停止忽视打印机安全 莫让打印机成为法外之地
星期二, 十一月 12, 2019
最近,分别出自 Symphion 和 NCC Group 的两支独立安全研究团队进行了调查研究,指出打印机因大量内置安全功能极少启用而成为企业内易遭忽视的软目标,让攻击者执行恶意活动变得更加容易。
大多数企业都会将自家打印机外包给托管打印服务 (MPS) 提供商,MPS 提供商之间激烈的价格竞争促使很多提供商优化成本及效率,但却默默无视了安全。这就给很多企业的防御留下了漏洞。
打印机位于企业网络敏感部分,很适合发起和跳转网络攻击。打印机处理所有类型的信息,还往往被假定是低风险目标且功能相当贫瘠。打印机是几乎全部公司都有的常见办公设备,安全状态很不成熟,在大多数公司里基本被无视。
由于介于影子 IT 和设备负责人之间,安全主管往往不掌握打印机部署具体情况,此类采购通常是 IT 采购周期之外做的,安全团队完全不知情。
讽刺的是,当今绝大多数企业打印机发售时都附有可调适大多数用户需求的高级安全控制,但往往默认关闭以方便 MPS 提供商远程批量管理。
打印机给安全和合规带来的威胁不容小觑,与安全领域很多方面类似,打印机安全的解决方案是组织性的,而非技术性的。
与 “电话” 如今意味着 “正好能让你进行语音呼叫的袋装超级电脑和追踪设备” 一样,“打印机” 这个词今天代表的是 “通过千兆以太网接入公司网络最敏感部分的传真机、复印机、Web 服务器、电子邮件服务器和 FTP 服务器,且内部硬盘上永久存储有之前打印的敏感文件,只待 MPS 淘汰该打印机时有人在其未加密硬盘上找到所属医院的 HIPAA 数据,引发丑闻。对了,它还能打印东西。”
我们提到未修复了吗?没错,打印机经常不打补丁。我们说过大多数安全运营中心 (SOC) 直接关闭打印机活动相关的网络监视通知了吗?“更换硒鼓”可不是大部分 SOC 分析师想要看到的警报消息,反而会阻碍他们的告警,所以分析师选择将这些打印设备列入白名单。同时,俄罗斯黑客国家队(其他民族国家也有)正对打印机下手,将之作为攻入最终目标的滩头阵地。
打印机安全公司 Symphion 的一份白皮书中写道:与独立的服务器不同,打印机不在数据中心内,缺乏数据中心常见的物理和技术防护与控制,由非安全、非 IT 专业人员而不是数据中心内经认证的系统管理员管理,不在 IT 策略与流程范围内。而且,打印机与笔记本电脑一样在企业内四处移动(通常下面都装有轮子)。”
阻止和解决。提高标准。做好基础防护工作。听起来是不是很耳熟?与安全领域大多数问题一样,打印机安全问题不是技术上的,是组织上的。得有人真正负责这项工作。
企业安全团队需在打印机采购早期介入,将安全需求写入征求建议书 (RFP) 中。但更重要的是,必须停止推卸责任,总得有人负责。谁负责打印机安全呢?如果由好几个不同职务的人负责,安全灾难就在前方翘首以盼。
Symphion 首席执行官 Jim LaRoe 称:打印机安全应由首席安全官 (CSO) 负责。
正如老话所说,安全是个过程,不是产品,必须确保打印机安全状态的持续可见性。应开启并持续启用打印机安全功能,即便是在维护修理过后(比如修理工可能把机器重置回出厂默认设置了)。
关闭不必要的端口,禁用不需要的服务。持续监视网络流量,查找可疑活动。务必在拿出公司前妥善处理打印机硬盘,因为这些硬盘往往容量很大,存有无数打印后未删除的敏感文件。
打印机保护不力会导致什么后果?如果你往打印机上安装一堆不安全 Web 应用,你将毫不意外地发现它们几乎都不能应对 OWASP Top 10 关键 Web 应用安全风险。NCC Group 的调查研究发现了很多针对打印机 Web 应用、打印机服务,甚至打印机硬件本身的重大风险。
他们写道:大量服务默认开放,配置薄弱。打印机 Web 应用扛不住很多常见攻击,比如跨站请求伪造 (CSRF)、跨站脚本 (XSS),甚至路径遍历攻击。缓冲区溢出?别开玩笑了,那是基本操作好吗。所有经典攻击都能对打印机秀肌肉。
打印机制造商为寻求供应商锁定而采用专用软件,是打印机安全防护中的一大绊脚石——不同类型的打印机之间不能互通,使用标准协议的安全管理员也无法通连。
Symphion 白皮书中写道:即便打印机提供丰富安全设置保护自身,这些设置也无法通过简单网络管理协议 (SNMP) 扫描(印刷业使用的标准自动化)访问,而打印机制造商自己的打印机管理软件虽可访问安全设置,却又是品牌限定的,不通用,甚至覆盖不全自家老旧设备。
另外,市场催生薄弱安全选择也算是当今常见现象了。企业需承认这一点,迫使供应商提供更强大的互操作性。若做不到,那要么只买一家供应商的打印机,要么寻求(或自研)平台无关的解决方案。
医疗行业受打印机漏洞危害最严重
随着时间推移,很多垂直行业对纸张的依赖越来越少,但医疗行业仍重度有纸化办公。医院里的各型打印机是本就薄弱的安全态势中更为薄弱的一大软肋,许多医疗机构已因打印机安全疏漏而遭到了 HIPAA 合规实施机构民权办公室 (OCR) 的大笔处罚。
举个例子,美国卫生及公众服务部 (HHS) 罚了 Affinity Health Plan 100 多万美元。OCR 的调查表明,Affinity 将多台影印机还给设备租赁机构时未清除其上硬盘中所存数据,造成 344,579 人的受保护医疗健康信息未授权披露。这还是近十年前的事了。此后情况改善了多少呢?太少太少。
鉴于医院对打印机(如今还要加上影印机)的重度依赖,医疗机构不仅需要考虑维持 HIPAA 合规,还要思考这些设备给其患者带来的安全风险。
不仅仅是医疗机构,各行各业都应做好打印机安全防护。
相关阅读