繼 PrintNightmare 事件后,打印機安全成為安全團隊的熱點問題。以下是在企業網絡上保護打印機安全的七種方法。
企業打印機長期以來一直是 IT 安全的事后考慮,但今年早些時候 PrintNightmare 改變了這一切,這是微軟 Windows 打印后臺處理程序服務中的一個缺陷,可在遠程代碼執行攻擊中被利用。
因此,微軟發布了一系列補丁——企業安全團隊開始評估其網絡上打印機的安全性。鑒于大多數公司將繼續作為混合工作場所運營,員工在家中使用個人打印機以及遠程連接到工作中的打印機,所以這一點尤為重要。
共享評估北美指導委員會主席 Nasser Fattah 表示:“打印機過去并沒有被視為安全問題,盡管它們每天打印一些我們最敏感的數據并且整天都連接到我們的網絡。”他指出,打印機帶有許多應用程序,包括 Web 服務器——與任何其他應用程序一樣,這些應用程序可能具有默認密碼和漏洞——以及可容納大量敏感信息的相當大的存儲空間。
“此外,辦公室打印機連接到公司的身份存儲庫,以便用戶驗證打印和電子郵件系統向用戶提供打印狀態,”Fattah 說,“因此,打印機會帶來嚴重的安全問題,使攻擊者能夠訪問公司網絡、敏感信息和資源。例如,攻擊者可以通過打印默認密碼將打印重定向到未經授權的位置。此外,網絡上易受攻擊的打印機為攻擊者提供了一個切入點。”
鑒于這些現實,我們向行業專家詢問了有關如何幫助安全團隊在企業網絡上鎖住打印機的提示。
將打印機視為暴露在網絡中的物聯網設備
惠普打印網絡安全首席技術專家奧爾布賴特(Shivaun Albright)表示,安全團隊需要像對待 PC、服務器和物聯網 (IoT) 設備一樣考慮打印機安全。這意味著他們需要更改默認密碼并定期更新固件。
“有太多組織未將打印機安全視為整體 IT 治理標準的一部分,”奧爾布賴特說,“它通常不被視為安全流程的一部分,因此沒有得到適當的預算和人員配備”。
Coalfire 技術和企業副總裁安德魯·巴拉特 (Andrew Barratt) 表示,企業常犯的錯誤是沒有像對待任何其他數據入口和出口點那樣對待打印機,尤其是在大型多功能設備的情況下。他指出,打印機本質上是復雜的嵌入式計算設備,其安全足跡與許多其他物聯網設備相似,但可以訪問更多數據。
“許多打印機都有相當大的存儲設備,可以包含許多打印作業或掃描副本,而且通常沒有任何加密或其他訪問控制,”巴拉特說,“它們是網絡連接的,通常很少接觸安全測試,并且經常是大型組織攻擊中被遺忘的部分。”
啟用打印服務日志記錄
日志記錄是了解網絡上發生的事情的必要部分。BreachQuest 的聯合創始人兼首席技術官 Jake Williams 表示,打印服務日志可以為安全團隊提供有關連接到網絡的所有打印機的大量有價值的信息——在 PrintNightmare 之前,企業安全團隊并沒有太多關注這一領域。
他說:“隨著居家工作的開始,我建議啟用企業端點上的打印服務日志記錄[默認情況下禁用],以確保安全團隊在WFH情況下看到發送到USB連接打印機的打印作業,這些打印作業繞過打印服務器,而打印服務器通常進行日志記錄。事實證明,此日志記錄還捕獲了新打印機的安裝——甚至是嘗試——并為 PrintNightmare 提供了可靠的檢測。”
將打印機放在單獨的 VLAN 上
Haystack Solutions 的首席執行官布里頓(Doug Britton)表示,安全團隊應該將打印機放在他們自己的 VLAN 中,并在網絡的其余部分之間設置一個虛擬防火墻。他說,打印機 VLAN 應該被視為不受信任的網絡。
“這將使打印機正常運行,同時限制它們造成損壞的能力,假設它們已受到損害。”布里頓說,“如果打印機被黑客入侵并開始‘監聽’或試圖竊取數據,他們將不得不通過防火墻進行,這將是可觀察到的。來自打印機的任何‘協議外’探測都將被立即檢測到。”
惠普的奧爾布賴特還指出,超過一半 (56%) 的打印機可以通過可能被黑客入侵的常用開放打印機端口訪問。她建議,安全團隊應該關閉所有未使用的打印機端口,禁用未使用的互聯網連接,并關閉目前經常未使用的 telnet 端口。
Gurucul 首席執行官 Saryu Nayyar 的另一個提示是:“組織中的打印機通常沒有標準化。IT 人員必須定期檢查多個型號以獲取安全更新。盡可能對打印機進行標準化可以減少 IT 人員的工作量并減少出錯的可能性。”
提供更好的培訓和安全意識
根據惠普最近的研究,自疫情開始以來,約有 69% 的辦公室工作人員使用他們的個人筆記本電腦或個人打印機/掃描儀進行工作活動,這使他們的公司面臨攻擊。
Digital Shadows 戰略副總裁兼首席信息安全官 Rick Holland 表示,安全團隊必須就在家使用打印機的風險對員工進行培訓。這些打印機應該由他們的 IT 部門加強。Holland 補充說,打印機并不昂貴,公司應該標準化具有強大安全和隱私功能的打印機,并將其提供給必須遠程打印的員工。
“與潛在入侵的成本相比,由 IT 維護并配備適當安全控制的 300 美元打印機根本不算什么,”Holland 說,“公司還應考慮消除打印法律文件和利用 [電子簽名] 服務的需要。如果員工需要在家打印,公司應該考慮為敏感文件提供橫切碎紙機。”
使用正確的工具獲得網絡可見性
企業安全團隊并不總是意識到攻擊者可以看到多少他們的網絡。惠普的奧爾布賴特表示,安全團隊可以首先使用像 Shodan 這樣的公開工具來發現有多少物聯網設備(包括打印機)暴露在互聯網上。
如果防御者不了解設備,也很難保護設備。她說,安全專家還應該將打印機日志信息集成到安全信息和事件管理 (SIEM) 工具中。
然而,SIEM 的好壞取決于提供給它們的信息。奧爾布賴特說,因此安全團隊應該尋找提供可靠數據的打印機管理工具。通過這種方式,安全分析師可以真正判斷打印機是否已被用作發起攻擊的入口點或授予橫向移動訪問權限。
執行打印機偵察和資產管理
根據 ThreatModeler 的創始人兼首席執行官 Archie Agarwal 的說法,攻擊打印機傳統上被視為黑客攻擊中更幽默的一面:它們相當無害,例如打印出有趣或挑釁的信息。但現在情況不再如此,他說,因為這些相同的打印機連接到私有的公司內部網絡,始終偵聽來自外部世界的連接。通常,公司會忘記或忽略這些潛在的門戶。
“正如我們最近看到的那樣,犯罪分子并沒有忘記,當這些打印機上的服務擁有可以通過遠程代碼執行征用的強大特權時,我們就會遇到令人興奮和危險的組合。”Agarwal 說。
這就是為什么他說安全團隊需要對他們自己的環境進行嚴格的偵察。他們需要清點連接到正在偵聽入站連接的內部網絡的所有資產,并采取必要的措施來保護它們。這可能意味著鎖定設備或定期修補它們。
“如果他們不進行這種偵察,犯罪分子就會為他們進行偵察,而最終結果可能并非無害。”Agarwal說。
利用漏洞掃描器
New Net Technologies的首席技術官 Mark Kedgley 說,打印機通常被視為良性設備,沒有任何憑據或嚴重的機密數據可以公開,但情況可能不一定如此。誠然,國家漏洞數據庫 (NVD) 報告并給出通用漏洞披露 (CVE) 的打印機漏洞并不像其他計算平臺和設備報告的漏洞那么常見,但仍然存在可能導致麻煩的問題,尤其是在今天的環境中。
Kedgley 說,最重要的漏洞是那些可能讓攻擊者訪問打印文檔的漏洞。他指出,3 月份報告的許多漏洞影響了主要用于 CAD 或 GIS 輸出的 Canon Oce ColorWave 500 打印機。他說,企業安全團隊可以像測試其他漏洞一樣,通過使用基于網絡的漏洞掃描器來測試這些漏洞,該掃描器需要進行修補或配置強化,以緩解或修復威脅。
背景補充
2021年6月8日,微軟官方修復了一個存在于打印機服務Windows Print Spooler中的高危漏洞(CVE-2021-1675)。利用該漏洞,攻擊者可以將普通用戶權限提升至System權限。然而在安全研究人員對其安全補丁驗證的過程中,又發現了另一處比較嚴重的遠程攻擊漏洞(CVE-2021-34527,代號“PrintNightmare”)。利用此漏洞,攻擊者可以直接在域環境中攻擊域控服務器,拿下整個域控,或是在工作組環境中肆意漫游,影響所有Windows版本中的Windows Print Spooler,包括安裝在個人計算機、企業網絡、Windows服務器和域控制器上的版本。7月6日至7日,微軟連續發布out of band補丁來修復該漏洞。