停止忽視打印機安全 莫讓打印機成為法外之地
責編:gltian |2019-11-13 10:39:44最近,分別出自 Symphion 和 NCC Group 的兩支獨立安全研究團隊進行了調查研究,指出打印機因大量內置安全功能極少啟用而成為企業內易遭忽視的軟目標,讓攻擊者執行惡意活動變得更加容易。
大多數企業都會將自家打印機外包給托管打印服務 (MPS) 提供商,MPS 提供商之間激烈的價格競爭促使很多提供商優化成本及效率,但卻默默無視了安全。這就給很多企業的防御留下了漏洞。
打印機位于企業網絡敏感部分,很適合發起和跳轉網絡攻擊。打印機處理所有類型的信息,還往往被假定是低風險目標且功能相當貧瘠。打印機是幾乎全部公司都有的常見辦公設備,安全狀態很不成熟,在大多數公司里基本被無視。
由于介于影子 IT 和設備負責人之間,安全主管往往不掌握打印機部署具體情況,此類采購通常是 IT 采購周期之外做的,安全團隊完全不知情。
諷刺的是,當今絕大多數企業打印機發售時都附有可調適大多數用戶需求的高級安全控制,但往往默認關閉以方便 MPS 提供商遠程批量管理。
打印機給安全和合規帶來的威脅不容小覷,與安全領域很多方面類似,打印機安全的解決方案是組織性的,而非技術性的。
打印機到底是什么?
與 “電話” 如今意味著 “正好能讓你進行語音呼叫的袋裝超級電腦和追蹤設備” 一樣,“打印機” 這個詞今天代表的是 “通過千兆以太網接入公司網絡最敏感部分的傳真機、復印機、Web 服務器、電子郵件服務器和 FTP 服務器,且內部硬盤上永久存儲有之前打印的敏感文件,只待 MPS 淘汰該打印機時有人在其未加密硬盤上找到所屬醫院的 HIPAA 數據,引發丑聞。對了,它還能打印東西。”
我們提到未修復了嗎?沒錯,打印機經常不打補丁。我們說過大多數安全運營中心 (SOC) 直接關閉打印機活動相關的網絡監視通知了嗎?“更換硒鼓”可不是大部分 SOC 分析師想要看到的警報消息,反而會阻礙他們的告警,所以分析師選擇將這些打印設備列入白名單。同時,俄羅斯黑客國家隊(其他民族國家也有)正對打印機下手,將之作為攻入最終目標的灘頭陣地。
打印機安全公司 Symphion 的一份白皮書中寫道:與獨立的服務器不同,打印機不在數據中心內,缺乏數據中心常見的物理和技術防護與控制,由非安全、非 IT 專業人員而不是數據中心內經認證的系統管理員管理,不在 IT 策略與流程范圍內。而且,打印機與筆記本電腦一樣在企業內四處移動(通常下面都裝有輪子)。”
阻止和解決。提高標準。做好基礎防護工作。聽起來是不是很耳熟?與安全領域大多數問題一樣,打印機安全問題不是技術上的,是組織上的。得有人真正負責這項工作。
誰來管理打印機安全?
企業安全團隊需在打印機采購早期介入,將安全需求寫入征求建議書 (RFP) 中。但更重要的是,必須停止推卸責任,總得有人負責。誰負責打印機安全呢?如果由好幾個不同職務的人負責,安全災難就在前方翹首以盼。
Symphion 首席執行官 Jim LaRoe 稱:打印機安全應由首席安全官 (CSO) 負責。
正如老話所說,安全是個過程,不是產品,必須確保打印機安全狀態的持續可見性。應開啟并持續啟用打印機安全功能,即便是在維護修理過后(比如修理工可能把機器重置回出廠默認設置了)。
關閉不必要的端口,禁用不需要的服務。持續監視網絡流量,查找可疑活動。務必在拿出公司前妥善處理打印機硬盤,因為這些硬盤往往容量很大,存有無數打印后未刪除的敏感文件。
打印機扛不住常見攻擊
打印機保護不力會導致什么后果?如果你往打印機上安裝一堆不安全 Web 應用,你將毫不意外地發現它們幾乎都不能應對 OWASP Top 10 關鍵 Web 應用安全風險。NCC Group 的調查研究發現了很多針對打印機 Web 應用、打印機服務,甚至打印機硬件本身的重大風險。
他們寫道:大量服務默認開放,配置薄弱。打印機 Web 應用扛不住很多常見攻擊,比如跨站請求偽造 (CSRF)、跨站腳本 (XSS),甚至路徑遍歷攻擊。緩沖區溢出?別開玩笑了,那是基本操作好嗎。所有經典攻擊都能對打印機秀肌肉。
打印機使用專用協議
打印機制造商為尋求供應商鎖定而采用專用軟件,是打印機安全防護中的一大絆腳石——不同類型的打印機之間不能互通,使用標準協議的安全管理員也無法通連。
Symphion 白皮書中寫道:即便打印機提供豐富安全設置保護自身,這些設置也無法通過簡單網絡管理協議 (SNMP) 掃描(印刷業使用的標準自動化)訪問,而打印機制造商自己的打印機管理軟件雖可訪問安全設置,卻又是品牌限定的,不通用,甚至覆蓋不全自家老舊設備。
另外,市場催生薄弱安全選擇也算是當今常見現象了。企業需承認這一點,迫使供應商提供更強大的互操作性。若做不到,那要么只買一家供應商的打印機,要么尋求(或自研)平臺無關的解決方案。
醫療行業受打印機漏洞危害最嚴重
隨著時間推移,很多垂直行業對紙張的依賴越來越少,但醫療行業仍重度有紙化辦公。醫院里的各型打印機是本就薄弱的安全態勢中更為薄弱的一大軟肋,許多醫療機構已因打印機安全疏漏而遭到了 HIPAA 合規實施機構民權辦公室 (OCR) 的大筆處罰。
舉個例子,美國衛生及公眾服務部 (HHS) 罰了 Affinity Health Plan 100 多萬美元。OCR 的調查表明,Affinity 將多臺影印機還給設備租賃機構時未清除其上硬盤中所存數據,造成 344,579 人的受保護醫療健康信息未授權披露。這還是近十年前的事了。此后情況改善了多少呢?太少太少。
鑒于醫院對打印機(如今還要加上影印機)的重度依賴,醫療機構不僅需要考慮維持 HIPAA 合規,還要思考這些設備給其患者帶來的安全風險。
不僅僅是醫療機構,各行各業都應做好打印機安全防護。