企业打印机长期以来一直是IT安全的事后考虑,但今年早些时候的PrintNightmare事件改变了这一切。PrintNightmare是Microsoft的WindowsPrintSpooler服务中的一个漏洞。当WindowsPrintSpooler服务错误地执行特权文件操作时,会出现远程代码执行漏洞。攻击者可以利用该漏洞将普通用户的权限提升为系统权限,进行一系列的破坏活动。为此,微软发布了一系列安全补丁,企业安全团队开始评估其网络上打印机的安全性。鉴于大多数公司将采用的长期混合工作模式,打印机安全评估尤为重要——员工将在家中使用个人打印机或远程连接到公司打印机。共享评估北美指导委员会主席NasserFattah表示,打印机过去并未被视为安全问题,尽管它们每天打印一些敏感文件并连接到公司网络。更重要的是,打印机带有许多应用程序,包括网络服务器——与其他应用程序一样,它可能有默认密码和漏洞,以及可以容纳大量敏感信息的存储空间。此外,办公室打印机可以连接到企业身份存储库,以便对打印和电子邮件系统的用户进行身份验证,这会带来严重的安全问题,使攻击者能够访问企业网络、敏感信息和资源等。例如,攻击者可以打印默认密码并将打印重定向到未经授权的位置以执行攻击。此外,网络上易受攻击的打印机为攻击者提供了入口点。基于上述事实,组织需要通过以下七种方式掌握打印机的安全性。1.将打印机视为暴露在网络中的物联网设备根据惠普打印网络安全首席技术专家ShivaunAlbright的说法,安全团队需要像对待PC、服务器和物联网(IoT)设备一样考虑打印机安全.这意味着他们需要更改默认密码并定期更新固件。Albright解释说:“太多的组织没有将打印机安全视为整体IT治理的一部分,甚至没有将其视为安全流程的一部分,因此,它没有适当的人员配备和适当的安全预算。网络安全公司Coalfire的副总裁安德鲁·巴拉特(AndrewBarratt)表示,企业常犯的一个错误是没有像对待其他数据输入和输出点那样对待打印机,尤其是当组织拥有大型多功能设备时。是复杂的嵌入式计算设备,其安全足迹与许多其他物联网设备相似,但可以访问更多数据。“许多打印机都有相当大的存储设备,可以包含许多打印作业或扫描副本,”Barratt说。而且通常没有任何加密或其他访问控制。它们通常是联网的,但很少经过安全测试。公司网络中可能有Wi-Fi连接的打印机。他们不仅可以访问公司网络,还可以让更多的用户以更低的限制访问设备。它们是入侵者欢迎的枢轴点。2.启用打印服务日志日志记录是了解网络上发生的事情的必要部分。随着在家工作(WFH)的不断推进,建议在企业端点上启用打印服务日志记录(默认情况下禁用),以确保安全团队可以在WFH情况下查看打印作业。此日志记录还被证明可以捕获新打印机安装甚至尝试的进度,并为PrintNightmare提供了3.将打印机置于单独的VLANHaystackSolutions首席执行官DougBritton表示,企业安全团队应将打印机置于其自己的VLAN中,并且为网络的其余部分设置虚拟防火墙,打印机VLAN应该被视为私有。对于不受信任的网络。布里顿说,“这将使打印机保持正常运行,同时限制其损坏能力。如果打印机被黑客攻击并开始‘监听’或试图窃取数据,防火墙和打印机的任何探测器都可以观察到这一切HP的Albright指出,超过一半的打印机可以通过常用的开放端口访问。她建议企业安全团队关闭所有未使用的打印机端口,禁用未使用的Internet连接,并关闭经常未使用的telnet端口。GuruculCEO官方SaryuNayyar给出的另一个建议是尽可能将打印机的设置标准化,以减少出错的可能性,同时减少IT人员的工作量。4.提供更好的培训和安全意识惠普最近的研究结果显示,自新冠肺炎疫情以来,约有69%的上班族使用个人笔记本电脑或个人打印机/扫描仪工作,这无疑进一步扩大了商业环境。攻击面。DigitalShadows战略副总裁兼CISO里克霍兰德表示,安全团队必须对员工进行“在家使用打印机的风险”方面的培训。此外,IT部门应进一步强化这些打印机。Holland补充说:“与任何潜在入侵的成本相比,拥有由IT维护的具有强大安全性和隐私功能的标准化打印机的成本是微不足道的。组织应该考虑消除打印法律文件和使用电子签名服务的活动。如果员工需要在家打印,一定要坚持“阅后即焚”的原则,机构也应该考虑为敏感文件提供碎纸机。”5.使用正确的工具获得网络可见性。可见性往往知之甚少。惠普的奥尔布赖特表示,安全团队可以从使用Shodan等公开工具开始,了解有多少物联网设备(包括打印机)暴露在互联网上。防御者无法在不知情的情况下保护设备。此外,企业安全团队应将打印机日志信息集成到安全信息和事件管理(SIEM)工具中。但是,SIEM的好坏取决于提供给它们的信息。因此,企业安全团队应该寻找能够提供可靠数据的打印机管理工具。使用此工具,企业安全分析师可以真正判断打印机是否已被用作发起攻击的入口点,或者是否已授予横向移动访问权限。6.执行打印机侦察和资产管理根据ThreatModeler创始人兼首席执行官ArchieAgarwal的说法,黑客攻击打印机传统上被视为黑客攻击更幽默的一面:它们不会造成损害,而是打印一些有趣或挑衅的东西。信息等。但现在情况有所不同,因为这些打印机开始连接到内部企业网络,虽然组织经常忘记或忽略这些潜在的网关,但犯罪分子也没有忘记它们的存在。当这些打印机上的服务拥有可以通过远程代码执行征用的强大特权时,危险就来了。这就是安全团队需要对企业环境进行严格侦察的原因。企业安全团队需要清点内部网络上正在侦听入站连接的所有资产,并采取必要的措施来保护它们,这可能意味着锁定设备或定期修补它们。7.利用漏洞扫描器NewNetTechnologies的首席技术官MarkKedgley表示,打印机通常被视为良性设备,没有任何凭据或严重机密数据可以暴露,但事实并非如此。虽然国家漏洞数据库(NVD)报告的打印机漏洞不像其他计算平台和设备报告的那样普遍,但仍然存在可能导致麻烦的问题,尤其是在当今的环境中。Kedgley补充说,最危险的漏洞是那些可以让攻击者访问打印文档的漏洞。他指出,3月份报告的许多漏洞都影响了主要用于CAD或GIS输出的CanonOceColorWave500打印机。企业安全团队可以通过使用基于网络的漏洞扫描器来测试这些漏洞,就像其他漏洞一样,但是,这些扫描器需要修补或加固以减轻或修复威胁。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
