長期以來,企業(yè)打印機(jī)一直是IT安全的事后考慮事項,但今年早些時候發(fā)生的PrintNightmare事件改變了這一切。PrintNightmare是微軟Windows Print Spooler服務(wù)中的一個漏洞,當(dāng)Windows Print Spooler服務(wù)錯誤地執(zhí)行特權(quán)文件操作時,遠(yuǎn)程代碼執(zhí)行漏洞就會出現(xiàn)。攻擊者利用該漏洞,可以將普通用戶權(quán)限提升至System權(quán)限,進(jìn)行一系列破壞活動。
為此,微軟發(fā)布了一系列安全補(bǔ)丁,企業(yè)安全團(tuán)隊也紛紛開始評估其網(wǎng)絡(luò)上打印機(jī)的安全性。鑒于大多數(shù)公司將長期采用混合辦公模式——員工會在家中使用個人打印機(jī),或通過遠(yuǎn)程連接到企業(yè)的打印機(jī)開展工作,在這種情況下,打印機(jī)安全評估變得尤為重要。
共享評估(Shared Assessments)北美指導(dǎo)委員會主席Nasser Fattah表示,過去,打印機(jī)并沒有被視為安全問題,盡管它們每天都在打印一些敏感文件,并且每天都連接到企業(yè)網(wǎng)絡(luò)上。而且,打印機(jī)還帶有許多應(yīng)用程序,包括Web服務(wù)器——與其他應(yīng)用程序一樣,這些應(yīng)用程序可能具有默認(rèn)密碼和漏洞,以及可容納大量敏感信息的存儲空間。
此外,辦公室打印機(jī)還可以連接到企業(yè)的身份存儲庫,以便驗證用戶打印和電子郵件系統(tǒng),這將帶來嚴(yán)重的安全問題,使攻擊者能夠訪問企業(yè)網(wǎng)絡(luò)、敏感信息和資源等。例如,攻擊者可以通過打印默認(rèn)密碼,將打印重定向到未經(jīng)授權(quán)的位置,開展攻擊活動。此外,網(wǎng)絡(luò)上易受攻擊的打印機(jī)也為攻擊者提供了一個切入點。
基于上述事實,企業(yè)組織需要掌握保護(hù)打印機(jī)安全的七種方法。
01
將打印機(jī)視為暴露在網(wǎng)絡(luò)中的物聯(lián)網(wǎng)設(shè)備
惠普打印網(wǎng)絡(luò)安全首席技術(shù)專家Shivaun Albright表示,安全團(tuán)隊需要像對待PC、服務(wù)器和物聯(lián)網(wǎng)(IoT)設(shè)備一樣考慮打印機(jī)安全。這意味著他們需要更改默認(rèn)密碼并定期更新固件。Albright解釋稱,“太多企業(yè)組織未將打印機(jī)安全視為整體IT治理的一部分,它甚至不被視為安全流程的一部分,因此沒有配備合適的人員,也沒有獲得適當(dāng)?shù)陌踩A(yù)算。”
網(wǎng)絡(luò)安全公司Coalfire副總裁Andrew Barratt表示,企業(yè)常犯的錯誤是沒有像對待其他數(shù)據(jù)入口和出口點一樣對待打印機(jī),尤其是在企業(yè)組織具備大型多功能設(shè)備的情況下。他指出,打印機(jī)本質(zhì)上是復(fù)雜的嵌入式計算設(shè)備,其安全足跡與許多其他物聯(lián)網(wǎng)設(shè)備相似,但它可以訪問更多數(shù)據(jù)。
Barratt表示,“許多打印機(jī)都有相當(dāng)大的存儲設(shè)備,可以包含許多打印作業(yè)或掃描副本,而且通常沒有任何加密或其他訪問控制。它們通常聯(lián)網(wǎng),但很少經(jīng)歷過安全測試,在企業(yè)網(wǎng)絡(luò)中可能有Wi-Fi連接的打印機(jī),它們不僅可以訪問企業(yè)網(wǎng)絡(luò),而且可以使用較低的限制就能允許更多用戶訪問設(shè)備。對于入侵者來說,它們是一個受歡迎的樞紐點。”
02
啟用打印服務(wù)日志記錄
日志記錄是了解網(wǎng)絡(luò)上發(fā)生事情的必要部分。事件響應(yīng)軟件公司BreachQuest聯(lián)合創(chuàng)始人兼首席技術(shù)官Jake Williams表示,隨著居家辦公(WFH)的持續(xù)推進(jìn),建議在企業(yè)端點上啟用打印服務(wù)日志記錄(默認(rèn)情況下禁用),以確保安全團(tuán)隊在WFH情況下查看打印作業(yè)。事實證明,此日志記錄還能捕獲新打印機(jī)的安裝進(jìn)程,甚至是嘗試行為,并為PrintNightmare提供可靠的檢測。
03
將打印機(jī)放在單獨的VLAN上
Haystack Solutions公司CEO Doug Britton表示,企業(yè)安全團(tuán)隊?wèi)?yīng)該將打印機(jī)放在自己的VLAN中,并在網(wǎng)絡(luò)的其余部分設(shè)置虛擬防火墻,打印機(jī)VLAN應(yīng)該被視為不受信任的網(wǎng)絡(luò)。Britton表示,“這將在確保打印機(jī)正常運(yùn)行的同時,限制其損壞能力。如果打印機(jī)被黑客入侵并開始‘監(jiān)聽’或試圖竊取數(shù)據(jù),這一切都能夠被防火墻觀察到,任何來自打印機(jī)‘協(xié)議外’的探測都將被立即檢測到。”
惠普的Albright指出,超過一半的打印機(jī)可以通過常用開放端口進(jìn)行訪問。她建議,企業(yè)安全團(tuán)隊關(guān)閉所有未使用的打印機(jī)端口,禁用未使用的互聯(lián)網(wǎng)連接,并關(guān)閉經(jīng)常不用的telnet端口。Gurucul首席執(zhí)行官Saryu Nayyar給出的另一個建議是,盡可能對打印機(jī)進(jìn)行標(biāo)準(zhǔn)化設(shè)置,在減少IT人員工作量的同時,減少其出錯的可能性。
04
提供更好的培訓(xùn)和安全意識
惠普最近的研究結(jié)果顯示,自新冠肺炎疫情流行以來,約有69%的辦公室工作人員使用個人筆記本電腦或個人打印機(jī)/掃描儀工作,這無疑進(jìn)一步擴(kuò)大了企業(yè)的攻擊面。Digital Shadows戰(zhàn)略副總裁兼CISO Rick Holland表示,安全團(tuán)隊必須就“在家使用打印機(jī)的風(fēng)險”對員工進(jìn)行培訓(xùn)。而且,這些打印機(jī)應(yīng)該由IT部門進(jìn)一步加固。
Holland補(bǔ)充說:“與任何潛在入侵的成本相比,由IT維護(hù)并配備標(biāo)準(zhǔn)化具有強(qiáng)大安全和隱私功能的打印機(jī),所付出的成本微不足道。企業(yè)組織應(yīng)考慮消除打印法律文件和利用電子簽名服務(wù)的活動。如果員工需要在家打印,務(wù)必堅守‘閱后即焚’原則,企業(yè)組織也應(yīng)該考慮為敏感文件提供碎紙機(jī)。”
05
使用正確的工具獲得網(wǎng)絡(luò)可見性
企業(yè)安全團(tuán)隊對于攻擊者對其網(wǎng)絡(luò)的可見性通常認(rèn)識不清?;萜盏腁lbright表示,安全團(tuán)隊可以首先使用像Shodan這樣的公開可用工具,來了解有多少物聯(lián)網(wǎng)設(shè)備(包括打印機(jī))暴露在互聯(lián)網(wǎng)上。如果防御者不了解設(shè)備,就談不上保護(hù)設(shè)備。
此外,企業(yè)安全團(tuán)隊還應(yīng)該將打印機(jī)日志信息集成到安全信息和事件管理(SIEM)工具中。
不過,SIEM的好壞取決于提供給它們的信息。因此,企業(yè)安全團(tuán)隊?wèi)?yīng)該尋找提供可靠數(shù)據(jù)的打印機(jī)管理工具。通過這種工具,企業(yè)安全分析師可以真正判斷打印機(jī)是否已被用作發(fā)起攻擊的入口點,或是否已授予橫向移動訪問權(quán)限。
06
執(zhí)行打印機(jī)偵察和資產(chǎn)管理
根據(jù)ThreatModeler創(chuàng)始人兼CEO Archie Agarwal的說法,傳統(tǒng)意義上,攻擊打印機(jī)被視為黑客攻擊中更幽默的一面:它們并不會造成損害,而是打印出有趣或挑釁的信息等。但現(xiàn)在的情況不同了,因為這些打印機(jī)開始連接到企業(yè)內(nèi)部網(wǎng)絡(luò),而且企業(yè)組織通常會忘記或忽略這些潛在的門戶,犯罪分子也并沒有忘記它們的存在。
當(dāng)這些打印機(jī)上的服務(wù)擁有可以通過遠(yuǎn)程代碼執(zhí)行征用的強(qiáng)大特權(quán)時,危險便一觸即發(fā)。這就是安全團(tuán)隊需要對企業(yè)組織環(huán)境進(jìn)行嚴(yán)格偵察的原因所在。企業(yè)安全團(tuán)隊需要清點正在偵聽入站連接的內(nèi)部網(wǎng)絡(luò)所有資產(chǎn),并采取必要措施來保護(hù)它們,這意味著可能需要鎖定設(shè)備或定期修補(bǔ)它們。
07
利用漏洞掃描器
New Net Technologies首席技術(shù)官Mark Kedgley表示,打印機(jī)通常被視為良性設(shè)備,沒有任何憑據(jù)或嚴(yán)重的機(jī)密數(shù)據(jù)可以公開,但情況可能不一定如此。雖然國家漏洞數(shù)據(jù)庫(NVD)報告給出的打印機(jī)漏洞,并不像其他計算平臺和設(shè)備報告的漏洞那么常見,但仍然存在可能導(dǎo)致麻煩的問題,尤其是在今天的環(huán)境中。
Kedgley補(bǔ)充道,最危險的漏洞是那些可能讓攻擊者訪問打印文檔的漏洞。他指出,3月份報告的許多漏洞影響了主要用于CAD或GIS輸出的Canon Oce ColorWave 500打印機(jī)。企業(yè)安全團(tuán)隊可以像測試其他漏洞一樣,通過使用基于網(wǎng)絡(luò)的漏洞掃描器來測試這些漏洞,不過,這些掃描器需要進(jìn)行修補(bǔ)或強(qiáng)化,以緩解或修復(fù)威脅。