长期以来,企业打印机一直是IT安全的事后考虑事项,但今年早些时候发生的PrintNightmare事件改变了这一切。PrintNightmare是微软Windows Print Spooler服务中的一个漏洞,当Windows Print Spooler服务错误地执行特权文件操作时,远程代码执行漏洞就会出现。攻击者利用该漏洞,可以将普通用户权限提升至System权限,进行一系列破坏活动。

为此,微软发布了一系列安全补丁,企业安全团队也纷纷开始评估其网络上打印机的安全性。鉴于大多数公司将长期采用混合办公模式——员工会在家中使用个人打印机,或通过远程连接到企业的打印机开展工作,在这种情况下,打印机安全评估变得尤为重要。

共享评估(Shared Assessments)北美指导委员会主席Nasser Fattah表示,过去,打印机并没有被视为安全问题,尽管它们每天都在打印一些敏感文件,并且每天都连接到企业网络上。而且,打印机还带有许多应用程序,包括Web服务器——与其他应用程序一样,这些应用程序可能具有默认密码和漏洞,以及可容纳大量敏感信息的存储空间。

此外,办公室打印机还可以连接到企业的身份存储库,以便验证用户打印和电子邮件系统,这将带来严重的安全问题,使攻击者能够访问企业网络、敏感信息和资源等。例如,攻击者可以通过打印默认密码,将打印重定向到未经授权的位置,开展攻击活动。此外,网络上易受攻击的打印机也为攻击者提供了一个切入点。

基于上述事实,企业组织需要掌握保护打印机安全的七种方法。

将打印机视为暴露在网络中的物联网设备

惠普打印网络安全首席技术专家Shivaun Albright表示,安全团队需要像对待PC、服务器和物联网(IoT)设备一样考虑打印机安全。这意味着他们需要更改默认密码并定期更新固件。Albright解释称,“太多企业组织未将打印机安全视为整体IT治理的一部分,它甚至不被视为安全流程的一部分,因此没有配备合适的人员,也没有获得适当的安全预算。”

网络安全公司Coalfire副总裁Andrew Barratt表示,企业常犯的错误是没有像对待其他数据入口和出口点一样对待打印机,尤其是在企业组织具备大型多功能设备的情况下。他指出,打印机本质上是复杂的嵌入式计算设备,其安全足迹与许多其他物联网设备相似,但它可以访问更多数据。

Barratt表示,“许多打印机都有相当大的存储设备,可以包含许多打印作业或扫描副本,而且通常没有任何加密或其他访问控制。它们通常联网,但很少经历过安全测试,在企业网络中可能有Wi-Fi连接的打印机,它们不仅可以访问企业网络,而且可以使用较低的限制就能允许更多用户访问设备。对于入侵者来说,它们是一个受欢迎的枢纽点。”

启用打印服务日志记录

日志记录是了解网络上发生事情的必要部分。事件响应软件公司BreachQuest联合创始人兼首席技术官Jake Williams表示,随着居家办公(WFH)的持续推进,建议在企业端点上启用打印服务日志记录(默认情况下禁用),以确保安全团队在WFH情况下查看打印作业。事实证明,此日志记录还能捕获新打印机的安装进程,甚至是尝试行为,并为PrintNightmare提供可靠的检测。

将打印机放在单独的VLAN上

Haystack Solutions公司CEO Doug Britton表示,企业安全团队应该将打印机放在自己的VLAN中,并在网络的其余部分设置虚拟防火墙,打印机VLAN应该被视为不受信任的网络。Britton表示,“这将在确保打印机正常运行的同时,限制其损坏能力。如果打印机被黑客入侵并开始‘监听’或试图窃取数据,这一切都能够被防火墙观察到,任何来自打印机‘协议外’的探测都将被立即检测到。”

惠普的Albright指出,超过一半的打印机可以通过常用开放端口进行访问。她建议,企业安全团队关闭所有未使用的打印机端口,禁用未使用的互联网连接,并关闭经常不用的telnet端口。Gurucul首席执行官Saryu Nayyar给出的另一个建议是,尽可能对打印机进行标准化设置,在减少IT人员工作量的同时,减少其出错的可能性。

提供更好的培训和安全意识

惠普最近的研究结果显示,自新冠肺炎疫情流行以来,约有69%的办公室工作人员使用个人笔记本电脑或个人打印机/扫描仪工作,这无疑进一步扩大了企业的攻击面。Digital Shadows战略副总裁兼CISO Rick Holland表示,安全团队必须就“在家使用打印机的风险”对员工进行培训。而且,这些打印机应该由IT部门进一步加固。

Holland 补充说:“与任何潜在入侵的成本相比,由IT维护并配备标准化具有强大安全和隐私功能的打印机,所付出的成本微不足道。企业组织应考虑消除打印法律文件和利用电子签名服务的活动。如果员工需要在家打印,务必坚守‘阅后即焚’原则,企业组织也应该考虑为敏感文件提供碎纸机。”

使用正确的工具获得网络可见性

企业安全团队对于攻击者对其网络的可见性通常认识不清。惠普的Albright表示,安全团队可以首先使用像Shodan这样的公开可用工具,来了解有多少物联网设备(包括打印机)暴露在互联网上。如果防御者不了解设备,就谈不上保护设备。

此外,企业安全团队还应该将打印机日志信息集成到安全信息和事件管理(SIEM)工具中。

不过,SIEM的好坏取决于提供给它们的信息。因此,企业安全团队应该寻找提供可靠数据的打印机管理工具。通过这种工具,企业安全分析师可以真正判断打印机是否已被用作发起攻击的入口点,或是否已授予横向移动访问权限。

执行打印机侦察和资产管理

根据ThreatModeler创始人兼CEO Archie Agarwal的说法,传统意义上,攻击打印机被视为黑客攻击中更幽默的一面:它们并不会造成损害,而是打印出有趣或挑衅的信息等。但现在的情况不同了,因为这些打印机开始连接到企业内部网络,而且企业组织通常会忘记或忽略这些潜在的门户,犯罪分子也并没有忘记它们的存在。

当这些打印机上的服务拥有可以通过远程代码执行征用的强大特权时,危险便一触即发。这就是安全团队需要对企业组织环境进行严格侦察的原因所在。企业安全团队需要清点正在侦听入站连接的内部网络所有资产,并采取必要措施来保护它们,这意味着可能需要锁定设备或定期修补它们。

利用漏洞扫描器

New Net Technologies首席技术官Mark Kedgley表示,打印机通常被视为良性设备,没有任何凭据或严重的机密数据可以公开,但情况可能不一定如此。虽然国家漏洞数据库(NVD) 报告给出的打印机漏洞,并不像其他计算平台和设备报告的漏洞那么常见,但仍然存在可能导致麻烦的问题,尤其是在今天的环境中。

Kedgley补充道,最危险的漏洞是那些可能让攻击者访问打印文档的漏洞。他指出,3月份报告的许多漏洞影响了主要用于CAD或GIS输出的Canon Oce ColorWave 500打印机。企业安全团队可以像测试其他漏洞一样,通过使用基于网络的漏洞扫描器来测试这些漏洞,不过,这些扫描器需要进行修补或强化,以缓解或修复威胁。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。