Важность безопасности печати, которую долго упускала из виду индустрия ИТ-безопасности, теперь широко осознается в корпоративной среде.
Системы печати, как правило, сложны и охватывают множество устройств, сетей и операционных систем. В то же время они выполняют критически важные бизнес-функции и обрабатывают конфиденциальные и секретные данные. Это приводит к большой вероятности «атак», привлекательной для хакеров и злоумышленников типа. И многочисленные исследования указывают на то, что именно система печати является слабым местом в аудите ИТ-безопасности организации.
Хорошей новостью является то, что эффективные меры безопасности печати доступны и хорошо известны. Все ведущие мировые производители оргтехники активно разрабатывают и внедряют в свою продукцию разнообразные меры защиты. Чтобы повысить уровень безопасности — к этим технологиям можно добавить собственную меру ответственности и некоторые конкретные шаги, которые не оставят злоумышленникам шанса.
Защита инфраструктуры печати
При рассмотрении сквозной безопасности печати имеет смысл начать с инфраструктуры, поддерживающей процессы печати. Подумайте о сети и устройствах, которые поддерживают задание печати с момента, когда пользователь нажимает кнопку «Печать» в своем документе. Вот те особенности рабочего процесса, на которые стоит обратить внимание владельцам бизнеса и ответственным за безопасность лицам.
Аутентификация пользователя печати. Центральное место во многих передовых методах обеспечения безопасности (не только безопасности печати) занимает возможность однозначно и точно идентифицировать конечного пользователя. Настольные компьютеры должны требовать от пользователей аутентификации в централизованно управляемом источнике учетных записей. Таким образом, вы можете назначать задания этим пользователям и при необходимости контролировать доступ к различным устройствам.
Безопасность сервера печати. Многие организации выделяют компьютер в качестве сервера печати, который централизует эти операции и предоставляет конечным пользователям доступ ко всем ресурсам печати. Важно учитывать безопасность этого сервера, чтобы обеспечить его доступность и надежность, а также снизить риск его компрометации. С точки зрения операционной системы следует регулярно устанавливать обновления и исправления для устранения известных уязвимостей. Помимо регулярного обновления определений вирусов на серверах печати, драйверы печати следует регулярно обновлять.
Логическое расположение сервера в сети также следует рассматривать как способ уменьшить поверхность атаки и угрозу атаки. Серверы печати должны быть расположены во внутренней сети, защищены брандмауэрами. IP-адреса во внутренней сети не должны быть доступны из внешней сети.
Очереди печати. Часто упускаемая из виду задача — ограничить права на общие очереди печати. Права на общие очереди должны быть настроены так, чтобы пользователи не могли контролировать задания друг друга или изменять какие-либо настройки очереди.
Например, пользователь не должен иметь возможности приостанавливать очередь или удалять задание другого пользователя. Также стоит отметить, что не все протоколы печати требуют аутентификации по своей природе. LPR, например, будет принимать задания на печать через порт 515 от любого пользователя, обходя обычные права доступа, которые может использовать сервер.
В этих случаях специалисты рекомендуют рассмотреть возможность добавления элементов управления, чтобы ограничить список клиентов, которые могут получить доступ к порту LPR. Другая полезная стратегия усиления защиты — добавление безопасного выпуска печати в очередь LPR.
Шифрование печати может быть полезным способом добавить дополнительный уровень безопасности для выполняемых заданий. Один из простых способов реализовать это — включить шифрование на уровне операционной системы на жестком диске, используемом для хранения очередей печати. Это гарантирует, что бэкдор-доступ к жесткому диску не приведет к утечке конфиденциальных данных.
Не все принтеры должны быть доступны всем конечным пользователям. Принцип наименьших привилегий рекомендует не предоставлять пользователям доступ к устройству (очереди сервера), если им это явно не нужно. Например, вы можете ограничить доступ к принтеру, использующему бумагу с фирменным бланком компании, чтобы ограничить риск неправильного использования.
Безопасность устройств печати
Многофункциональные устройства (МФУ) для офиса чрезвычайно мощны, но также потенциально уязвимы для неправильного использования и атак. Чтобы обеспечить защиту вашей офисной оргтехники от угроз безопасности, необходим ряд мер.
Сеть. МФУ обычно требуется доступ к сети вашей организации для выполнения таких функций, как поиск в каталоге пользователей (например, Active Directory), службы электронной почты/отправки. Убедитесь, что вы используете сервисную учетную запись с правильным уровнем доступа. Использование учетной записи уровня пользователя может сделать вас уязвимым, поскольку они являются основной целью хакеров.
Аналогично обеспечению безопасности сервера печати, следует учитывать логическое сетевое расположение МФУ, чтобы уменьшить вероятность их атаки. Действительно ли ваш принтер должен быть доступен через интернет даже из других офисов?
И наоборот, нужен ли вашему принтеру доступ в Интернет или доступ к остальной части вашей внутренней сети? Ограничение маршрутизации сетевого трафика из подсети принтера может значительно снизить воздействие зараженного устройства. Лучше всего использовать сервер печати в качестве шлюза для всех устройств печати. Используйте сети VLAN или подсети, чтобы точно знать, что единственным устройством, которое может видеть принтеры, является сервер печати.
Это гарантирует, что вы, как системный администратор, контролируете доступ к устройству через свой сервер. Этого также можно достичь с помощью списков управления доступом (ACL) для разрешений на уровне учетной записи или IP-фильтрации для предотвращения доступа из определенных диапазонов IP-адресов или других творческих средств, закрывающих прямой доступ к оргтехнике.
Безопасные соединения. Если есть такая возможность, устройства должны быть настроены на использование безопасных зашифрованных сетевых подключений (например, с использованием HTTPS), особенно при передаче конфиденциальных данных, таких как документы и пароли.
Пароли никогда не следует отправлять по сетевому соединению в виде открытого текста. Настройте свою сеть для использования новейших протоколов TLS, поддерживаемых вашими устройствами. Некоторые старые протоколы, такие как SSL v3, и старые шифры, такие как RC4, имеют известные уязвимости и их следует отключить.
Чтобы избежать атак, SSL-соединения в идеале должны требовать наличия проверенных сертификатов для точной идентификации хоста аутентификации. Можно использовать автоматически сгенерированный частный сертификат и при этом получить другие преимущества SSL, такие как шифрование.
Одним из факторов, который становится все более важным, является знание вашего устройства. Производители МФУ предлагают все больше и больше возможностей подключения, таких как Bluetooth, Wi-Fi Direct или печать NFC. Конечно, все эти функции хороши, но с точки зрения безопасности они добавляют сложности и риска. Убедитесь, что вы знаете возможности своих устройств и знаете, каким именно рискам вы подвержены.
Доступ к устройству
Современные МФУ и принтеры можно рассматривать как серверы Интернета вещей (IoT), и они уязвимы для ряда атак IoT. Все современные устройства поставляются с богатым набором протоколов и служб, большинство из которых никогда не будут использоваться вашей организацией. Чтобы уменьшить зону атаки, рекомендуется отключить все неиспользуемые протоколы и службы устройства.
Убедитесь, что пароли администратора по умолчанию периодически меняются, и используйте безопасные пароли для настроек компьютера, таких как IP-адрес, чтобы предотвратить их изменение пользователями или вредоносным кодом в сети. Часто заводские пароли хорошо известны хакерам, что делает устройства очень уязвимыми для атак.
Многие устройства позволяют сохранять задания печати на внутреннем жестком диске или во внутренней памяти для повторной печати. Если используется эта функция, необходимы четкие политики, гарантирующие хранение только общедоступных документов или адекватную защиту документов паролем.
Во многих случаях может быть целесообразным отключить эту функцию. В качестве альтернативы, если вы не хотите сохранять задания для повторного использования, большинство МФУ предоставляют функцию перезаписи данных. Это позволяет перезаписывать или удалять данные печати либо немедленно, по требованию, либо через запланированные интервалы времени.
Многие современные МФУ имеют функцию шифрования всех разделов жесткого диска, которые могут содержать данные клиентов, с помощью шифрования Advanced Encryption Standard (AES). Вы должны убедиться, что эта функция включена. Некоторые производители МФУ объединяют эти функции (удаление заданий печати, перезапись и шифрование данных) в комплекты безопасности данных, которые можно приобрести дополнительно. Если вам нужны эти функции, вы должны убедиться, что соответствующий комплект безопасности данных приобретен и установлен.
Двухфакторная аутентификация. МФУ и некоторые принтеры обеспечивают аутентификацию пользователя на устройстве посредством считывания карты, идентификационного номера или других методов. Это важная гарантия предотвращения несанкционированного доступа к устройству.
Прошивка. Производители принтеров все больше заботятся о безопасности и активно обновляют свои прошивки для устранения проблем безопасности, возникающих в отношении их устройств. Практика регулярного обновления прошивки устройства необходима, чтобы вы могли воспользоваться любыми исправлениями безопасности от производителей.
Криптографические технологии на МФУ различаются и иногда отстают от современных передовых практик. Однако отрасль становится все более осведомленной о безопасности, и важно поддерживать актуальность прошивки вашего МФУ, чтобы гарантировать, что ваши МФУ используют самые современные шифры, доступные для устройства. Старые шифры, такие как RC4, нередко подвержены нарушениям безопасности.
Дополнительные меры безопасности
Изоляция процессов — программное обеспечение для управления печатью должно работать в изолированных процессах вне ядра операционной системы. Процессы должны выполняться с минимально необходимыми правами пользователя. Например, не должно быть необходимости запускать долго выполняющиеся задачи под root или пользователем-администратором.
Защищенные API — общедоступные API должны иметь несколько уровней безопасности. Некоторые системы для этих целей используют токены аутентификации в сочетании с фильтрацией IP-адресов. Это обеспечивает правильную аутентификацию вызовов API и их отправку из надежного источника.
Безопасность ПО — любые установщики программ или драйверов быть подписаны поставщиком этого ПО, чтобы гарантировать, что вы используете не модифицированные версии.
«Песочница». Когда существует даже небольшой риск того, что безопасность может быть нарушена, лучше разработать решение, которое сможет предотвратить угрозу. «Песочница» — это один из методов, в котором виртуальные машины или методы изоляции на уровне процессов используются для добавления новых решений, но только в одной области, не открывая всю систему.
Службы каталогов (такие как AD, LDAP и т. д.) следует использовать для аутентификации пользователей, а не для хранения паролей в системе управления печатью. Если пользователи определены вне службы каталогов (например, гостевые учетные записи печати), пароль должен быть надежно зашифрован.
Закрытая конструкция — важным принципом безопасности является прекращение доступа, например сетевого подключения МФУ к серверу аутентификации, в случае возникновения сбоя.
Выбрать подходящую конфигурацию офисного МФУ или принтера для ваших задач вы сможете на нашем сайте или у менеджеров отдела продаж.
