長期以來,企業打印機一直是IT安全的事后考慮事項,但今年早些時候發生的PrintNightmare事件改變了這一切。PrintNightmare是微軟Windows Print Spooler服務中的一個漏洞,當Windows Print Spooler服務錯誤地執行特權文件操作時,遠程代碼執行漏洞就會出現。攻擊者利用該漏洞,可以將普通用戶權限提升至System權限,進行一系列破壞活動。
為此,微軟發布了一系列安全補丁,企業安全團隊也紛紛開始評估其網絡上打印機的安全性。鑒于大多數公司將長期采用混合辦公模式——員工會在家中使用個人打印機,或通過遠程連接到企業的打印機開展工作,在這種情況下,打印機安全評估變得尤為重要。
共享評估(Shared Assessments)北美指導委員會主席Nasser Fattah表示,過去,打印機并沒有被視為安全問題,盡管它們每天都在打印一些敏感文件,并且每天都連接到企業網絡上。而且,打印機還帶有許多應用程序,包括Web服務器——與其他應用程序一樣,這些應用程序可能具有默認密碼和漏洞,以及可容納大量敏感信息的存儲空間。
此外,辦公室打印機還可以連接到企業的身份存儲庫,以便驗證用戶打印和電子郵件系統,這將帶來嚴重的安全問題,使攻擊者能夠訪問企業網絡、敏感信息和資源等。例如,攻擊者可以通過打印默認密碼,將打印重定向到未經授權的位置,開展攻擊活動。此外,網絡上易受攻擊的打印機也為攻擊者提供了一個切入點。
基于上述事實,企業組織需要掌握保護打印機安全的七種方法。
01
將打印機視為暴露在網絡中的物聯網設備
惠普打印網絡安全首席技術專家Shivaun Albright表示,安全團隊需要像對待PC、服務器和物聯網(IoT)設備一樣考慮打印機安全。這意味著他們需要更改默認密碼并定期更新固件。Albright解釋稱,“太多企業組織未將打印機安全視為整體IT治理的一部分,它甚至不被視為安全流程的一部分,因此沒有配備合適的人員,也沒有獲得適當的安全預算。”
網絡安全公司Coalfire副總裁Andrew Barratt表示,企業常犯的錯誤是沒有像對待其他數據入口和出口點一樣對待打印機,尤其是在企業組織具備大型多功能設備的情況下。他指出,打印機本質上是復雜的嵌入式計算設備,其安全足跡與許多其他物聯網設備相似,但它可以訪問更多數據。
Barratt表示,“許多打印機都有相當大的存儲設備,可以包含許多打印作業或掃描副本,而且通常沒有任何加密或其他訪問控制。它們通常聯網,但很少經歷過安全測試,在企業網絡中可能有Wi-Fi連接的打印機,它們不僅可以訪問企業網絡,而且可以使用較低的限制就能允許更多用戶訪問設備。對于入侵者來說,它們是一個受歡迎的樞紐點。”
02
啟用打印服務日志記錄
日志記錄是了解網絡上發生事情的必要部分。事件響應軟件公司BreachQuest聯合創始人兼首席技術官Jake Williams表示,隨著居家辦公(WFH)的持續推進,建議在企業端點上啟用打印服務日志記錄(默認情況下禁用),以確保安全團隊在WFH情況下查看打印作業。事實證明,此日志記錄還能捕獲新打印機的安裝進程,甚至是嘗試行為,并為PrintNightmare提供可靠的檢測。
03
將打印機放在單獨的VLAN上
Haystack Solutions公司CEO Doug Britton表示,企業安全團隊應該將打印機放在自己的VLAN中,并在網絡的其余部分設置虛擬防火墻,打印機VLAN應該被視為不受信任的網絡。Britton表示,“這將在確保打印機正常運行的同時,限制其損壞能力。如果打印機被黑客入侵并開始‘監聽’或試圖竊取數據,這一切都能夠被防火墻觀察到,任何來自打印機‘協議外’的探測都將被立即檢測到。”
惠普的Albright指出,超過一半的打印機可以通過常用開放端口進行訪問。她建議,企業安全團隊關閉所有未使用的打印機端口,禁用未使用的互聯網連接,并關閉經常不用的telnet端口。Gurucul首席執行官Saryu Nayyar給出的另一個建議是,盡可能對打印機進行標準化設置,在減少IT人員工作量的同時,減少其出錯的可能性。
04
提供更好的培訓和安全意識
惠普最近的研究結果顯示,自新冠肺炎疫情流行以來,約有69%的辦公室工作人員使用個人筆記本電腦或個人打印機/掃描儀工作,這無疑進一步擴大了企業的攻擊面。Digital Shadows戰略副總裁兼CISO Rick Holland表示,安全團隊必須就“在家使用打印機的風險”對員工進行培訓。而且,這些打印機應該由IT部門進一步加固。
Holland 補充說:“與任何潛在入侵的成本相比,由IT維護并配備標準化具有強大安全和隱私功能的打印機,所付出的成本微不足道。企業組織應考慮消除打印法律文件和利用電子簽名服務的活動。如果員工需要在家打印,務必堅守‘閱后即焚’原則,企業組織也應該考慮為敏感文件提供碎紙機。”
05
使用正確的工具獲得網絡可見性
企業安全團隊對于攻擊者對其網絡的可見性通常認識不清。惠普的Albright表示,安全團隊可以首先使用像Shodan這樣的公開可用工具,來了解有多少物聯網設備(包括打印機)暴露在互聯網上。如果防御者不了解設備,就談不上保護設備。
此外,企業安全團隊還應該將打印機日志信息集成到安全信息和事件管理(SIEM)工具中。
不過,SIEM的好壞取決于提供給它們的信息。因此,企業安全團隊應該尋找提供可靠數據的打印機管理工具。通過這種工具,企業安全分析師可以真正判斷打印機是否已被用作發起攻擊的入口點,或是否已授予橫向移動訪問權限。
06
執行打印機偵察和資產管理
根據ThreatModeler創始人兼CEO Archie Agarwal的說法,傳統意義上,攻擊打印機被視為黑客攻擊中更幽默的一面:它們并不會造成損害,而是打印出有趣或挑釁的信息等。但現在的情況不同了,因為這些打印機開始連接到企業內部網絡,而且企業組織通常會忘記或忽略這些潛在的門戶,犯罪分子也并沒有忘記它們的存在。
當這些打印機上的服務擁有可以通過遠程代碼執行征用的強大特權時,危險便一觸即發。這就是安全團隊需要對企業組織環境進行嚴格偵察的原因所在。企業安全團隊需要清點正在偵聽入站連接的內部網絡所有資產,并采取必要措施來保護它們,這意味著可能需要鎖定設備或定期修補它們。
07
利用漏洞掃描器
New Net Technologies首席技術官Mark Kedgley表示,打印機通常被視為良性設備,沒有任何憑據或嚴重的機密數據可以公開,但情況可能不一定如此。雖然國家漏洞數據庫(NVD) 報告給出的打印機漏洞,并不像其他計算平臺和設備報告的漏洞那么常見,但仍然存在可能導致麻煩的問題,尤其是在今天的環境中。
Kedgley補充道,最危險的漏洞是那些可能讓攻擊者訪問打印文檔的漏洞。他指出,3月份報告的許多漏洞影響了主要用于CAD或GIS輸出的Canon Oce ColorWave 500打印機。企業安全團隊可以像測試其他漏洞一樣,通過使用基于網絡的漏洞掃描器來測試這些漏洞,不過,這些掃描器需要進行修補或強化,以緩解或修復威脅。
