Geekly articles weekly

أمان متعدد الوظائف جديد: imageRUNNER ADVANCE III



مع الزيادة في الوظائف المدمجة ، تجاوزت الطابعات متعددة الوظائف المكتبية لفترة طويلة المسح / الطباعة التافهة. لقد تحولوا الآن إلى أجهزة مستقلة متكاملة مدمجة في شبكات محلية وعالمية عالية التقنية تربط المستخدمين والمنظمات ليس فقط داخل المكتب نفسه ، ولكن في جميع أنحاء العالم.

في هذه المقالة ، جنبا إلى جنب مع خبير الأمن العملي للمعلومات لوكا سافونوف لوكاسافونوف ، سننظر في التهديدات الرئيسية للطابعات متعددة الوظائف المكتبية الحديثة وطرق منعها.

تحتوي المعدات المكتبية الحديثة على محركات أقراص صلبة وأنظمة تشغيل خاصة بها ، حيث يمكن للطابعات متعددة الوظائف أداء مجموعة واسعة من مهام سير العمل بمفردها ، مما يؤدي إلى إزالة الحمل من الأجهزة الأخرى. ومع ذلك ، فإن هذه المعدات التقنية العالية لها جانب سلبي. نظرًا لأن MFPs تشارك بنشاط في نقل البيانات عبر الشبكة ، دون حماية مناسبة ، فإنها تصبح نقاط ضعف في بيئة الشبكة بالكامل للمؤسسة. يتم تحديد أمن أي نظام من خلال درجة حماية أضعف حلقة. لذلك ، فإن أي تكاليف للتدابير الوقائية الخاصة بالخوادم وأجهزة الكمبيوتر الخاصة بالمؤسسة تصبح بلا معنى إذا ظلت هناك ثغرة من خلال MFP للمهاجمين. لفهم مشكلة حماية المعلومات السرية ، قام مطورو Canon بزيادة مستوى الأمان للنسخة الثالثة من منصة imageRUNNER ADVANCE ، والتي سيتم مناقشتها في المقال.

التهديدات الرئيسية


هناك العديد من المخاطر المحتملة المرتبطة باستخدام المؤسسات المالية الدولية في المنظمات:

  • اختراق النظام من خلال الوصول غير المصرح به إلى MFP واستخدامه كنقطة مرجعية ؛
  • باستخدام طابعة متعددة الوظائف لتصوير بيانات المستخدم ؛
  • اعتراض البيانات عند الطباعة أو المسح الضوئي ؛
  • الوصول إلى بيانات الأشخاص دون الوصول المناسب ؛
  • الوصول إلى المعلومات السرية المطبوعة أو الممسوحة ضوئيًا ؛
  • الوصول إلى البيانات السرية على الأجهزة المنتهية الصلاحية.
  • إرسال المستندات عن طريق الفاكس أو البريد الإلكتروني إلى العنوان الخطأ عن قصد أو نتيجة خطأ مطبعي ؛
  • عرض غير مصرح به للمعلومات السرية المخزنة على الطابعات متعددة الوظائف غير المحمية ؛
  • مجموعة شائعة من المهام المطبوعة التي تخص مستخدمين مختلفين.

"في الواقع ، غالبًا ما تنطوي الطابعات متعددة الوظائف الحديثة على إمكانات هائلة للمهاجمين. تُظهر تجربة مشروعنا أن الأجهزة غير المُجهزة ، أو الأجهزة التي لا تتمتع بمستوى مناسب من الحماية ، تتيح للمهاجمين فرصة كبيرة لتوسيع ما يسمى "الهجوم السطحي". هذا هو الحصول على قائمة الحسابات ، عنونة الشبكة ، والقدرة على إرسال رسائل البريد الإلكتروني وأكثر من ذلك بكثير. سنحاول معرفة ما إذا كانت الحلول التي تقدمها Canon قادرة على تخفيف هذه التهديدات. "
لكل نوع من أنواع الضعف ، توفر منصة imageRUNNER ADVANCE الجديدة مجموعة من الأنشطة التكميلية التي توفر حماية متعددة المستويات. تجدر الإشارة إلى أن التطوير يتطلب اتباع نهج محدد بسبب تفاصيل عمل المؤسسات المالية الدولية. عند طباعة المستندات ومسحها ضوئيًا ، يتم نقل المعلومات من رقمية إلى تمثيلية أو العكس. كل نوع من هذه المعلومات يتطلب طرقًا مختلفة تمامًا لتوفير الحماية. عادة عند تقاطع التكنولوجيا ، بسبب عدم تجانسها ، يتم تشكيل بقعة الأكثر ضعفا.
"في كثير من الأحيان ، تعد الطابعات متعددة الوظائف فريسة سهلة لكل من البنتستر والمتسللين. وكقاعدة عامة ، يرجع ذلك إلى الموقف المهم في تكوين مثل هذه الأجهزة وتوافرها السهل نسبيًا ، سواء في بيئة المكتب أو في البنية الأساسية للشبكة. من بين الحالات الأخيرة ، وقع هجوم كبير في 29 نوفمبر 2018 ، عندما قام مستخدم Twitter ، تحت الاسم المستعار TheHackerGiraffe ، "باختراق" أكثر من 50000 طابعة ونشرة مطبوعة تحثهم على الاشتراك في قناة PewDiePie على YouTube معينة. في The Reddit ، صرح TheHackerGiraffe بأنه كان بإمكانه اختراق أكثر من 800000 جهاز ، لكن حصرها في 50000 جهاز فقط ، وفي الوقت نفسه ، أكد المفرقع على أن المشكلة الرئيسية هي أنه لم يفعل شيئًا كهذا من قبل ، لكنه لم يأخذ كل الاستعدادات من قِبله. نصف ساعة. "
عندما تقوم شركة Canon بتطوير التقنيات والمنتجات والخدمات ، يتم مراعاة تأثيرها المحتمل على بيئات عمل العملاء. هذا هو السبب في أن طابعات كانون المكتبية متعددة الوظائف مجهزة بمجموعة واسعة من ميزات الأمان المضمنة والإضافية التي تتيح للشركات من أي حجم تحقيق المستوى المطلوب من الحماية.



تستخدم Canon أحد أكثر أوضاع الفحص الأمني ​​صرامة في صناعة المعدات المكتبية بالكامل. يتم اختبار التقنيات المستخدمة في الأجهزة للتأكد من توافقها مع معايير الشركة. يتم إيلاء الكثير من الاهتمام لعمليات تدقيق الأمان من خلال الاختبارات الحالية ، والتي نتج عنها ردود فعل إيجابية على تشغيل الأجهزة من شركات مثل Kaspersky Lab و COMLOGIC و TerraLink و JTI Russia وغيرها.
"على الرغم من حقيقة أنه في الواقع الحديث ، فمن المنطقي زيادة سلامة منتجاتها ، لا تتبع جميع الشركات هذا المبدأ. بدأت الشركات في التفكير في الحماية بعد وقائع القرصنة (والضغط من المستخدمين) لبعض المنتجات. في هذا الجانب ، فإن منهج كانون القوي لتنفيذ أساليب وإجراءات الأمان هو مؤشر. "

وصول غير مصرح به إلى الطابعات متعددة الوظائف


في كثير من الأحيان ، تعد مؤسسات التمويل الأصغر غير المحمية أحد الأهداف ذات الأولوية لكل من المنتهكين الداخليين (من الداخل) والأخرى الخارجية. في الواقع الحديث ، لا تقتصر شبكة الشركة على مكتب واحد ، ولكنها تضم ​​مجموعة من الأقسام والمستخدمين ذوي المواقع الجغرافية المختلفة. يتطلب سير العمل المركزي الوصول عن بُعد وإدراج MFP في شبكة الشركة. تنتمي أجهزة طباعة الشبكة إلى إنترنت الأشياء ، وغالباً ما لا تحظى حمايتها بالاهتمام الواجب ، مما يؤدي إلى ضعف مشترك للبنية التحتية بأكملها.

تم تنفيذ التدابير التالية للحماية من هذه التهديدات:

  • عامل تصفية عنوان IP و MAC - تكوين إذن للاتصال فقط مع الأجهزة التي لها عناوين IP أو MAC محددة. هذه الوظيفة تنظم نقل البيانات سواء داخل الشبكة ، وبالتالي فإن الإخراج خارج حدوده.
  • تكوين خادم الوكيل - بفضل هذه الوظيفة ، يمكنك تفويض إدارة اتصالات MFP إلى الخادم الوكيل. يوصى بهذه الميزة عند الاتصال بأجهزة خارج شبكة الشركة.
  • مصادقة IEEE 802.1X هي حماية أخرى ضد توصيل الأجهزة غير المصرح بها من قبل خادم المصادقة. يتم حظر الوصول غير المصرح به بواسطة تبديل الشبكة المحلية.
  • الاتصال عبر IPSec - يحمي من محاولات اعتراض أو فك تشفير حزم IP المنقولة عبر الشبكة. يوصى باستخدامه مع تشفير اتصالات TLS الاختياري.
  • إدارة الموانئ - مصممة للحماية من المساعدة الداخلية لمجرمي الإنترنت. هذه الوظيفة مسؤولة عن تكوين تكوين معلمات المنفذ وفقًا لسياسة الأمان.
  • التسجيل التلقائي للشهادات - توفر هذه الميزة لمسؤولي النظام أداة ملائمة لإصدار وتحديث شهادات الأمان تلقائيًا.
  • اتصال Wi-Fi مباشر - تم تصميم هذه الوظيفة للطباعة الآمنة من الأجهزة المحمولة. للقيام بذلك ، لا يحتاج الجهاز المحمول إلى الاتصال بشبكة الشركة. باستخدام Wi-Fi مباشرة ، يتم إنشاء اتصال محلي متعدد الوظائف من جهاز إلى آخر محليًا.
  • مراقبة السجل - يتم تسجيل جميع الأحداث المتعلقة باستخدام الطابعات متعددة الوظائف ، بما في ذلك طلبات الاتصال المحظورة ، في سجلات النظام المختلفة في الوقت الحقيقي. من خلال تحليل السجلات ، يمكنك اكتشاف التهديدات المحتملة والحالية وبناء سياسة أمنية وقائية وإجراء تقييم خبير لتسرب المعلومات الذي حدث بالفعل.
  • تشفير البيانات عند التفاعل مع الجهاز - يقوم هذا الخيار بتشفير مهام الطباعة عند إرسالها من كمبيوتر مستخدم إلى طابعة متعددة الوظائف. يمكنك أيضًا تشفير البيانات الممسوحة ضوئيًا بتنسيق PDF عن طريق تنشيط مجموعة عالمية من ميزات الأمان.
  • طباعة الضيف من الأجهزة المحمولة. يعمل برنامج إدارة الطباعة والمسح الضوئي عبر الشبكة بشكل آمن على القضاء على مشكلات التردد المرتبطة بالطباعة الآمنة من الأجهزة المحمولة وطباعة الضيف عن طريق توفير طرق خارجية لإرسال مهام الطباعة مثل البريد الإلكتروني والإنترنت وتطبيق الهاتف المحمول. هذا يضمن أن MFP يعمل مع مصدر آمن ، مما يقلل من فرصة القرصنة.

"تنطوي مشاركة هذه الأجهزة بالإضافة إلى الراحة وخفض التكاليف على مخاطر الوصول إلى معلومات الطرف الثالث. يمكن استخدام هذا ليس فقط من قبل المهاجمين ، ولكن أيضًا من قِبل الموظفين عديمي الضمير لاستخراج الربح الشخصي أو الحصول على معلومات من الداخل. والإمكانات الكبيرة للمعلومات المعالجة - من الأسرار التكنولوجية إلى الوثائق المالية - هي أولوية كبيرة للهجوم أو الاستخدام غير المشروع. "
يتمثل ابتكار الإصدار الجديد من نظام imageRUNNER ADVANCE في إمكانية توصيل أجهزة الطباعة بشبكتين. هذا مناسب جدًا عند استخدام MFP في وقت واحد في وضع الشركة والضيف.

حماية بيانات القرص الصلب


تقوم الطابعة متعددة الوظائف دائمًا بتخزين كمية كبيرة من البيانات التي تحتاج إلى الحماية - من مهام الطباعة في قائمة الانتظار إلى الفاكسات المستلمة والصور الممسوحة ضوئيًا ودفاتر العناوين وسجلات الأنشطة وسجل المهمة.

في الواقع ، يعد القرص تخزينًا مؤقتًا فقط ، كما أن العثور على معلومات عنه لمدة أطول من الوقت اللازم يزيد من ضعف نظام أمان الشركة. لمنع حدوث ذلك ، يمكنك في الإعدادات ضبط قواعد تنظيف القرص الثابت. بالإضافة إلى حقيقة أن مهام الطباعة يتم مسحها مباشرة بعد التنفيذ أو عند فشل الطباعة ، يمكن حذف الملفات الأخرى في جدول زمني مع تنظيف البيانات المتبقية.
"لسوء الحظ ، فإن العديد من المتخصصين في تكنولوجيا المعلومات لا يدركون دور محرك الأقراص الصلبة في أجهزة الطباعة الحديثة. يمكن أن يقلل وجود محرك الأقراص الصلبة من مدة المرحلة التحضيرية للطباعة بشكل كبير. عادة ما تخزن الأقراص الثابتة معلومات النظام وملفات الصور والصور النقطية لطباعة النسخ. بالإضافة إلى التخلص غير الصحيح من الأجهزة متعددة الوظائف وإمكانية تسرب البيانات ، هناك إمكانية لتفكيك / سرقة القرص الصلب للتحليل ، أو إجراء هجمات متخصصة لاستكشاف البيانات ، على سبيل المثال باستخدام مجموعة أدوات استغلال الطابعة. "
تقدم أجهزة Canon مجموعة من الأدوات لحماية البيانات في جميع مراحل دورة حياة الجهاز ، وكذلك للحفاظ على سريتها وسلامتها وتوافرها.
يتم إيلاء الكثير من الاهتمام لحماية البيانات على القرص الصلب. قد تكون المعلومات المخزنة هناك بدرجات متفاوتة من السرية. لذلك ، يتم استخدام تشفير الأقراص الصلبة في جميع طرز الأجهزة الستة والعشرين ضمن 7 سلاسل مختلفة من الإصدار الجديد من نظام imageRUNNER ADVANCE. يتوافق مع معيار الأمن FIPS 140-2 المستوى 2 الذي اعتمدته حكومة الولايات المتحدة ، وكذلك المعادل الياباني لـ JCVMP.
"من المهم أن يكون لديك نظام للوصول إلى المعلومات يأخذ في الاعتبار أدوار المستخدمين ومستويات الوصول. على سبيل المثال ، في العديد من الشركات ، يُمنع منعًا باتًا مناقشة المرتبات بين الموظفين ، وقد يؤدي تسرب ورقة الرواتب أو معلومات المكافآت إلى إثارة تعارض خطير في الفريق. لسوء الحظ ، أنا أعلم بمثل هذه الحالات ، في واحدة منها أدت إلى طرد الموظف المسؤول عن هذا التسريب ".
  • تشفير القرص الصلب. تقوم أجهزة ImageRUNNER ADVANCE بتشفير جميع البيانات الموجودة على القرص الصلب لزيادة الأمان.
  • تنظيف القرص الصلب. يتم تخزين بعض البيانات ، مثل البيانات من الصور المنسوخة أو الممسوحة ضوئيًا ، وكذلك البيانات من المستندات المطبوعة من جهاز كمبيوتر ، على القرص الصلب للطابعة لفترة محدودة ويتم حذفها بعد الانتهاء من المهمة المقابلة.
  • تهيئة جميع البيانات والمعلمات. لمنع فقد البيانات عند استبدال القرص الثابت أو التخلص منه ، يمكنك الكتابة فوق جميع المستندات والبيانات الموجودة على القرص الثابت ، ثم إعادة التعيين إلى القيم الافتراضية.
  • النسخ الاحتياطي القرص الصلب. تمكنت الشركات من نسخ البيانات احتياطيًا من القرص الصلب للجهاز إلى محرك أقراص ثابت اختياري. عند عمل نسخة احتياطية للبيانات الموجودة على كلا محركي الأقراص الصلبة تكون مشفرة بالكامل.
  • مجموعة من الأقراص الصلبة القابلة للإزالة. يسمح لك هذا الخيار بإزالة القرص الصلب من الجهاز للتخزين الآمن أثناء عدم استخدام الجهاز.

تسرب البيانات الحرجة


تتعامل جميع الشركات مع المستندات السرية مثل العقود والاتفاقيات والمستندات المحاسبية وبيانات العملاء وخطط إدارة التطوير وأكثر من ذلك بكثير. في حالة وقوع مثل هذه الوثائق في الأيدي الخطأ ، يمكن أن تتراوح العواقب بين تقويض السمعة والغرامات الكبيرة أو حتى الدعاوى القضائية. يمكن للمهاجمين التحكم في أصول الشركة أو معلوماتها الداخلية أو معلوماتها السرية.
"ليس فقط المنافسين أو المحتالين يسرقون معلومات قيمة. هناك حالات متكررة عندما يقرر الموظفون تطوير أعمالهم أو الحصول على أموال بشكل سري عن طريق بيع المعلومات إلى الجانب. في مثل هذه الحالات ، تصبح الطابعة مساعدهم الرئيسي. من السهل تتبع أي نقل بيانات داخل الشركة. علاوة على ذلك ، فإن الوصول إلى المعلومات القيمة بعيد عن الموظفين العاديين. وما الذي يمكن أن يكون أسهل على المدير العادي من سرقة مستند ثمين يظل خاملاً؟ الجميع سوف يتعاملون مع هذه المهمة. لا تحتاج المستندات المطبوعة دائمًا إلى نقلها خارج المنظمة. إنه سريع بما فيه الكفاية لتصوير المواد الموجودة حول الخمول على الهاتف باستخدام كاميرا جيدة. "
صورة

تقدم Canon مجموعة من حلول الأمان لمساعدتك في حماية المستندات الحساسة طوال دورة حياتها.

طباعة السرية


يمكن للمستخدم تعيين رمز PIN للطباعة بحيث تبدأ طباعة المستند فقط بعد إدخال رمز PIN الصحيح على الجهاز. هذا يحمي الوثائق السرية.
"في كثير من الأحيان ، يمكن رؤية مؤسسات التمويل الأصغر في الأماكن العامة للمؤسسة - لراحة المستخدمين. يمكن أن يكون قاعات وغرف اجتماعات وممرات وقاعات استقبال. فقط استخدام المعرفات (رموز PIN ، البطاقات الذكية) هو الذي يضمن سلامة المعلومات في سياق مستوى وصول المستخدم. هناك حالات جديرة بالملاحظة عندما تمكن المستخدمون من الوصول إلى المستندات المرسلة مسبقًا أو عمليات فحص جواز السفر وما إلى ذلك. نتيجة التحكم غير الكافي ونقص وظائف تطهير البيانات. "
على جهاز imageRUNNER ADVANCE ، يمكن للمسؤول إيقاف جميع مهام الطباعة المقدمة - وبالتالي ، للطباعة ، سيحتاج المستخدمون إلى تسجيل الدخول إلى النظام ، وبالتالي حماية سرية جميع المواد المطبوعة.

يمكن تخزين مهام الطباعة أو المستندات الممسوحة ضوئيًا في صناديق البريد للوصول إليها في أي وقت مناسب. يمكن أن تكون صناديق البريد محمية من PIN بحيث يمكن للمستخدمين المعينين فقط الوصول إلى محتوياتها. يمكن تخزين المستندات المطبوعة بشكل متكرر (على سبيل المثال ، النماذج والنماذج) التي تتطلب معالجة دقيقة في هذه المساحة الآمنة على الجهاز.

السيطرة الكاملة على إرسال المستندات والفاكسات


لتقليل مخاطر تسرب المعلومات ، يمكن للمسؤولين تقييد الوصول إلى وجهات مختلفة ، على سبيل المثال ، تلك التي ليست في دفتر العناوين على خادم LDAP ، والتي لم يتم تسجيلها على النظام أو في مجال معين.

لمنع إرسال المستندات إلى المستلمين الخطأ ، من الضروري تعطيل عناوين البريد الإلكتروني الإكمال التلقائي.

سيؤدي تعيين رمز PIN للحماية إلى حماية دفتر عناوين الجهاز من المستخدمين غير المصرح لهم.

سيؤدي طلب إعادة إدخال رقم الفاكس من قبل المستخدمين إلى منع إرسال المستندات إلى المستلمين الخطأ.

ستضمن حماية المستندات والفاكسات في مجلد سري أو PIN تخزينًا موثوقًا للمستندات في الذاكرة دون طباعتها.

التحقق من مصدر الوثيقة وأصالتها


يمكن إضافة توقيع الجهاز إلى المستندات الممسوحة ضوئيًا في PDF أو XPS باستخدام المفتاح وآلية إصدار الشهادات - وبهذه الطريقة يمكن للمستلم التحقق من مصدر المستند ومصداقيته.
"في مستند إلكتروني ، يعد التوقيع الرقمي الإلكتروني هو السمة الخاصة به ، وهو يهدف إلى حماية هذا المستند الإلكتروني من التزوير ويسمح لنا بالتعرف على مالك شهادة مفتاح التوقيع ، بالإضافة إلى إثبات عدم وجود تشويه للمعلومات في المستند الإلكتروني. هذا يضمن سلامة المستند المرسلة وتحديد دقيق لمالكها ، مما يسمح لك بالحفاظ على دقة المعلومات. "
يتيح لك "توقيع المستخدم" إرسال ملفات PDF أو XPS بتوقيع مستخدم رقمي فريد تم استلامه من شركة تصديق. بهذه الطريقة ، سيتمكن المستلم من التحقق من موقّع المستند.

التكامل مع ADOBE LIFECYCLE MANAGEMENT ES


PDF-̆ , ̆ . , ̆. ̆ imageRUNNER ADVANCE Adobe ES.

uniFLOW MyPrintAnywhere — ̆ ̆ ̆ .


̆ , . .

/ – , ̆ .

uniFLOW NTware ( Canon) .
uniFLOW iW SAM Express , ̆, .

.

– ̆ , ̆ ̆ ̆, . ̆ ̆, . TL- QR-.
« imageRUNNER ADVANCE III IT-. ».

̆ ̆ imageRUNNER ADVANCE ̆ , ̆. ̆ ̆ ̆. , , ̆ - .
« , , ».
– ,
, .

Source: https://habr.com/ru/post/ar448218/

More articles:


All Articles