Osvědčené postupy pro zabezpečený tisk

Osvědčené postupy pro zabezpečený tisk

Z hlediska bezpečnostních rizik dostávají tiskárny často relativně nízkou prioritu. Ve firemním světě mají tendenci bydlet v kanceláři, uvnitř brány firewall a používají se pouze k tisku dokumentů. Tyto předpoklady jsou bohužel nepřesné. Tiskárny se připojují přímo k internetu, mohou odesílat data, jako jsou faxy, výtisky si může vyzvednout a přečíst kdokoli na tiskárně, a nabízejí hackerům backdoor do podnikové sítě.

Sdílení relativně drahé tiskárny připojené přes místní síť (LAN) bylo jedním z ovladačů, který poháněl konektivitu k PC v podnicích. Mike Lloyd, technologický ředitel RedSeal, říká, že tento provoz na východ-západ uvnitř místních sítí je zhoubou bezpečnostních profesionálů.

“Síť je těžší spravovat, protože se rozléhá ven, často v nekontrolovaném IT ekvivalentu chudinské čtvrti.” To zase vytvořilo ekosystém, ve kterém se vyvinuly bezpečnostní hrozby, přechod od virů šířících se na disketách k těm, které se šíří přímo po síti, a jejich potomci, které vidíme dodnes, například rozmetadla ransomwaru, která mohou převzít ropovody,” on říká.

Zatímco podnikové IT se vyvinulo tak, aby poskytovalo podnikové aplikace založené na LAN, Lloyd říká, že přechod k mobilním zařízením a cloudovým výpočtům zaznamenal, že příliv znovu vytekl. “Současná vlna.” Internet věcí [IoT] je nejnovější posun, který bezpečnostní profesionálové potřebují sledovat, a skromná tiskárna stále představuje bariéru, kterou je třeba překonat, “varuje.

Nepřehlédněte zabezpečení tiskárny

Tak jako Paddy Francis, technologický ředitel (CTO) ve společnosti Airbus CyberSecurity, zdůrazňuje, tiskaři často sedí v rohu kanceláře bez povšimnutí. Ale tiskárna je výpočetní zařízení s úložištěm a síťovým připojením jako každý jiný koncový bod. Multifunkční zařízení (MFD) – která nahradila faxová zařízení – mají navíc k telefonnímu systému připojený modem, který podporuje funkce faxu.

To znamená, že musí být chráněni stejně jako jakýkoli uživatelský terminál, server nebo zařízení připojené k síti. “Existuje mnoho příkladů zneužití tiskáren při kybernetických útokech přes internet,” varuje Francis.

Vzhledem k tomu, že kancelářské tiskárny jsou sdílené a mají tendenci být umístěny centrálně, mimo pracovní stoly, Francis zdůrazňuje, že existují i ​​fyzická rizika. Patří mezi ně citlivé výtisky ponechané bez dozoru na tiskárně nebo možnost opakovaného tisku tiskových úloh jiných uživatelů uložených v zařízení. Existuje také riziko, že technik údržby tiskárny může injektovat malware do tiskárny nebo vyměnit pevný disk a odnést starý s obnovitelnými tiskovými úlohami z předchozích týdnů nebo měsíců. Říká, že tiskárnám by se měla věnovat jakákoli bezpečnostní strategie.

Použití tažného tisku – kde je tisková úloha zadržována na serveru nebo pracovní stanici, dokud ji neuvolní uživatel na tiskárně – může přinést bezpečnostní výhody i pohodlí, pokud je dobře implementováno, říká Francis. Vyžadováním autentizace každé tiskové úlohy od uživatelů se snižuje riziko, že výtisky, které obsahují citlivé osobní nebo obchodní informace, zůstanou na tiskárně nebo budou odebrány někým jiným.

„Používání tiskového serveru namísto přímého tisku z hostitele uživatele na tiskárnu také znamená, že tiskárna a hostitelé mohou být umístěni do samostatných podsítí jako součást územní strategie, což útočníkovi s oporou na tiskárně ztěžuje pohyb k hostiteli uživatele, aniž by byl detekován, a naopak, “říká.

Francis doporučuje, aby bylo zabráněno připojení k tiskárně přes internet, s výjimkou případů, kdy je to nutné u aktualizací softwaru internetový malware byl do tiskárny injektován externím útočníkem. “Pro menší organizace se to může zdát jako spousta dalšího hardwaru, ale takového zónování lze často dosáhnout pomocí VLAN.” [virtual LANs] a kontejnerový tiskový server na existující platformě, “říká.

Zavést zásady používání

The Pandemie Covid-19 vedla k tomu, že většina kancelářských pracovníků pracovala na dálku, obvykle z domova.

V nedávný počítačový týdenní Think Tank článek, členové Isaca Kimberley Ann Brannock, vedoucí bezpečnostní poradce společnosti HP, a Michael Howard, hlavní bezpečnostní poradce společnosti HP, popsali potřebu podpory dlouhodobé práce na dálku a důsledky pro zabezpečení tiskárny.

Doporučují IT oddělením nastavit zásady podnikového použití pro zařízení – včetně tiskáren. Na vysoké úrovni doporučují, aby byla všechna zařízení nakupována centrálně a účtována. IT oddělení by měla shromažďovat informace, jako jsou podrobnosti o obchodním účelu jakéhokoli zakoupeného zařízení, kdo má k tomuto zařízení přístup a jaké práce na něm budou probíhat.

Z hlediska bezpečnosti říkají, že je důležité zjistit, jaký druh dat se na zařízeních přenáší a zpracovává: „Musíme vědět, co je v našich prostředích a co se v našich prostředích vyskytuje, abychom je mohli adekvátně spravovat. “

Dvojice doporučuje, aby po prověření a pořízení hardwaru IT oddělení potřebovala zajistit, aby byla zařízení zahrnuta do celkového rámce kybernetické bezpečnosti a aby byly použity osvědčené postupy a standardy kybernetické bezpečnosti.

Brannock a Howard vyzývají IT oddělení, aby se přihlásily Správa aktiv IT (ITAM) a zajišťuje, aby tiskaři byli zaznamenáni v organizacích databáze pro správu konfigurace (CMDB) nebo podobný systém záznamu. Ve svém článku dvojice naléhavě žádá oddělení IT, aby zajistili, že vlastnictví bude uvedeno, včetně umístění a účelu. Z pohledu správy IT to znamená identifikaci každého zařízení v IT prostředí organizace.

Aplikujte osvědčené postupy a standardy v oblasti kybernetické bezpečnosti

Vzhledem k tomu, že tiskárna může mít nastavení zabezpečení více než 250, Brannock a Howard doporučují, aby oddělení IT zajistila konfiguraci zařízení tak, aby splňovaly osvědčené postupy a standardy kybernetické bezpečnosti. „Aplikujte osvědčené postupy a standardy zabezpečení dat a dokumentů na tisková zařízení. To se běžně přehlíží a pokud organizace musí dodržovat Zákon o přenositelnosti a odpovědnosti v oblasti zdravotního pojištění (HIPAA) nebo Obecné nařízení o ochraně údajů (GDPR), například tisk je často v rozsahu, i když není adekvátně řešen a spravován s těmito požadavky, “poznamenávají.

Brannock a Howard říkají především, že IT oddělení musí přijmout postupy jako např nulová důvěra, počítačová hygiena, identifikace zařízení a certifikáty zařízení k zabezpečení tiskáren.

Vzhledem k tomu, že multifunkční zařízení má schopnost odesílat data mimo interní síť společnosti, Francis navrhuje, aby tiskárny byly konfigurovány tak, aby odesílaly e-maily pouze přihlášenému uživateli provádějícímu skenování. “To může zabránit náhodnému odeslání citlivých dokumentů na nesprávnou e-mailovou adresu a také uvést soubory do režimu prevence ztráty dat na pracovních stanicích uživatelů,” říká.

“Mnoho společností stále používá faxy jako komunikační prostředek, zejména ve zdravotnictví a v právním odvětví, přičemž jedním z důvodů je, že mohou poskytnout doklad o přijetí,” dodává. „Použití zařízení připojeného k síti, které má také vestavěný modem a telefonní linku, však může poskytnout a zadní dveře do sítě. Jedním z nejčastějších porušení faxů jsou navíc nestřežené dokumenty ponechané na faxu po přenosu nebo přijetí. Tam, kde přístup k faxu potřebuje jen několik lidí, může být alternativou cloudová faxová služba, která se nemusí obejít s papírem. “

Jak poznamenávají Brannock, Howard a Francis, IT oddělení musí vyhodnotit riziko, které představují tiskárny, jako nesledované koncové body sítě. Nedávný výkonný příkaz Bílého domu, který požaduje detekce a reakce koncových bodů (EDR) jako kritická součást IT infrastruktury má důsledky pro všechna koncová zařízení, včetně tiskáren.

I když je to zaměřeno na správu USA, Brannock a Howard věří, že výkonná objednávka bude znamenat, že výrobci zařízení, včetně těch, kteří vyrábějí tiskárny, budou muset zajistit, aby měli technologie, díky nimž budou zařízení snadno detekovatelná a identifikovatelná a budou vytvářet akční inteligenci, která umožní schopnost reagovat na neobvyklé chování, zranitelná místa a události kybernetické bezpečnosti.

Zatímco tiskárna mohla být zařízením, které vydláždilo cestu k zavedení podnikových sítí LAN, dnes by měla být považována za plnohodnotné zařízení IoT edge. Osvědčené postupy, které IT oddělení zavedená pro správu a zabezpečený tisk lze nyní použít na mnoho aplikací na okraji sítě a správu zařízení IoT.

Share

Leave a Reply

Your email address will not be published. Required fields are marked *