繼 PrintNightmare 事件后,打印機安全成為安全團隊的熱點問題,。以下是在企業(yè)網(wǎng)絡上保護打印機安全的七種方法。
企業(yè)打印機長期以來一直是 IT 安全的事后考慮,,但今年早些時候 PrintNightmare 改變了這一切,,這是微軟 Windows 打印后臺處理程序服務中的一個缺陷,可在遠程代碼執(zhí)行攻擊中被利用,。
因此,,微軟發(fā)布了一系列補丁——企業(yè)安全團隊開始評估其網(wǎng)絡上打印機的安全性。鑒于大多數(shù)公司將繼續(xù)作為混合工作場所運營,,員工在家中使用個人打印機以及遠程連接到工作中的打印機,,所以這一點尤為重要。
共享評估北美指導委員會主席 Nasser Fattah 表示:“打印機過去并沒有被視為安全問題,,盡管它們每天打印一些我們最敏感的數(shù)據(jù)并且整天都連接到我們的網(wǎng)絡,。”他指出,,打印機帶有許多應用程序,,包括 Web 服務器——與任何其他應用程序一樣,這些應用程序可能具有默認密碼和漏洞——以及可容納大量敏感信息的相當大的存儲空間,。
“此外,,辦公室打印機連接到公司的身份存儲庫,以便用戶驗證打印和電子郵件系統(tǒng)向用戶提供打印狀態(tài),,”Fattah 說,,“因此,打印機會帶來嚴重的安全問題,,使攻擊者能夠訪問公司網(wǎng)絡,、敏感信息和資源。例如,,攻擊者可以通過打印默認密碼將打印重定向到未經(jīng)授權(quán)的位置,。此外,網(wǎng)絡上易受攻擊的打印機為攻擊者提供了一個切入點,?!?/p>
鑒于這些現(xiàn)實,我們向行業(yè)專家詢問了有關(guān)如何幫助安全團隊在企業(yè)網(wǎng)絡上鎖住打印機的提示,。
將打印機視為暴露在網(wǎng)絡中的物聯(lián)網(wǎng)設備
惠普打印網(wǎng)絡安全首席技術(shù)專家奧爾布賴特(Shivaun Albright)表示,,安全團隊需要像對待 PC、服務器和物聯(lián)網(wǎng) (IoT) 設備一樣考慮打印機安全,。這意味著他們需要更改默認密碼并定期更新固件,。
“有太多組織未將打印機安全視為整體 IT 治理標準的一部分,”奧爾布賴特說,,“它通常不被視為安全流程的一部分,,因此沒有得到適當?shù)念A算和人員配備”,。
Coalfire 技術(shù)和企業(yè)副總裁安德魯·巴拉特 (Andrew Barratt) 表示,企業(yè)常犯的錯誤是沒有像對待任何其他數(shù)據(jù)入口和出口點那樣對待打印機,,尤其是在大型多功能設備的情況下。他指出,,打印機本質(zhì)上是復雜的嵌入式計算設備,,其安全足跡與許多其他物聯(lián)網(wǎng)設備相似,但可以訪問更多數(shù)據(jù),。
“許多打印機都有相當大的存儲設備,,可以包含許多打印作業(yè)或掃描副本,而且通常沒有任何加密或其他訪問控制,,”巴拉特說,,“它們是網(wǎng)絡連接的,通常很少接觸安全測試,,并且經(jīng)常是大型組織攻擊中被遺忘的部分,。”
啟用打印服務日志記錄
日志記錄是了解網(wǎng)絡上發(fā)生的事情的必要部分,。BreachQuest 的聯(lián)合創(chuàng)始人兼首席技術(shù)官 Jake Williams 表示,,打印服務日志可以為安全團隊提供有關(guān)連接到網(wǎng)絡的所有打印機的大量有價值的信息——在 PrintNightmare 之前,企業(yè)安全團隊并沒有太多關(guān)注這一領域,。
他說:“隨著居家工作的開始,,我建議啟用企業(yè)端點上的打印服務日志記錄[默認情況下禁用],以確保安全團隊在WFH情況下看到發(fā)送到USB連接打印機的打印作業(yè),,這些打印作業(yè)繞過打印服務器,,而打印服務器通常進行日志記錄。事實證明,,此日志記錄還捕獲了新打印機的安裝——甚至是嘗試——并為 PrintNightmare 提供了可靠的檢測,。”
將打印機放在單獨的 VLAN 上
Haystack Solutions 的首席執(zhí)行官布里頓(Doug Britton)表示,,安全團隊應該將打印機放在他們自己的 VLAN 中,,并在網(wǎng)絡的其余部分之間設置一個虛擬防火墻。他說,,打印機 VLAN 應該被視為不受信任的網(wǎng)絡,。
“這將使打印機正常運行,同時限制它們造成損壞的能力,,假設它們已受到損害,。”布里頓說,,“如果打印機被黑客入侵并開始‘監(jiān)聽’或試圖竊取數(shù)據(jù),,他們將不得不通過防火墻進行,這將是可觀察到的。來自打印機的任何‘協(xié)議外’探測都將被立即檢測到,?!?/p>
惠普的奧爾布賴特還指出,超過一半 (56%) 的打印機可以通過可能被黑客入侵的常用開放打印機端口訪問,。她建議,,安全團隊應該關(guān)閉所有未使用的打印機端口,禁用未使用的互聯(lián)網(wǎng)連接,,并關(guān)閉目前經(jīng)常未使用的 telnet 端口,。
Gurucul 首席執(zhí)行官 Saryu Nayyar 的另一個提示是:“組織中的打印機通常沒有標準化。IT 人員必須定期檢查多個型號以獲取安全更新,。盡可能對打印機進行標準化可以減少 IT 人員的工作量并減少出錯的可能性,。”
提供更好的培訓和安全意識
根據(jù)惠普最近的研究,,自疫情開始以來,,約有 69% 的辦公室工作人員使用他們的個人筆記本電腦或個人打印機/掃描儀進行工作活動,這使他們的公司面臨攻擊,。
Digital Shadows 戰(zhàn)略副總裁兼首席信息安全官 Rick Holland 表示,,安全團隊必須就在家使用打印機的風險對員工進行培訓。這些打印機應該由他們的 IT 部門加強,。Holland 補充說,,打印機并不昂貴,公司應該標準化具有強大安全和隱私功能的打印機,,并將其提供給必須遠程打印的員工,。
“與潛在入侵的成本相比,由 IT 維護并配備適當安全控制的 300 美元打印機根本不算什么,,”Holland 說,,“公司還應考慮消除打印法律文件和利用 [電子簽名] 服務的需要。如果員工需要在家打印,,公司應該考慮為敏感文件提供橫切碎紙機,。”
使用正確的工具獲得網(wǎng)絡可見性
企業(yè)安全團隊并不總是意識到攻擊者可以看到多少他們的網(wǎng)絡,?;萜盏膴W爾布賴特表示,安全團隊可以首先使用像 Shodan 這樣的公開工具來發(fā)現(xiàn)有多少物聯(lián)網(wǎng)設備(包括打印機)暴露在互聯(lián)網(wǎng)上,。
如果防御者不了解設備,,也很難保護設備。她說,,安全專家還應該將打印機日志信息集成到安全信息和事件管理 (SIEM) 工具中,。
然而,,SIEM 的好壞取決于提供給它們的信息。奧爾布賴特說,,因此安全團隊應該尋找提供可靠數(shù)據(jù)的打印機管理工具,。通過這種方式,安全分析師可以真正判斷打印機是否已被用作發(fā)起攻擊的入口點或授予橫向移動訪問權(quán)限,。
執(zhí)行打印機偵察和資產(chǎn)管理
根據(jù) ThreatModeler 的創(chuàng)始人兼首席執(zhí)行官 Archie Agarwal 的說法,,攻擊打印機傳統(tǒng)上被視為黑客攻擊中更幽默的一面:它們相當無害,例如打印出有趣或挑釁的信息,。但現(xiàn)在情況不再如此,他說,,因為這些相同的打印機連接到私有的公司內(nèi)部網(wǎng)絡,,始終偵聽來自外部世界的連接。通常,,公司會忘記或忽略這些潛在的門戶,。
“正如我們最近看到的那樣,犯罪分子并沒有忘記,,當這些打印機上的服務擁有可以通過遠程代碼執(zhí)行征用的強大特權(quán)時,,我們就會遇到令人興奮和危險的組合?!盇garwal 說,。
這就是為什么他說安全團隊需要對他們自己的環(huán)境進行嚴格的偵察。他們需要清點連接到正在偵聽入站連接的內(nèi)部網(wǎng)絡的所有資產(chǎn),,并采取必要的措施來保護它們,。這可能意味著鎖定設備或定期修補它們。
“如果他們不進行這種偵察,,犯罪分子就會為他們進行偵察,,而最終結(jié)果可能并非無害?!盇garwal說,。
利用漏洞掃描器
New Net Technologies的首席技術(shù)官 Mark Kedgley 說,打印機通常被視為良性設備,,沒有任何憑據(jù)或嚴重的機密數(shù)據(jù)可以公開,,但情況可能不一定如此。誠然,,國家漏洞數(shù)據(jù)庫 (NVD) 報告并給出通用漏洞披露 (CVE) 的打印機漏洞并不像其他計算平臺和設備報告的漏洞那么常見,,但仍然存在可能導致麻煩的問題,尤其是在今天的環(huán)境中,。
Kedgley 說,,最重要的漏洞是那些可能讓攻擊者訪問打印文檔的漏洞,。他指出,3 月份報告的許多漏洞影響了主要用于 CAD 或 GIS 輸出的 Canon Oce ColorWave 500 打印機,。他說,,企業(yè)安全團隊可以像測試其他漏洞一樣,通過使用基于網(wǎng)絡的漏洞掃描器來測試這些漏洞,,該掃描器需要進行修補或配置強化,,以緩解或修復威脅。
背景補充
2021年6月8日,,微軟官方修復了一個存在于打印機服務Windows Print Spooler中的高危漏洞(CVE-2021-1675),。利用該漏洞,攻擊者可以將普通用戶權(quán)限提升至System權(quán)限,。然而在安全研究人員對其安全補丁驗證的過程中,,又發(fā)現(xiàn)了另一處比較嚴重的遠程攻擊漏洞(CVE-2021-34527,代號“PrintNightmare”),。利用此漏洞,,攻擊者可以直接在域環(huán)境中攻擊域控服務器,拿下整個域控,,或是在工作組環(huán)境中肆意漫游,,影響所有Windows版本中的Windows Print Spooler,包括安裝在個人計算機,、企業(yè)網(wǎng)絡,、Windows服務器和域控制器上的版本。7月6日至7日,,微軟連續(xù)發(fā)布out of band補丁來修復該漏洞,。