长期以来,企业打印机一直是IT事后考虑安全,但今年早些时候发生了PrintNightmare事件改变了这一切。PrintNightmare是微软Windows Print Spooler服务中的漏洞,当Windows Print Spooler当服务错误执行特权文件,会出现远程代码执行漏洞。攻击者可以利用这个漏洞将普通用户的权限提升到System权限,进行一系列破坏活动。
为此,微软发布了一系列安全补丁,企业安全团队也开始评估其在线打印机的安全性。鉴于大多数公司将长期采用混合办公模式——在这种情况下,打印机打印机,或者通过远程连接到企业的打印机。在这种情况下,打印机安全评估变得尤为重要。
共享评估(Shared Assessments)北美指导委员会主席Nasser Fattah据说在过去,打印机并没有被视为安全问题,尽管它们每天都在打印一些敏感文件,并且每天都连接到企业网络。此外,打印机还有许多应用程序,包括Web服务器——与其他应用程序一样,这些应用程序可能具有默认密码和漏洞,以及可容纳大量敏感信息的存储空间。
此外,办公室打印机还可以连接到企业身份存储库,以验证用户打印和电子邮件系统,这将带来严重的安全问题,使攻击者能够访问企业网络、敏感信息和资源。例如,攻击者可以将打印重定位到未经授权的位置。此外,网络上易受攻击的打印机也为攻击者提供了切入点。
基于上述事实,企业组织需要掌握七种保护打印机安全的方法。
1. 将打印机视为暴露在网络中的物联网设备
惠普打印网络安全首席技术专家Shivaun Albright安全团队需要像对待一样对待PC、服务器和物联网(IoT)打印机虑打印机的安全性。这意味着他们需要更改默认密码并定期更新固件。Albright解释称,“太多的企业组织没有把打印机安全视为整体IT治理的一部分,它甚至不被视为安全流程的一部分,因此没有配备合适的人员,也没有获得适当的安全预算。”
网络安全公司Coalfire副总裁Andrew Barratt他说,企业经常犯的错误是,他们不像对待其他数据入口和出口点那样对待打印机,特别是当企业组织拥有大型多功能设备时。他指出,打印机本质上是一种复杂的嵌入式计算设备,其安全足迹类似于许多其他物联网设备,但它可以访问更多的数据。
Barratt表示,“许多打印机都有相当大的存储设备,可以包含许多打印操作或扫描副本,通常没有任何加密或其他访问控制。它们通常连接到互联网上,但很少经历安全测试,可能存在于企业网络中Wi-Fi连接的打印机不仅可以访问企业网络,还可以允许更多的用户使用低限制访问设备。它们是入侵者的流行枢纽。”
2. 记录打印服务日志
日志记录是了解互联网上发生的事情的必要组成部分。事件响应软件公司BreachQuest联合创始人兼首席技术官Jake Williams说,在家工作(WFH)建议在企业端点使用打印服务日志记录(默认禁止),以确保安全团队WFH查看打印操作。事实证明,此日志记录还可以捕捉新打印机的安装过程,甚至尝试行为PrintNightmare提供可靠的检测。
3. 将打印机单独放置VLAN上
Haystack Solutions公司CEO Doug Britton企业安全团队应该把打印机放在自己身上VLAN在网络的其他部分设置虚拟防火墙和打印机VLAN应视为不受信任的网络。Britton表示,“这将限制打印机的损坏能力,同时确保打印机的正常运行。如果打印机被黑客入侵并开始‘监听’或者试图窃取数据,防火墙可以观察到任何来自打印机的数据‘协议外’所有的检测都将立即检测到。”
惠普的Albright指出超过一半的打印机可以通过常用的开放端口访问。她建议企业安全团队关闭所有未使用的打印机端口,禁止未使用的互联网连接,并关闭经常不使用的端口telnet端口。Gurucul首席执行官Saryu Nayyar另一个建议是尽可能标准化打印机,以减少IT同时,减少人员出错的可能性。
4. 提供更好的培训和安全意识
惠普最近的研究结果显示,自新冠肺炎疫情流行以来,约69%的办公室工作人员使用个人笔记本电脑或个人打印机/扫描仪工作,这无疑进一步扩大了企业的攻击面。Digital Shadows战略副总裁兼CISO Rick Holland安全团队必须表示“在家使用打印机的风险”培训员工。此外,这些打印机应该由打印机组成IT进一步加强部门。
Holland 补充说:“与任何潜在入侵相比,由IT维护和配备具有强大安全和隐私功能的标准化打印机,成本微不足道。企业组织应考虑消除打印法律文件和使用电子签名服务的活动。如果员工需要在家打印,一定要坚持‘阅后即焚’企业组织还应考虑为敏感文件提供碎纸机。”
5. 使用正确的工具获得网络可见性
企业安全团队通常不了解攻击者网络的可见性。Albright安全团队可以先使用图像Shodan有多少物联网设备(包括打印机)暴露在互联网上?如果防御者不了解设备,他们就不能谈论保护设备。
此外,企业安全团队还应将打印机日志信息集成到安全信息和事件管理中(SIEM)工具中。
不过,SIEM它的质量取决于它们提供的信息。因此,企业安全团队应该寻找提供可靠数据的打印机管理工具。通过这个工具,企业安全分析师可以真正判断打印机是否被用作攻击的入口点,或者是否被授予水平移动访问权限。
6. 打印机侦察和资产管理
根据ThreatModeler创始人兼CEO Archie Agarwal传统上,攻击打印机被认为是黑客攻击中更幽默的一面:它们不会造成损害,而是打印有趣或挑衅的信息。但现在情况不同了,因为这些打印机开始连接到企业内部网络,企业组织通常会忘记或忽略这些潜在的门户网站,罪犯也不会忘记它们的存在。
当这些打印机上的服务具有通过远程代码征用的强大特权时,危险即将到来。这就是为什么安全团队需要严格调查企业的组织环境。企业安全团队需要检查所有内部网络资产,并采取必要措施保护它们,这意味着可能需要锁定设备或定期修复它们。
7. 使用漏洞扫描器
New Net Technologies首席技术官Mark Kedgley这意味着打印机通常被视为良性设备,没有任何凭证或严重的机密数据可以披露,但情况可能不一定如此。尽管国家漏洞数据库(NVD) 报告给出的打印机漏洞不像其他计算平台和设备报告的漏洞那么常见,但仍有问题可能导致麻烦,特别是在今天的环境中。
Kedgley补充说,最危险的漏洞是攻击者可能访问打印文档的漏洞。他指出,3月份报告的许多漏洞主要用于影响CAD或GIS输出的Canon Oce ColorWave 500打印机。企业安全团队可以使用基于网络的漏洞扫描仪来测试这些漏洞,就像测试其他漏洞一样。然而,这些扫描仪需要修复或加强,以缓解或修复威胁。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看该作者更多好文