最近，美國darkreading網(wǎng)站上發(fā)表了文章《鎖定企業(yè)打印機(jī)的 7 種方法》(作者史蒂夫朱里爾)。

現(xiàn)在此對該文章作部分摘譯，以供讀者參考。

繼 PrintNightmare 事件后，打印機(jī)安全成為安全團(tuán)隊的熱點問題。以下是在企業(yè)網(wǎng)絡(luò)上保護(hù)打印機(jī)安全的七種方法。

企業(yè)打印機(jī)長期以來一直是 IT 安全的事后考慮，但今年早些時候 PrintNightmare 改變了這一切，這是微軟 Windows 打印后臺處理程序服務(wù)中的一個缺陷，可在遠(yuǎn)程代碼執(zhí)行攻擊中被利用。

因此，微軟發(fā)布了一系列補丁——企業(yè)安全團(tuán)隊開始評估其網(wǎng)絡(luò)上打印機(jī)的安全性。鑒于大多數(shù)公司將繼續(xù)作為混合工作場所運營，員工在家中使用個人打印機(jī)以及遠(yuǎn)程連接到工作中的打印機(jī)，所以這一點尤為重要。

共享評估北美指導(dǎo)委員會主席 Nasser Fattah 表示：“打印機(jī)過去并沒有被視為安全問題，盡管它們每天打印一些我們最敏感的數(shù)據(jù)并且整天都連接到我們的網(wǎng)絡(luò)。”他指出，打印機(jī)帶有許多應(yīng)用程序，包括 Web 服務(wù)器——與任何其他應(yīng)用程序一樣，這些應(yīng)用程序可能具有默認(rèn)密碼和漏洞——以及可容納大量敏感信息的相當(dāng)大的存儲空間。

“此外，辦公室打印機(jī)連接到公司的身份存儲庫，以便用戶驗證打印和電子郵件系統(tǒng)向用戶提供打印狀態(tài)，”Fattah 說，“因此，打印機(jī)會帶來嚴(yán)重的安全問題，使攻擊者能夠訪問公司網(wǎng)絡(luò)、敏感信息和資源。例如，攻擊者可以通過打印默認(rèn)密碼將打印重定向到未經(jīng)授權(quán)的位置。此外，網(wǎng)絡(luò)上易受攻擊的打印機(jī)為攻擊者提供了一個切入點。”

鑒于這些現(xiàn)實，我們向行業(yè)專家詢問了有關(guān)如何幫助安全團(tuán)隊在企業(yè)網(wǎng)絡(luò)上鎖定打印機(jī)的提示。

將打印機(jī)視為暴露在網(wǎng)絡(luò)中的物聯(lián)網(wǎng)設(shè)備

惠普打印網(wǎng)絡(luò)安全首席技術(shù)專家奧爾布賴特（Shivaun Albright）表示，安全團(tuán)隊需要像對待 PC、服務(wù)器和物聯(lián)網(wǎng) (IoT) 設(shè)備一樣考慮打印機(jī)安全。這意味著他們需要更改默認(rèn)密碼并定期更新固件。

“有太多組織未將打印機(jī)安全視為整體 IT 治理標(biāo)準(zhǔn)的一部分，”奧爾布賴特說，“它通常不被視為安全流程的一部分，因此沒有得到適當(dāng)?shù)念A(yù)算和人員配備”。

Coalfire 技術(shù)和企業(yè)副總裁安德魯·巴拉特 (Andrew Barratt) 表示，企業(yè)常犯的錯誤是沒有像對待任何其他數(shù)據(jù)入口和出口點那樣對待打印機(jī)，尤其是在大型多功能設(shè)備的情況下。他指出，打印機(jī)本質(zhì)上是復(fù)雜的嵌入式計算設(shè)備，其安全足跡與許多其他物聯(lián)網(wǎng)設(shè)備相似，但可以訪問更多數(shù)據(jù)。

“許多打印機(jī)都有相當(dāng)大的存儲設(shè)備，可以包含許多打印作業(yè)或掃描副本，而且通常沒有任何加密或其他訪問控制，”巴拉特說，“它們是網(wǎng)絡(luò)連接的，通常很少接觸安全測試，并且經(jīng)常是大型組織攻擊中被遺忘的部分?！?/p>

（圖片來源：darkreading網(wǎng)站）

啟用打印服務(wù)日志記錄

日志記錄是了解網(wǎng)絡(luò)上發(fā)生的事情的必要部分。BreachQuest 的聯(lián)合創(chuàng)始人兼首席技術(shù)官 Jake Williams 表示，打印服務(wù)日志可以為安全團(tuán)隊提供有關(guān)連接到網(wǎng)絡(luò)的所有打印機(jī)的大量有價值的信息——在 PrintNightmare 之前，企業(yè)安全團(tuán)隊并沒有太多關(guān)注這一領(lǐng)域。

他說：“隨著在家工作的開始，我確實建議啟用企業(yè)端點上的打印服務(wù)日志記錄[默認(rèn)情況下禁用]，以確保安全團(tuán)隊在WFH情況下看到發(fā)送到USB連接打印機(jī)的打印作業(yè)，這些打印作業(yè)繞過打印服務(wù)器，而打印服務(wù)器通常進(jìn)行日志記錄。事實證明，此日志記錄還捕獲了新打印機(jī)的安裝——甚至是嘗試——并為 PrintNightmare 提供了可靠的檢測?！?/p>

（圖片來源：darkreading網(wǎng)站）

將打印機(jī)放在單獨的 VLAN 上

Haystack Solutions 的首席執(zhí)行官布里頓（ Doug Britton ）表示，安全團(tuán)隊?wèi)?yīng)該將打印機(jī)放在他們自己的 VLAN 中，并在網(wǎng)絡(luò)的其余部分之間設(shè)置一個虛擬防火墻。他說，打印機(jī) VLAN 應(yīng)該被視為不受信任的網(wǎng)絡(luò)。

“這將使打印機(jī)正常運行，同時限制它們造成損壞的能力，假設(shè)它們已受到損害，”布里頓說，“如果打印機(jī)被黑客入侵并開始‘監(jiān)聽’或試圖竊取數(shù)據(jù)，他們將不得不通過防火墻進(jìn)行，這將是可觀察到的。來自打印機(jī)的任何‘協(xié)議外’探測都將被立即檢測到.”

惠普的奧爾布賴特還指出，超過一半 (56%) 的打印機(jī)可以通過可能被黑客入侵的常用開放打印機(jī)端口訪問。她建議，安全團(tuán)隊?wèi)?yīng)該關(guān)閉所有未使用的打印機(jī)端口，禁用未使用的互聯(lián)網(wǎng)連接，并關(guān)閉目前經(jīng)常未使用的 telnet 端口。

Gurucul 首席執(zhí)行官 Saryu Nayyar 的另一個提示是：“組織中的打印機(jī)通常沒有標(biāo)準(zhǔn)化。IT 人員可能必須定期檢查多個型號以獲取安全更新。盡可能對打印機(jī)進(jìn)行標(biāo)準(zhǔn)化可以減少 IT 人員的工作量并減少出錯的可能性?！?/p>

（圖片來源：darkreading網(wǎng)站）

提供更好的培訓(xùn)和安全意識

根據(jù)惠普最近的研究，自疫情開始以來，約有 69% 的辦公室工作人員使用他們的個人筆記本電腦或個人打印機(jī)/掃描儀進(jìn)行工作活動，這使他們的公司面臨攻擊。

Digital Shadows 戰(zhàn)略副總裁兼首席信息安全官 Rick Holland 表示，安全團(tuán)隊必須就在家使用打印機(jī)的風(fēng)險對員工進(jìn)行培訓(xùn)。這些打印機(jī)應(yīng)該由他們的 IT 部門加固。Holland 補充說，打印機(jī)并不昂貴：公司應(yīng)該標(biāo)準(zhǔn)化具有強(qiáng)大安全和隱私功能的打印機(jī)，并將其提供給必須遠(yuǎn)程打印的員工。

“與潛在入侵的成本相比，由 IT 維護(hù)并配備適當(dāng)安全控制的 300 美元打印機(jī)根本不算什么，”Holland 說，“公司還應(yīng)考慮消除打印法律文件和利用 [電子簽名] 服務(wù)的需要。如果員工需要在家打印，公司應(yīng)該考慮為敏感文件提供橫切碎紙機(jī)。”

（圖片來源：darkreading網(wǎng)站）

使用正確的工具獲得網(wǎng)絡(luò)可見性

企業(yè)安全團(tuán)隊并不總是意識到攻擊者可以看到多少他們的網(wǎng)絡(luò)?；萜盏膴W爾布賴特表示，安全團(tuán)隊可以首先使用像 Shodan 這樣的公開工具來發(fā)現(xiàn)有多少物聯(lián)網(wǎng)設(shè)備（包括打印機(jī)）暴露在互聯(lián)網(wǎng)上。

如果防御者不了解設(shè)備，也很難保護(hù)設(shè)備。她說，安全專家還應(yīng)該將打印機(jī)日志信息集成到安全信息和事件管理 (SIEM) 工具中。

然而，SIEM 的好壞取決于提供給他們的信息，奧爾布賴特說，因此安全團(tuán)隊?wèi)?yīng)該尋找提供可靠數(shù)據(jù)的打印機(jī)管理工具。通過這種方式，安全分析師可以真正判斷打印機(jī)是否已被用作發(fā)起攻擊的入口點或已授予橫向移動訪問權(quán)限。

（圖片來源：darkreading網(wǎng)站）

執(zhí)行打印機(jī)偵察和資產(chǎn)管理

根據(jù) ThreatModeler 的創(chuàng)始人兼首席執(zhí)行官 Archie Agarwal 的說法，攻擊打印機(jī)傳統(tǒng)上被視為黑客攻擊中更幽默的一面：它們相當(dāng)無害，例如打印出有趣或挑釁的信息。但現(xiàn)在情況不再如此，他說，因為這些相同的打印機(jī)連接到私有的公司內(nèi)部網(wǎng)絡(luò)，始終偵聽來自外部世界的連接。通常，公司會忘記或忽略這些潛在的門戶。

“正如我們最近看到的那樣，犯罪分子并沒有忘記，當(dāng)這些打印機(jī)上的服務(wù)擁有可以通過遠(yuǎn)程代碼執(zhí)行征用的強(qiáng)大特權(quán)時，我們就會遇到令人興奮和危險的組合，”Agarwal 說。

這就是為什么他說安全團(tuán)隊需要對他們自己的環(huán)境進(jìn)行嚴(yán)格的偵察。他們需要清點連接到正在偵聽入站連接的內(nèi)部網(wǎng)絡(luò)的所有資產(chǎn)，并采取必要的措施來保護(hù)它們。這可能意味著鎖定設(shè)備或定期修補它們。

“如果他們不進(jìn)行這種偵察，犯罪分子就會為他們進(jìn)行偵察，而最終結(jié)果可能并非無害?！盇garwal說。

（圖片來源：darkreading網(wǎng)站）

利用漏洞掃描器

New Net Technologies的首席技術(shù)官 Mark Kedgley 說，打印機(jī)通常被視為良性設(shè)備，沒有任何憑據(jù)或嚴(yán)重的機(jī)密數(shù)據(jù)可以公開，但情況可能不一定如此。 誠然，國家漏洞數(shù)據(jù)庫 (NVD) 報告并給出通用漏洞枚舉 (CVE) 的打印機(jī)漏洞并不像其他計算平臺和設(shè)備報告的漏洞那么常見，但仍然存在可能導(dǎo)致問題的問題，尤其是在今天的環(huán)境中。

Kedgley 說，最重要的漏洞是那些可能讓攻擊者訪問打印文檔的漏洞。他指出，3 月份報告的許多漏洞影響了主要用于 CAD 或 GIS 輸出的 Canon Oce ColorWave 500 打印機(jī)。他說，企業(yè)安全團(tuán)隊可以像測試其他任何漏洞一樣測試這些漏洞，他說，通過使用基于網(wǎng)絡(luò)的漏洞掃描器以及緩解或修復(fù)威脅所需的補丁或配置強(qiáng)化。

（圖片來源：darkreading網(wǎng)站）

背景補充

2021年6月8日，微軟官方修復(fù)了一個存在于打印機(jī)服務(wù)Windows Print Spooler中的高危漏洞(CVE-2021-1675)。利用該漏洞，攻擊者可以將普通用戶權(quán)限提升至System權(quán)限。然而在安全研究人員對其安全補丁驗證的過程中，又發(fā)現(xiàn)了另一處比較嚴(yán)重的遠(yuǎn)程攻擊漏洞（CVE-2021-34527，代號"PrintNightmare"）。利用此漏洞，攻擊者可以直接在域環(huán)境中攻擊域控服務(wù)器，拿下整個域控，或是在工作組環(huán)境中肆意漫游，影響所有Windows版本中的Windows Print Spooler，包括安裝在個人計算機(jī)、企業(yè)網(wǎng)絡(luò)、Windows服務(wù)器和域控制器上的版本。7月6-7日，微軟連續(xù)發(fā)布o(jì)ut of band補丁來修復(fù)該漏洞。

（來源：darkreading。本文參考內(nèi)容均來源于網(wǎng)絡(luò)，僅供讀者了解和掌握相關(guān)情況參考，不用于任何商業(yè)用途。侵刪）