被忽视的风险:打印机安全防护的7点建议
被忽视的风险:打印机安全防护的7点建议
长期以来,企业打印机⼀直是IT安全的事后考虑事项,但今年早些时候发⽣的PrintNightmare事件改变了这⼀切。PrintNightmare是微软Windows Print Spooler服务中的⼀个漏洞,当Windows Print Spooler服务错误地执⾏特权⽂件操作时,远程代码执⾏漏洞就会出现。攻击者利⽤该漏洞,可以将普通⽤户权限提升⾄System权限,进⾏⼀系列破坏活动。
为此,微软发布了⼀系列安全补丁,企业安全团队也纷纷开始评估其⽹络上打印机的安全性。鉴于⼤多数公司将长期采⽤混合办公模式——员⼯会在家中使⽤个⼈打印机,或通过远程连接到企业的打印机开展⼯作,在这种情况下,打印机安全评估变得尤为重要。
eui共享评估(Shared Assessments)北美指导委员会主席Nasser Fattah表⽰,过去,打印机并没有被视为安全问题,尽管它们每天都在打印⼀些敏感⽂件,并且每天都连接到企业⽹络上。⽽且,打印机还带有许多应⽤程序,包括Web服务器——与其他应⽤程序⼀样,这些应⽤程序可能具有默认密码和漏洞,以及可容纳⼤量敏感信息的存储空间。
香包制作
此外,办公室打印机还可以连接到企业的⾝份存储库,以便验证⽤户打印和电⼦邮件系统,这将带来严重的安全问题,使攻击者能够访问企业⽹络、敏感信息和资源等。例如,攻击者可以通过打印默认密码,将打印重定向到未经授权的位置,开展攻击活动。此外,⽹络上易受攻击的打印机也为攻击者提供
了⼀个切⼊点。
基于上述事实,企业组织需要掌握保护打印机安全的七种⽅法。
01
将打印机视为暴露在⽹络中的物联⽹设备
惠普打印⽹络安全⾸席技术专家Shivaun Albright表⽰,安全团队需要像对待PC、服务器和物联⽹(IoT)设备⼀样考虑打印机安全。这意味着他们需要更改默认密码并定期更新固件。Albright解释称,“太多企业组织未将打印机安全视为整体IT治理的⼀部分,它甚⾄不被视为安全流程的⼀部分,因此没有配备合适的⼈员,也没有获得适当的安全预算。”
qqmima
⽹络安全公司Coalfire副总裁Andrew Barratt表⽰,企业常犯的错误是没有像对待其他数据⼊⼝和出⼝点⼀样对待打印机,尤其是在企业组织具备⼤型多功能设备的情况下。他指出,打印机本质上是复杂的嵌⼊式计算设备,其安全⾜迹与许多其他物联⽹设备相似,但它可以访问更多数据。
Barratt表⽰,“许多打印机都有相当⼤的存储设备,可以包含许多打印作业或扫描副本,⽽且通常没有任何加密或其他访问控制。它们通常联⽹,但很少经历过安全测试,在企业⽹络中可能有Wi-Fi连接的打印机,它们不仅可以访问企业⽹络,⽽且可以使⽤较低的限制就能允许更多⽤户访问设备。对于⼊
侵者来说,它们是⼀个受欢迎的枢纽点。”
02
启⽤打印服务⽇志记录
⽇志记录是了解⽹络上发⽣事情的必要部分。事件响应软件公司BreachQuest联合创始⼈兼⾸席技术官Jake Williams表⽰,随着居家办公(WFH)的持续推进,建议在企业端点上启⽤打印服务⽇志记录(默认情况下禁⽤),以确保安全团队在WFH情况下查看打印作业。事实证明,此⽇志记录还能捕获新打印机的安装进程,甚⾄是尝试⾏为,并为PrintNightmare提供可靠的检测。
03
将打印机放在单独的VLAN上
Haystack Solutions公司CEO Doug Britton表⽰,企业安全团队应该将打印机放在⾃⼰的VLAN中,并在⽹络的其余部分设置虚拟防⽕墙,打印机VLAN应该被视为不受信任的⽹络。Britton表⽰,“这将在确保打印机正常运⾏的同时,限制其损坏能⼒。如果打印机被⿊客⼊侵并开始‘监听’或试图窃取数据,这⼀切都能够被防⽕墙观察到,任何来⾃打印机‘协议外’的探测都将被⽴即检测到。”
惠普的Albright指出,超过⼀半的打印机可以通过常⽤开放端⼝进⾏访问。她建议,企业安全团队关闭所有未使⽤的打印机端⼝,禁⽤未使⽤的互联⽹连接,并关闭经常不⽤的telnet端⼝。Gurucul⾸席执⾏官Saryu Nayyar给出的另⼀个建议是,尽可能对打印机进⾏标准化设置,在减少IT⼈员⼯作量的同时,减少其出错的可能性。
04
提供更好的培训和安全意识
防雹弹惠普最近的研究结果显⽰,⾃新冠肺炎疫情流⾏以来,约有69%的办公室⼯作⼈员使⽤个⼈笔记本电脑或个⼈打印机/扫描仪⼯作,这⽆疑进⼀步扩⼤了企业的攻击⾯。Digital Shadows战略副总裁兼CISO Rick Holland表⽰,安全团队必须就“在家使⽤打印机的风险”对员⼯进⾏培训。⽽且,这些打印机应该由IT部门进⼀步加固。
Holland 补充说:“与任何潜在⼊侵的成本相⽐,由IT维护并配备标准化具有强⼤安全和隐私功能的打印机,所付出的成本微不⾜道。企业组织应考虑消除打印法律⽂件和利⽤电⼦签名服务的活动。如果员⼯需要在家打印,务必坚守‘阅后即焚’原则,企业组织也应该考虑为敏感⽂件提供碎纸机。”
好习惯有哪些05
使⽤正确的⼯具获得⽹络可见性
企业安全团队对于攻击者对其⽹络的可见性通常认识不清。惠普的Albright表⽰,安全团队可以⾸先使⽤像Shodan这样的公开可⽤⼯具,来了解有多少物联⽹设备(包括打印机)暴露在互联⽹上。如果防御者不了解设备,就谈不上保护设备。
此外,企业安全团队还应该将打印机⽇志信息集成到安全信息和事件管理(SIEM)⼯具中。
不过,SIEM的好坏取决于提供给它们的信息。因此,企业安全团队应该寻提供可靠数据的打印机管理⼯具。通过这种⼯具,企业安全分析师可以真正判断打印机是否已被⽤作发起攻击的⼊⼝点,或是否已授予横向移动访问权限。
06
执⾏打印机侦察和资产管理
根据ThreatModeler创始⼈兼CEO Archie Agarwal的说法,传统意义上,攻击打印机被视为⿊客攻击中更幽默的⼀⾯:
女士内衣品牌排名根据ThreatModeler创始⼈兼CEO Archie Agarwal的说法,传统意义上,攻击打印机被视为⿊客攻击
中更幽默的⼀⾯:它们并不会造成损害,⽽是打印出有趣或挑衅的信息等。但现在的情况不同了,因为这些打印机开始连接到企业内部⽹络,⽽且企业组织通常会忘记或忽略这些潜在的门户,犯罪分⼦也并没有忘记它们的存在。
当这些打印机上的服务拥有可以通过远程代码执⾏征⽤的强⼤特权时,危险便⼀触即发。这就是安全团队需要对企业组织环境进⾏严格侦察的原因所在。企业安全团队需要清点正在侦听⼊站连接的内部⽹络所有资产,并采取必要措施来保护它们,这意味着可能需要锁定设备或定期修补它们。
07
利⽤漏洞扫描器
New Net Technologies⾸席技术官Mark Kedgley表⽰,打印机通常被视为良性设备,没有任何凭据或严重的机密数据可以公开,但情况可能不⼀定如此。虽然国家漏洞数据库(NVD)报告给出的打印机漏洞,并不像其他计算平台和设备报告的漏洞那么常见,但仍然存在可能导致⿇烦的问题,尤其是在今天的环境中。
Kedgley补充道,最危险的漏洞是那些可能让攻击者访问打印⽂档的漏洞。他指出,3⽉份报告的许多漏洞影响了主要⽤于CAD或GIS输出的Canon Oce ColorWave 500打印机。企业安全团队可以像测试
其他漏洞⼀样,通过使⽤基于⽹络的漏洞扫描器来测试这些漏洞,不过,这些扫描器需要进⾏修补或强化,以缓解或修复威胁。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。