Dengan meningkatnya fungsi bawaan, MFP kantor telah lama melampaui pemindaian / pencetakan sepele. Sekarang mereka telah berubah menjadi perangkat independen lengkap yang diintegrasikan ke dalam jaringan lokal dan global berteknologi tinggi yang menghubungkan pengguna dan organisasi tidak hanya dalam kantor yang sama, tetapi di seluruh dunia.
Dalam artikel ini, bersama dengan pakar keamanan informasi praktis Luka Safonov
LukaSafonov, kami akan mempertimbangkan ancaman utama terhadap MFP kantor modern dan cara untuk mencegahnya.
Peralatan kantor modern memiliki hard drive dan sistem operasi sendiri, berkat itu MFP dapat melakukan berbagai tugas alur kerja sendiri, menghilangkan beban dari perangkat lain. Namun, peralatan teknis yang tinggi memiliki kelemahan. Karena MFP terlibat secara aktif dalam mentransmisikan data melalui jaringan, tanpa perlindungan yang tepat, mereka menjadi kerentanan di seluruh lingkungan jaringan organisasi. Keamanan sistem apa pun ditentukan oleh tingkat perlindungan tautan terlemah. Oleh karena itu, setiap biaya tindakan perlindungan untuk server dan komputer perusahaan menjadi tidak berarti jika celah melalui MFP tetap untuk penyerang. Memahami masalah melindungi informasi rahasia, pengembang Canon meningkatkan tingkat keamanan platform
imageRUNNER ADVANCE versi ketiga, yang akan dibahas dalam artikel.
Ancaman utama
Ada beberapa risiko potensial yang terkait dengan penggunaan LKI dalam organisasi:
- Meretas sistem melalui akses tidak sah ke MFP dan digunakan sebagai "titik referensi";
- Menggunakan MFP untuk mengekstrak data pengguna;
- Intersepsi data saat mencetak atau memindai;
- Akses ke data orang tanpa akses yang sesuai;
- Akses ke informasi rahasia yang dicetak atau dipindai;
- Akses data rahasia pada perangkat akhir masa pakai.
- Mengirim dokumen melalui faks atau email ke alamat yang salah secara sengaja atau sebagai akibat kesalahan ketik;
- Melihat informasi rahasia yang disimpan secara tidak sah pada MFP yang tidak dilindungi;
- Tumpukan umum pekerjaan cetak milik pengguna yang berbeda.
“Memang, MFP modern sering memiliki potensi besar untuk penyerang. Pengalaman proyek kami menunjukkan bahwa perangkat yang tidak dikonfigurasi, atau perangkat tanpa tingkat perlindungan yang sesuai, memberikan peluang besar bagi penyerang untuk memperluas apa yang disebut "Serangan permukaan". Ini mendapatkan daftar akun, pengalamatan jaringan, kemampuan untuk mengirim pesan email dan banyak lagi. Kami akan mencoba mencari tahu apakah solusi yang ditawarkan oleh Canon dapat mengurangi ancaman ini. "
Untuk setiap jenis kerentanan, platform imageRUNNER ADVANCE baru menyediakan berbagai kegiatan pelengkap yang menyediakan perlindungan multi-level. Perlu dicatat bahwa pengembangan tersebut memerlukan pendekatan spesifik karena kekhasan pekerjaan LKI. Saat mencetak dan memindai dokumen, informasi ditransfer dari digital ke analog atau sebaliknya. Masing-masing jenis informasi ini memerlukan cara yang berbeda secara mendasar untuk memberikan perlindungan. Biasanya di persimpangan teknologi, karena heterogenitasnya, tempat paling rentan terbentuk.
“Seringkali, MFP adalah mangsa yang mudah bagi Pentester dan pengganggu. Sebagai aturan, ini disebabkan oleh sikap lalai terhadap konfigurasi perangkat tersebut dan ketersediaannya yang relatif mudah, baik di lingkungan kantor maupun dalam infrastruktur jaringan. Dari kasus-kasus baru-baru ini, serangan signifikan terjadi pada 29 November 2018, ketika seorang pengguna Twitter, dengan nama samaran TheHackerGiraffe, "meretas" lebih dari 50.000 printer jaringan dan selebaran tercetak yang mendesak mereka untuk berlangganan saluran YouTube PewDiePie tertentu. Di Reddit, TheHackerGiraffe menyatakan bahwa dia bisa saja mengkompromikan lebih dari 800.000 perangkat, tetapi membatasi hanya 50.000. Pada saat yang sama, cracker menekankan bahwa masalah utama adalah dia belum pernah melakukan hal seperti ini sebelumnya, tetapi dia hanya mengambil semua persiapan dan retasan darinya. setengah jam. "
Ketika Canon mengembangkan teknologi, produk, dan layanan, dampak potensial terhadap lingkungan kerja pelanggan dipertimbangkan. Itulah sebabnya printer multifungsi kantor Canon dilengkapi dengan beragam fitur keamanan internal dan tambahan yang memungkinkan perusahaan dari berbagai ukuran untuk mencapai tingkat perlindungan yang diperlukan.
Canon menggunakan salah satu mode pemeriksaan keamanan paling ketat di seluruh industri peralatan kantor. Teknologi yang digunakan dalam perangkat diuji kepatuhannya dengan standar perusahaan. Banyak perhatian diberikan pada audit keamanan dengan pemeriksaan saat ini, yang menghasilkan umpan balik positif pada pengoperasian perangkat dari perusahaan seperti Kaspersky Lab, COMLOGIC, TerraLink, JTI Russia, dan lainnya.
“Terlepas dari kenyataan bahwa dalam kenyataan modern adalah logis untuk meningkatkan keamanan produk mereka, tidak semua perusahaan mengikuti prinsip ini. Perusahaan mulai berpikir tentang perlindungan setelah fakta peretasan (dan tekanan dari pengguna) produk tertentu. Di sisi ini, pendekatan Canon yang kuat untuk menerapkan metode dan tindakan keamanan merupakan indikasi. "
Akses tidak sah ke MFP
Sangat sering, LKM yang tidak dilindungi adalah salah satu tujuan prioritas dari kedua pelanggar internal (orang dalam) dan eksternal. Dalam kenyataan modern, jaringan perusahaan tidak terbatas pada satu kantor, tetapi mencakup sekelompok divisi dan pengguna dengan lokasi geografis yang berbeda. Alur kerja terpusat membutuhkan akses jarak jauh dan penyertaan MFP dalam jaringan perusahaan. Perangkat pencetakan jaringan milik Internet hal-hal, dan perlindungan mereka sering tidak diperhatikan, yang mengarah pada kerentanan umum seluruh infrastruktur.
Langkah-langkah berikut telah diterapkan untuk melindungi dari ancaman tersebut:
- Filter alamat IP dan MAC - konfigurasikan izin untuk berkomunikasi hanya dengan perangkat yang memiliki alamat IP atau MAC tertentu. Fungsi ini mengatur transfer data baik di dalam jaringan, sehingga output di luar batasnya.
- Konfigurasi server proxy - berkat fungsi ini, Anda dapat mendelegasikan pengelolaan koneksi MFP ke server proxy. Fitur ini direkomendasikan saat menghubungkan ke perangkat di luar jaringan perusahaan.
- Otentikasi IEEE 802.1X adalah perlindungan lain terhadap perangkat penghubung yang tidak diizinkan oleh server otentikasi. Akses tidak sah diblokir oleh saklar LAN.
- Koneksi melalui IPSec - melindungi terhadap upaya untuk mencegat atau mendekripsi paket IP yang dikirimkan melalui jaringan. Direkomendasikan untuk digunakan dengan enkripsi komunikasi TLS opsional.
- Manajemen Pelabuhan - dirancang untuk melindungi terhadap bantuan orang dalam bagi penjahat cyber. Fungsi ini bertanggung jawab untuk mengonfigurasi konfigurasi parameter port sesuai dengan kebijakan keamanan.
- Registrasi sertifikat otomatis - fitur ini memberi administrator sistem alat yang mudah untuk mengeluarkan dan memperbarui sertifikat keamanan secara otomatis.
- Wi-Fi direct - fungsi ini dirancang untuk pencetakan yang aman dari perangkat seluler. Untuk melakukan ini, perangkat seluler tidak perlu terhubung ke jaringan perusahaan. Menggunakan Wi-Fi direct, koneksi MFP perangkat-ke-perangkat lokal dibuat secara lokal.
- Pemantauan log - semua peristiwa yang terkait dengan penggunaan MFP, termasuk permintaan koneksi yang diblokir, dicatat dalam berbagai log sistem secara real time. Dengan menganalisis catatan, Anda dapat mendeteksi potensi dan ancaman yang ada, membangun kebijakan keamanan preventif, dan melakukan penilaian ahli terhadap kebocoran informasi yang sudah terjadi.
- Enkripsi data saat berinteraksi dengan perangkat - opsi ini mengenkripsi pekerjaan cetak ketika dikirim dari PC pengguna ke printer multifungsi. Anda juga dapat mengenkripsi data yang dipindai dalam format PDF dengan mengaktifkan serangkaian fitur keamanan universal.
- Pencetakan tamu dari perangkat seluler. Perangkat lunak manajemen pencetakan dan pemindaian jaringan yang aman menghilangkan masalah frekuensi yang terkait dengan pencetakan aman dari perangkat seluler dan pencetakan tamu dengan menyediakan cara eksternal untuk mengirim pekerjaan cetak seperti email, Internet, dan aplikasi seluler. Ini memastikan bahwa MFP bekerja dengan sumber yang aman, meminimalkan kemungkinan peretasan.
“Berbagi perangkat semacam itu selain kenyamanan dan pengurangan biaya mengandung risiko akses ke informasi pihak ketiga. Ini dapat digunakan tidak hanya oleh penyerang, tetapi juga oleh karyawan yang tidak bermoral untuk mengambil keuntungan pribadi atau mendapatkan informasi orang dalam. Dan potensi besar dari informasi yang diproses - dari rahasia teknologi hingga dokumentasi keuangan - merupakan prioritas penting untuk serangan atau penggunaan tidak sah. "
Sebuah inovasi dari versi baru platform imageRUNNER ADVANCE adalah kemampuan untuk menghubungkan perangkat pencetakan ke dua jaringan. Ini sangat nyaman ketika MFP digunakan secara bersamaan dalam mode perusahaan dan tamu.
Perlindungan data hard disk
Printer multifungsi selalu menyimpan sejumlah besar data yang perlu dilindungi - dari pekerjaan cetak dalam antrian hingga faks yang diterima, gambar pindaian, buku alamat, log aktivitas, dan riwayat pekerjaan.
Bahkan, disk hanya penyimpanan sementara, dan mencari informasi tentang itu lebih lama dari waktu yang diperlukan meningkatkan kerentanan sistem keamanan perusahaan. Untuk mencegah hal ini terjadi, dalam pengaturan Anda dapat mengatur aturan untuk membersihkan hard disk. Selain fakta bahwa pekerjaan cetak dihapus segera setelah eksekusi atau saat pencetakan gagal, file lain dapat dihapus sesuai jadwal dengan pembersihan data residual.
“Sayangnya, bahkan banyak profesional TI kurang menyadari peran hard drive dalam perangkat pencetakan modern. Kehadiran hard drive dapat secara signifikan mengurangi durasi fase persiapan pencetakan. Hard disk biasanya menyimpan informasi sistem, file gambar, dan gambar raster untuk mencetak salinan. Selain pembuangan MFP yang tidak tepat dan kemungkinan kebocoran data, ada kemungkinan pembongkaran / pencurian hard disk untuk analisis, atau melakukan serangan khusus untuk mengekstrak data, misalnya menggunakan Printer Exploitation Toolkit. "
Perangkat Canon menawarkan berbagai alat untuk melindungi data di semua tahap siklus hidup perangkat, serta untuk menjaga kerahasiaan, integritas, dan ketersediaannya.
Banyak perhatian diberikan pada perlindungan data pada hard drive. Informasi yang disimpan di sana mungkin memiliki berbagai tingkat kerahasiaan. Oleh karena itu, pada semua 26 model perangkat dalam 7 seri berbeda dari versi baru platform imageRUNNER ADVANCE, enkripsi HDD digunakan. Ini sesuai dengan standar keamanan FIPS 140-2 Level 2 yang diadopsi oleh pemerintah AS, serta setara dengan JCVMP Jepang.
“Penting untuk memiliki sistem akses ke informasi yang memperhitungkan peran pengguna dan tingkat akses. Misalnya, di banyak perusahaan, diskusi tentang gaji di antara karyawan sangat dilarang, dan kebocoran lembar gaji atau informasi bonus dapat memicu konflik serius dalam tim. Sayangnya, saya tahu kasus-kasus seperti itu, di salah satu di antaranya menyebabkan pemecatan karyawan yang bertanggung jawab atas kebocoran semacam itu. "
- Enkripsi Hard Drive. Perangkat ImageRUNNER ADVANCE mengenkripsi semua data pada hard drive Anda untuk meningkatkan keamanan.
- Pembersihan hard disk. Beberapa data, seperti data dari gambar yang disalin atau dipindai, serta data dari dokumen yang dicetak dari komputer, disimpan di hard disk printer untuk waktu yang terbatas dan dihapus setelah menyelesaikan tugas yang sesuai.
- Inisialisasi semua data dan parameter. Untuk mencegah kehilangan data saat mengganti atau membuang hard disk, Anda dapat menimpa semua dokumen dan data pada hard disk, dan kemudian mengatur ulang ke nilai default.
- Cadangkan hard drive. Perusahaan dapat mencadangkan data dari hard drive perangkat ke hard drive opsional. Saat mencadangkan data pada kedua hard drive sepenuhnya dienkripsi.
- Satu set hard drive yang dapat dilepas. Opsi ini memungkinkan Anda untuk menghapus hard drive dari perangkat untuk penyimpanan yang aman saat perangkat tidak digunakan.
Kebocoran Data Penting
Semua perusahaan berurusan dengan dokumen rahasia seperti kontrak, perjanjian, dokumen akuntansi, data pelanggan, rencana departemen pengembangan, dan banyak lagi. Jika dokumen tersebut jatuh ke tangan yang salah, konsekuensinya dapat berkisar dari merusak reputasi hingga denda besar atau bahkan tuntutan hukum. Penyerang dapat memperoleh kendali atas aset perusahaan, informasi orang dalam atau rahasia.
“Tidak hanya pesaing atau scammer yang mencuri informasi berharga. Sering ada kasus ketika karyawan memutuskan untuk mengembangkan bisnis mereka atau secara diam-diam mendapatkan uang dengan menjual informasi ke samping. Dalam situasi seperti itu, printer menjadi asisten utama mereka. Setiap transfer data dalam perusahaan mudah dilacak. Selain itu, akses ke informasi berharga jauh dari karyawan biasa. Dan apa yang bisa lebih mudah bagi manajer rata-rata daripada mencuri dokumen berharga yang menganggur? Setiap orang akan menghadapi tugas seperti itu. Dokumen yang dicetak tidak selalu harus dipindahkan ke luar organisasi. Cukup cepat untuk memotret materi yang tergeletak menganggur di ponsel dengan kamera yang bagus. "
Canon menawarkan berbagai solusi keamanan untuk membantu Anda melindungi dokumen sensitif sepanjang siklus hidupnya.
Print Confidentiality
Pengguna dapat mengatur PIN cetak sehingga pencetakan dokumen dimulai hanya setelah memasukkan PIN yang benar pada perangkat. Ini melindungi dokumen rahasia.
“Seringkali, LKM dapat dilihat di tempat-tempat umum organisasi - untuk kenyamanan pengguna. Ini bisa berupa aula dan ruang pertemuan, koridor, dan ruang resepsi. Hanya penggunaan pengidentifikasi (kode PIN, kartu pintar) yang akan menjamin keamanan informasi dalam konteks tingkat akses pengguna. Ada kasus yang patut dicatat ketika pengguna memperoleh akses ke dokumen yang sebelumnya dikirim, pemindaian paspor, dll. sebagai hasil dari kontrol yang tidak memadai dan kurangnya fungsi pembersihan data. "
Pada perangkat imageRUNNER ADVANCE, administrator dapat menghentikan sementara semua pekerjaan cetak yang dikirimkan - dengan demikian, untuk pencetakan, pengguna harus masuk ke sistem, sehingga melindungi kerahasiaan semua bahan cetak.
Pekerjaan cetak atau dokumen yang dipindai dapat disimpan dalam kotak surat untuk akses kapan saja. Kotak surat dapat dilindungi PIN sehingga hanya pengguna yang ditunjuk yang dapat mengakses kontennya. Dokumen yang sering dicetak (misalnya, formulir dan formulir) yang memerlukan penanganan yang cermat dapat disimpan dalam ruang aman ini di perangkat.
Kontrol penuh atas pengiriman dokumen dan faks
Untuk mengurangi risiko kebocoran informasi, administrator dapat membatasi akses ke berbagai tujuan, misalnya, mereka yang tidak ada di buku alamat di server LDAP, yang tidak terdaftar pada sistem atau pada domain tertentu.
Untuk mencegah pengiriman dokumen ke penerima yang salah, perlu untuk menonaktifkan alamat email autocomplete.
Mengatur kode PIN untuk perlindungan akan melindungi buku alamat perangkat dari pengguna yang tidak sah .
Meminta untuk memasukkan kembali nomor faks oleh pengguna akan mencegah dokumen dikirim ke penerima yang salah.
Melindungi dokumen dan faks dalam folder rahasia atau PIN akan memastikan penyimpanan dokumen yang dapat diandalkan dalam memori tanpa mencetaknya.
Verifikasi sumber dan keaslian dokumen
Tanda tangan perangkat dapat ditambahkan ke dokumen yang dipindai dalam PDF atau XPS menggunakan kunci dan mekanisme sertifikasi - dengan cara ini penerima dapat memverifikasi sumber dan keaslian dokumen.
“Dalam dokumen elektronik, tanda tangan digital elektronik (EDS) adalah atributnya, yang dimaksudkan untuk melindungi dokumen elektronik ini dari pemalsuan dan memungkinkan kami untuk mengidentifikasi pemilik sertifikat kunci tanda tangan, serta untuk menetapkan tidak adanya distorsi informasi dalam dokumen elektronik. Ini memastikan keamanan dokumen yang dikirimkan dan identifikasi pemiliknya yang akurat, yang memungkinkan Anda menjaga keakuratan informasi. "
User Signature memungkinkan Anda mengirim file PDF atau XPS dengan tanda tangan pengguna digital unik yang diterima dari perusahaan sertifikasi. Dengan cara ini, penerima akan dapat memverifikasi siapa yang telah menandatangani dokumen.
Integrasi dengan ADOBE LIFECYCLE MANAGEMENT ES ES
Pengguna dapat melindungi file PDF dan menerapkan kebijakan yang seragam dan dinamis kepada mereka untuk mengontrol akses dan menggunakan hak, serta melindungi informasi rahasia dan berharga dari pengungkapan yang tidak disengaja atau berbahaya. Kebijakan keamanan didukung di tingkat server, sehingga hak dapat diubah bahkan setelah distribusi file. Perangkat ImageRUNNER ADVANCE dapat dikonfigurasi untuk diintegrasikan dengan Adobe ES.Pencetakan aman uniFLOW MyPrintAnywhere - mengirim pekerjaan cetak melalui driver universal dan mencetaknya pada printer jaringan apa pun.Pencegahan Duplikat
Driver memungkinkan Anda untuk mencetak tanda yang terlihat pada halaman yang diletakkan di atas isi dokumen. Ini dapat digunakan untuk memberi tahu karyawan tentang kerahasiaan dokumen dan mencegahnya agar tidak disalin.Mencetak / menyalin dengan tanda air yang tidak terlihat - dokumen akan dicetak atau disalin dengan teks tersembunyi tertanam di latar belakang, yang akan muncul saat membuat duplikat dan memainkan peran sebagai pencegah.Kemampuan uniFLOW perangkat lunak NTware (bagian dari grup perusahaan Canon) menyediakan alat keamanan alur kerja tambahan yang efektif.Menggunakan uniFLOW dalam kombinasi dengan iW SAM Express memungkinkan Anda untuk mendigitalkan dan mengarsipkan dokumen yang dikirim ke printer atau diterima dari perangkat, serta menganalisis data teks dan atribut saat merespons ancaman keamanan.Melacak sumber dokumen melalui kode sebaris.Blokir pemindaian dokumen - opsi ini menyematkan kode tersembunyi dalam dokumen dan salinan tercetak, yang mencegah penyalinan lebih lanjut pada perangkat tempat fungsi ini diaktifkan. Administrator dapat menggunakan parameter ini untuk semua tugas atau hanya tugas yang dipilih oleh pengguna. Kode TL dan QR tersedia untuk disematkan.« imageRUNNER ADVANCE III IT-. ».
Perangkat imageRUNNER ADVANCE terbaru dilengkapi dengan fungsi kebijakan keamanan yang memungkinkan administrator untuk mengatur semua pengaturan keamanan dalam satu menu dan mengeditnya sebelum digunakan sebagai konfigurasi perangkat. Setelah digunakan, penggunaan perangkat dan perubahan parameter harus terjadi sesuai dengan kebijakan ini. Kebijakan keamanan dapat dilindungi dengan kata sandi terpisah sehingga memberikan kemampuan manajemen dan perlindungan tambahan, dan hanya spesialis keamanan TI yang bertanggung jawab yang memiliki akses ke sana.“Penting untuk menemukan dan menjaga keseimbangan antara keamanan dan kenyamanan, menggunakan kemajuan teknologi dan solusi teknis dengan benar untuk melindungi informasi, menggunakan personel yang berkualitas, dan dengan terampil membuang dana yang disediakan untuk memastikan keamanan perusahaan.”
Bantuan dalam mempersiapkan materi - Luka Safonov, kepala Laboratorium untukanalisis praktis keamanan, Jet Infosystems.