Mit der Zunahme der integrierten Funktionen sind Office-MFPs längst über das einfache Scannen / Drucken hinausgegangen. Jetzt haben sie sich zu vollwertigen unabhängigen Geräten entwickelt, die in lokale und globale High-Tech-Netzwerke integriert sind und Benutzer und Organisationen nicht nur innerhalb desselben Büros, sondern auf der ganzen Welt verbinden.
In diesem Artikel werden wir zusammen mit dem Experten für praktische Informationssicherheit, Luka Safonov
LukaSafonov, die Hauptbedrohungen für moderne Büro-MFPs und Möglichkeiten zu ihrer Verhinderung betrachten.
Moderne Bürogeräte verfügen über eigene Festplatten und Betriebssysteme, mit denen MFPs eine Vielzahl von Workflow-Aufgaben selbst ausführen und die Last von anderen Geräten entfernen können. Eine derart hohe technische Ausstattung hat jedoch einen Nachteil. Da MFPs ohne angemessenen Schutz aktiv an der Übertragung von Daten über das Netzwerk beteiligt sind, werden sie zu Schwachstellen in der gesamten Netzwerkumgebung des Unternehmens. Die Sicherheit eines Systems wird durch den Schutzgrad des schwächsten Glieds bestimmt. Daher werden alle Kosten für Schutzmaßnahmen für die Server und Computer des Unternehmens bedeutungslos, wenn für den Angreifer eine Lücke durch den MFP verbleibt. Die Entwickler von Canon haben das Problem des Schutzes vertraulicher Informationen verstanden und die Sicherheitsstufe der dritten Version der
imageRUNNER ADVANCE- Plattform
erhöht , die im Artikel behandelt wird.
Hauptbedrohungen
Mit der Verwendung von IFIs in Organisationen sind mehrere potenzielle Risiken verbunden:
- Hacken des Systems durch unbefugten Zugriff auf den MFP und Verwendung als "Referenzpunkt";
- Verwenden eines MFP zum Exfiltrieren von Benutzerdaten;
- Abfangen von Daten beim Drucken oder Scannen;
- Zugang zu Daten von Personen ohne angemessenen Zugang;
- Zugriff auf gedruckte oder gescannte vertrauliche Informationen;
- Greifen Sie auf vertrauliche Daten auf Altgeräten zu.
- Senden von Dokumenten per Fax oder E-Mail absichtlich oder aufgrund eines Tippfehlers an die falsche Adresse;
- Unerlaubtes Anzeigen vertraulicher Informationen, die auf ungeschützten MFPs gespeichert sind;
- Ein gemeinsamer Stapel gedruckter Aufträge, die verschiedenen Benutzern gehören.
„In der Tat haben moderne MFPs oft ein enormes Potenzial für einen Angreifer. Unsere Projekterfahrung zeigt, dass nicht konfigurierte Geräte oder Geräte ohne angemessenes Schutzniveau Angreifern eine große Chance bieten, das sogenannte zu erweitern "Oberflächenangriff". Hier erhalten Sie eine Liste mit Konten, Netzwerkadressen, die Möglichkeit, E-Mail-Nachrichten zu senden und vieles mehr. Wir werden versuchen herauszufinden, ob die von Canon angebotenen Lösungen diese Bedrohungen mindern können. "
Für jede Art von Sicherheitsanfälligkeit bietet die neue imageRUNNER ADVANCE-Plattform eine Reihe ergänzender Aktivitäten, die mehrstufigen Schutz bieten. Es sei darauf hingewiesen, dass die Entwicklung aufgrund der Besonderheiten der Arbeit der IFI einen spezifischen Ansatz erforderte. Beim Drucken und Scannen von Dokumenten werden Informationen von digital nach analog oder umgekehrt übertragen. Jede dieser Arten von Informationen erfordert grundlegend unterschiedliche Möglichkeiten, um Schutz zu bieten. Normalerweise wird an der Schnittstelle der Technologie aufgrund ihrer Heterogenität der am stärksten gefährdete Punkt gebildet.
„Oft sind MFPs sowohl für Pentester als auch für Eindringlinge eine leichte Beute. Dies ist in der Regel auf eine nachlässige Einstellung zur Konfiguration solcher Geräte und deren relativ einfache Verfügbarkeit sowohl in der Büroumgebung als auch in der Netzwerkinfrastruktur zurückzuführen. Von den jüngsten Fällen ereignete sich am 29. November 2018 ein erheblicher Angriff, als ein Twitter-Benutzer unter dem Pseudonym TheHackerGiraffe mehr als 50.000 Netzwerkdrucker „hackte“ und Flugblätter druckte, in denen er aufgefordert wurde, einen bestimmten PewDiePie-YouTube-Kanal zu abonnieren. Bei Reddit gab TheHackerGiraffe an, dass er mehr als 800.000 Geräte hätte kompromittieren können, beschränkte sich jedoch auf nur 50.000. Gleichzeitig betonte der Cracker, dass das Hauptproblem darin bestehe, dass er so etwas noch nie zuvor getan habe, aber er habe nur alle Vorbereitungen und den Hack von ihm genommen eine halbe Stunde. "
Bei der Entwicklung von Technologien, Produkten und Dienstleistungen durch Canon werden die möglichen Auswirkungen auf die Arbeitsumgebung der Kunden berücksichtigt. Aus diesem Grund sind Canon Office-Multifunktionsdrucker mit einer Vielzahl integrierter und zusätzlicher Sicherheitsfunktionen ausgestattet, mit denen Unternehmen jeder Größe das erforderliche Schutzniveau erreichen können.
Canon verwendet einen der strengsten Sicherheitsüberprüfungsmodi in der gesamten Bürogeräteindustrie. Die in den Geräten verwendeten Technologien werden auf Übereinstimmung mit den Unternehmensstandards getestet. Bei aktuellen Prüfungen wird großen Wert auf Sicherheitsaudits gelegt, die zu positiven Rückmeldungen zum Betrieb von Geräten von Unternehmen wie Kaspersky Lab, COMLOGIC, TerraLink, JTI Russia und anderen führten.
„Trotz der Tatsache, dass es in modernen Realitäten logisch ist, die Sicherheit ihrer Produkte zu erhöhen, folgen nicht alle Unternehmen diesem Prinzip. Unternehmen beginnen, über den Schutz nach den Tatsachen des Hackens (und des Drucks von Benutzern) bestimmter Produkte nachzudenken. Auf dieser Seite ist der solide Ansatz von Canon bei der Implementierung von Sicherheitsmethoden und -maßnahmen bezeichnend. “
Nicht autorisierter Zugriff auf MFPs
Sehr oft sind ungeschützte MFIs eines der vorrangigen Ziele sowohl interner als auch externer Rechtsverletzer (Insider). In der modernen Realität ist das Unternehmensnetzwerk nicht auf ein Büro beschränkt, sondern umfasst eine Gruppe von Abteilungen und Benutzern mit unterschiedlichen geografischen Standorten. Ein zentraler Workflow erfordert den Remotezugriff und die Einbindung eines MFP in ein Unternehmensnetzwerk. Netzwerkdruckgeräte gehören zum Internet der Dinge, und ihr Schutz wird häufig nicht angemessen berücksichtigt, was zu einer gemeinsamen Verwundbarkeit der gesamten Infrastruktur führt.
Zum Schutz vor solchen Bedrohungen wurden folgende Maßnahmen getroffen:
- IP- und MAC-Adressfilter - Konfigurieren Sie die Berechtigung, nur mit Geräten zu kommunizieren, die bestimmte IP- oder MAC-Adressen haben. Diese Funktion regelt die Datenübertragung sowohl innerhalb des Netzwerks als auch die Ausgabe über ihre Grenzen hinaus.
- Proxyserverkonfiguration - Dank dieser Funktion können Sie die Verwaltung von MFP-Verbindungen an den Proxyserver delegieren. Diese Funktion wird empfohlen, wenn Sie eine Verbindung zu Geräten außerhalb des Unternehmensnetzwerks herstellen.
- Die IEEE 802.1X-Authentifizierung ist ein weiterer Schutz gegen Verbindungsgeräte, die nicht vom Authentifizierungsserver autorisiert sind. Der nicht autorisierte Zugriff wird vom LAN-Switch blockiert.
- Verbindung über IPSec - schützt vor Versuchen, über das Netzwerk übertragene IP-Pakete abzufangen oder zu entschlüsseln. Empfohlen für die Verwendung mit optionaler TLS-Kommunikationsverschlüsselung.
- Port Management - zum Schutz vor Insiderhilfe für Cyberkriminelle. Diese Funktion ist für die Konfiguration der Konfiguration der Portparameter gemäß der Sicherheitsrichtlinie verantwortlich.
- Automatische Zertifikatsregistrierung - Diese Funktion bietet Systemadministratoren ein praktisches Tool zum automatischen Ausstellen und Aktualisieren von Sicherheitszertifikaten.
- Wi-Fi Direct - Diese Funktion dient zum sicheren Drucken von Mobilgeräten. Dazu muss das mobile Gerät nicht mit dem Unternehmensnetzwerk verbunden sein. Bei Verwendung von Wi-Fi Direct wird lokal eine lokale MFP-Verbindung von Gerät zu Gerät erstellt.
- Protokollüberwachung - Alle Ereignisse im Zusammenhang mit der Verwendung von MFPs, einschließlich blockierter Verbindungsanforderungen, werden in Echtzeit in verschiedenen Systemprotokollen aufgezeichnet. Durch die Analyse der Aufzeichnungen können Sie potenzielle und vorhandene Bedrohungen erkennen, eine vorbeugende Sicherheitsrichtlinie erstellen und eine Expertenbewertung eines bereits aufgetretenen Informationslecks durchführen.
- Datenverschlüsselung bei der Interaktion mit dem Gerät - Diese Option verschlüsselt Druckaufträge, wenn sie von einem Benutzer-PC an einen Multifunktionsdrucker gesendet werden. Sie können gescannte Daten auch im PDF-Format verschlüsseln, indem Sie eine Reihe universeller Sicherheitsfunktionen aktivieren.
- Gastdruck von mobilen Geräten. Sichere Netzwerkdruck- und Scanverwaltungssoftware beseitigt die Frequenzprobleme, die mit dem Sicherheitsdruck von Mobilgeräten und dem Gastdruck verbunden sind, indem externe Möglichkeiten zum Senden von Druckaufträgen wie E-Mail, Internet und einer mobilen Anwendung bereitgestellt werden. Dies stellt sicher, dass der MFP mit einer sicheren Quelle arbeitet, wodurch das Risiko von Hacking minimiert wird.
„Die gemeinsame Nutzung solcher Geräte sowie die Bequemlichkeit und Kostenreduzierung bergen das Risiko des Zugriffs auf Informationen von Drittanbietern. Dies kann nicht nur von Angreifern, sondern auch von skrupellosen Mitarbeitern genutzt werden, um persönlichen Gewinn zu erzielen oder Insiderinformationen zu erhalten. Und das große Potenzial der verarbeiteten Informationen - von technologischen Geheimnissen bis hin zur Finanzdokumentation - ist eine wichtige Priorität für Angriffe oder illegitime Nutzung. “
Eine Innovation der neuen Version der imageRUNNER ADVANCE-Plattform ist die Möglichkeit, Druckgeräte mit zwei Netzwerken zu verbinden. Dies ist sehr praktisch, wenn der MFP gleichzeitig im Unternehmens- und Gastmodus verwendet wird.
Festplatten-Datenschutz
Ein Multifunktionsdrucker speichert immer eine große Datenmenge, die geschützt werden muss, von Druckaufträgen in der Warteschlange bis hin zu empfangenen Faxen, gescannten Bildern, Adressbüchern, Aktivitätsprotokollen und Auftragsverlauf.
Tatsächlich handelt es sich bei der Festplatte nur um temporären Speicher, und das längere Auffinden von Informationen erhöht die Sicherheitsanfälligkeit des Unternehmenssicherheitssystems. Um dies zu verhindern, können Sie in den Einstellungen die Regeln für die Reinigung der Festplatte festlegen. Zusätzlich zu der Tatsache, dass Druckaufträge sofort nach der Ausführung gelöscht werden oder wenn der Druck fehlschlägt, können andere Dateien nach einem Zeitplan mit Bereinigung der Restdaten gelöscht werden.
„Leider sind sich selbst viele IT-Experten der Rolle der Festplatte in modernen Druckgeräten nicht bewusst. Das Vorhandensein einer Festplatte kann die Dauer der Vorbereitungsphase des Druckens erheblich verkürzen. Festplatten speichern normalerweise Systeminformationen, Bilddateien und gerasterte Bilder zum Drucken von Kopien. Neben der unsachgemäßen Entsorgung von MFPs und der Möglichkeit von Datenlecks besteht die Möglichkeit, die Festplatte zur Analyse zu zerlegen / zu stehlen oder spezielle Angriffe durchzuführen, um Daten zu filtern, beispielsweise mithilfe des Printer Exploitation Toolkit. "
Canon-Geräte bieten eine Reihe von Tools zum Schutz von Daten in allen Phasen des Lebenszyklus des Geräts sowie zum Schutz ihrer Vertraulichkeit, Integrität und Verfügbarkeit.
Besonderes Augenmerk wird auf den Datenschutz auf der Festplatte gelegt. Die dort gespeicherten Informationen können unterschiedlich vertraulich behandelt werden. Daher wird bei allen 26 Gerätemodellen innerhalb von 7 verschiedenen Serien der neuen Version der imageRUNNER ADVANCE-Plattform die Festplattenverschlüsselung verwendet. Es entspricht dem von der US-Regierung verabschiedeten Sicherheitsstandard FIPS 140-2 Level 2 sowie dem japanischen Äquivalent von JCVMP.
„Es ist wichtig, über ein System für den Zugriff auf Informationen zu verfügen, das Benutzerrollen und Zugriffsebenen berücksichtigt. Beispielsweise ist in vielen Unternehmen die Diskussion über Gehälter unter Mitarbeitern strengstens verboten, und das Durchsickern eines Gehaltsblatts oder von Bonusinformationen kann zu ernsthaften Konflikten im Team führen. Leider sind mir solche Fälle bekannt, in einem davon führte dies zur Entlassung des für ein solches Leck verantwortlichen Mitarbeiters. "
- Festplattenverschlüsselung. ImageRUNNER ADVANCE-Geräte verschlüsseln alle Daten auf Ihrer Festplatte, um die Sicherheit zu erhöhen.
- Festplattenreinigung. Einige Daten, z. B. Daten aus kopierten oder gescannten Bildern sowie Daten aus Dokumenten, die von einem Computer gedruckt wurden, werden für eine begrenzte Zeit auf der Festplatte des Druckers gespeichert und nach Abschluss der entsprechenden Aufgabe gelöscht.
- Initialisierung aller Daten und Parameter. Um Datenverlust beim Ersetzen oder Entsorgen einer Festplatte zu vermeiden, können Sie alle Dokumente und Daten auf der Festplatte überschreiben und dann auf die Standardwerte zurücksetzen.
- Festplatte sichern. Unternehmen konnten Daten von der Festplatte des Geräts auf einer optionalen Festplatte sichern. Beim Sichern werden Daten auf beiden Festplatten vollständig verschlüsselt.
- Ein Satz austauschbarer Festplatte. Mit dieser Option können Sie die Festplatte zur sicheren Speicherung aus dem Gerät entfernen, während das Gerät nicht verwendet wird.
Kritischer Datenverlust
Alle Unternehmen befassen sich mit vertraulichen Dokumenten wie Verträgen, Vereinbarungen, Buchhaltungsunterlagen, Kundendaten, Plänen der Entwicklungsabteilung und vielem mehr. Für den Fall, dass solche Dokumente in die falschen Hände geraten, können die Folgen von einer Beeinträchtigung des Ansehens bis zu hohen Geldstrafen oder sogar Rechtsstreitigkeiten reichen. Angreifer können die Kontrolle über Unternehmensvermögen, Insider- oder vertrauliche Informationen erlangen.
„Nicht nur Konkurrenten oder Betrüger stehlen wertvolle Informationen. Es gibt häufige Fälle, in denen Mitarbeiter beschlossen, ihr Geschäft weiterzuentwickeln oder heimlich Geld zu verdienen, indem sie Informationen an die Seite verkaufen. In solchen Situationen wird der Drucker zum Hauptassistenten. Jede Datenübertragung innerhalb des Unternehmens ist einfach zu verfolgen. Darüber hinaus ist der Zugang zu wertvollen Informationen weit entfernt von normalen Mitarbeitern. Und was könnte für den durchschnittlichen Manager einfacher sein, als ein wertvolles Dokument zu stehlen, das im Leerlauf liegt? Jeder wird mit einer solchen Aufgabe fertig werden. Gedruckte Dokumente müssen nicht immer außerhalb der Organisation verschoben werden. Mit einer guten Kamera können Sie schnell die Materialien fotografieren, die im Leerlauf auf einem Telefon herumliegen. "
Canon bietet eine Reihe von Sicherheitslösungen an, mit denen Sie vertrauliche Dokumente während ihres gesamten Lebenszyklus schützen können.
Vertraulichkeit drucken
Der Benutzer kann die Druck-PIN so einstellen, dass der Druck des Dokuments erst nach Eingabe der richtigen PIN auf dem Gerät beginnt. Dies schützt vertrauliche Dokumente.
„MFIs können häufig an öffentlichen Orten der Organisation gesehen werden - zur Vereinfachung der Benutzer. Es können Hallen und Besprechungsräume, Korridore und Empfangsräume sein. Nur die Verwendung von Kennungen (PIN-Codes, Smartcards) garantiert die Sicherheit von Informationen im Kontext einer Benutzerzugriffsebene. Es gibt bemerkenswerte Fälle, in denen Benutzer Zugriff auf zuvor gesendete Dokumente, Pass-Scans usw. erhielten. aufgrund unzureichender Kontrolle und fehlender Datenbereinigungsfunktionen. “
Auf dem imageRUNNER ADVANCE-Gerät kann der Administrator alle übermittelten Druckaufträge anhalten. Zum Drucken müssen sich Benutzer beim System anmelden, um die Vertraulichkeit aller gedruckten Materialien zu schützen.
Druckaufträge oder gescannte Dokumente können in Postfächern gespeichert werden, um jederzeit darauf zugreifen zu können. Postfächer können PIN-geschützt sein, sodass nur bestimmte Benutzer auf ihre Inhalte zugreifen können. Häufig gedruckte Dokumente (z. B. Formulare und Formulare), die eine sorgfältige Behandlung erfordern, können an diesem sicheren Ort auf dem Gerät gespeichert werden.
Volle Kontrolle über das Senden von Dokumenten und Faxen
Um das Risiko von Informationslecks zu verringern, können Administratoren den Zugriff auf verschiedene Ziele beschränken, z. B. auf diejenigen, die nicht im Adressbuch des LDAP-Servers enthalten sind und nicht im System oder in einer bestimmten Domäne registriert sind.
Um zu verhindern, dass Dokumente an falsche Empfänger gesendet werden, müssen die E-Mail-Adressen für die automatische Vervollständigung deaktiviert werden.
Durch das Festlegen eines PIN-Codes zum Schutz wird das Adressbuch des Geräts vor nicht autorisierten Benutzern geschützt .
Wenn Benutzer aufgefordert werden, die Faxnummer erneut einzugeben, wird verhindert, dass Dokumente an die falschen Empfänger gesendet werden.
Durch den Schutz von Dokumenten und Faxen in einem vertraulichen Ordner oder einer vertraulichen PIN wird sichergestellt, dass Dokumente zuverlässig gespeichert werden, ohne dass sie gedruckt werden müssen.
Überprüfen der Quelle und Authentizität eines Dokuments
Die Signatur des Geräts kann gescannten Dokumenten in PDF oder XPS mithilfe des Schlüssels und des Zertifizierungsmechanismus hinzugefügt werden. Auf diese Weise kann der Empfänger die Quelle und Authentizität des Dokuments überprüfen.
„In einem elektronischen Dokument ist eine elektronische digitale Signatur (EDS) das Attribut, das dieses elektronische Dokument vor Fälschungen schützen und es uns ermöglichen soll, den Inhaber des Signaturschlüsselzertifikats zu identifizieren und festzustellen, dass keine Informationen im elektronischen Dokument verzerrt sind. Dies gewährleistet die Sicherheit des übermittelten Dokuments und die genaue Identifizierung seines Besitzers, wodurch Sie die Richtigkeit der Informationen gewährleisten können. "
Mit der Benutzersignatur können Sie PDF- oder XPS-Dateien mit einer eindeutigen digitalen Benutzersignatur senden, die Sie von einem Zertifizierungsunternehmen erhalten haben. Auf diese Weise kann der Empfänger überprüfen, wer das Dokument unterschrieben hat.
Integration mit ADOBE LIFECYCLE MANAGEMENT ES
PDF-̆ , ̆ . , ̆. ̆ imageRUNNER ADVANCE Adobe ES.
uniFLOW MyPrintAnywhere — ̆ ̆ ̆ .
̆ , . .
/ – , ̆ .
uniFLOW NTware ( Canon) .
uniFLOW iW SAM Express , ̆, .
.
– ̆ , ̆ ̆ ̆, . ̆ ̆, . TL- QR-.
« imageRUNNER ADVANCE III IT-. ».
̆ ̆ imageRUNNER ADVANCE ̆ , ̆. ̆ ̆ ̆. , , ̆ - .
« , , ».
– ,
, .