradores pueden restringir el acceso a varios destinos, por ejemplo, aquellos que no están en la libreta de direcciones del servidor LDAP, que no están registrados en el sistema o en un dominio específico.
Para evitar el envío de documentos a los destinatarios incorrectos, es necesario deshabilitar las direcciones de correo electrónico de autocompletar.
Establecer un código PIN para protección protegerá la libreta de direcciones del dispositivo de usuarios no autorizados .
Solicitar que los usuarios vuelvan a ingresar el número de fax evitará que los documentos se envíen a los destinatarios incorrectos.
La protección de documentos y faxes en una carpeta confidencial o PIN asegurará un almacenamiento confiable de documentos en la memoria sin imprimirlos.
Verificación de la fuente y autenticidad del documento.
La firma del dispositivo se puede agregar a los documentos escaneados en formato PDF o XPS utilizando una clave y un mecanismo de certificación para que el destinatario pueda verificar la fuente y la autenticidad del documento.
"En un documento electrónico, una firma digital electrónica (EDS) es su atributo, con la intención de proteger este documento electrónico de la falsificación y nos permite identificar al propietario del certificado de clave de firma, así como establecer la ausencia de distorsión de la información en el documento electrónico. Esto garantiza la seguridad del documento transmitido y la identificación precisa de su propietario, lo que le permite mantener la precisión de la información ".
La firma de usuario le permite enviar archivos PDF o XPS con una firma de usuario digital única recibida de una empresa de certificación. De esta forma, el destinatario podrá verificar quién ha firmado el documento.
Integración con ADOBE LIFECYCLE MANAGEMENT ES
PDF-̆ , ̆ . , ̆. ̆ imageRUNNER ADVANCE Adobe ES.
uniFLOW MyPrintAnywhere — ̆ ̆ ̆ .
̆ , . .
/ – , ̆ .
uniFLOW NTware ( Canon) .
uniFLOW iW SAM Express , ̆, .
.
– ̆ , ̆ ̆ ̆, . ̆ ̆, . TL- QR-.
« imageRUNNER ADVANCE III IT-. ».
̆ ̆ imageRUNNER ADVANCE ̆ , ̆. ̆ ̆ ̆. , , ̆ - .
« , , ».
– ,
, .