Embed Size (px)
Citation preview
Varnost tiskalnikov: nova zahteva za informacijsko tehnologijoRaziskava kaže, da je »skromen« tiskalnik slepa točka na področju varnosti
Kazalo
Uvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Tveganja za podjetje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Težava z dojemanjem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Trenutne prakse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
Naproti celoviti varnosti tiskalnikov . . . . . . . . . . . . . . . . . . . . . . 11
O raziskavi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Čeprav se na področju varnosti informacijske tehnologije pojavlja vedno več
groženj, jim prizadevanja za varnost strojne opreme pogosto ne sledijo . Morda
to ni nikjer tako dobro vidno kot pri tiskalnikih . Čeprav se strokovnjaki za
informacijsko tehnologijo vedno bolj zavedajo nevarnosti, ki jih predstavljajo
nezaščiteni tiskalniki za omrežje, se tiskalniki še naprej skrivajo na slepih
varnostnih točkah, večina med njimi s premajhno zaščito .
»Ranljivosti se razkrivajo na vseh vrstah naprav, povezanih v omrežje, vključno
s skromnim omrežnim tiskalnikom«, pravi Ben Vivoda, direktor tiskalniških
sistemov HP za območje južnega Tihega oceana . »Pogosto opazimo, da je
tiskalnik zapostavljen in prezrt in tako izpostavljen. Podjetja si ne morejo
več privoščiti, da bi prezrla tiskanje, ko govorimo o celoviti strategiji spletne
varnosti informacijske tehnologije.«1
Pravzaprav so tiskalniki glede na nedavno raziskavo, ki so jo izvedli v podjetju
Spiceworks, izvor vedno večjega števila varnostnih groženj . Danes je 68 %
večja verjetnost, da je tiskalnik izvor zunanje grožnje ali kršitve, kot je bilo to
leta 2016, in 118 % večja verjetnost, da je izvor notranje grožnje ali kršitve .
Toda kljub temu se samo 30 % strokovnjakov za informacijsko tehnologijo
zaveda, da tiskalniki predstavljajo varnostno tveganje . Čeprav se je ta številka
od leta 2016 skoraj podvojila, je še vedno prenizka in odraža nevarno realnost .
Videti je, da imajo številni strokovnjaki za informacijsko tehnologijo zastarel
pogled na varnost tiskalnikov, morda zaradi starega prepričanja, da so tiskalniki
varni znotraj obsega omrežja .
Tudi za tiste strokovnjake za informacijsko tehnologijo, ki so prepoznali
tveganje, ima zaščita številnih naprav za končne uporabnike najvišjo prioriteto,
pri čemer ostajajo tiskalniki na široko odprti, omrežja pa ranljiva .2 Čeprav je
razumljivo, da je bila varnost tiskalnikov v preteklosti v primerjavi z drugimi
končnimi točkami v ozadju, je bistvenega pomena, da začno organizacije za
informacijsko tehnologijo obravnavati tveganja, ki jih predstavljajo nezaščiteni
tiskalniki za širšo infrastrukturo informacijske tehnologije in splošno upravljanje
tveganj v podjetju .
3Uvod
Uvod
Ali so tiskalniki v resnici problematični? Z eno besedo, da . V času, ko se nove
varnostne grožnje pojavljajo vsako uro, je tiskalnik lahka tarča . »Sodobni
tiskalniki so v osnovi napredni, specializirani omrežni gostitelji in kot takšni
bi morali biti deležni enake ravni zaščite kot tradicionalni računalniki«, je za
revijo in Entrepreneur .2 izjavil Kevin Pickhardt . »Pisarniški tiskalniki niso samo
potencialni viri za izgubo podatkov in težave z zaupnostjo, pač pa tudi točke
napadov, ki jih lahko izkoriščajo napadalci .« Primer: v lanskem letu je napadalec
domnevno s pomočjo avtomatiziranega skripta dostopil do 150 .000 javno
dostopnih tiskalnikov, vključno s številnimi tiskalniki računov, in jim dal navodilo
za tiskanje lažnega tiskalniškega posla .3
Industrijski analitiki so soglasni . V skladu s poročilom podjetja IDC »ima večina
tiskalnikov obsežen dostop do notranjega omrežja . Napadalec, ki ogrozi
tiskalnik, si lahko zagotovi prost dostop do omrežja, aplikacij in podatkov
podjetja.« 4
Kako je videti premalo zaščiten omrežni tiskalnik? Ni zavarovan in zato na
široko odprt za različne omrežne protokole .
Prav tako ne zahteva nadzora dostopa (celo nastavitev skrbniškega gesla je
pogosto prezrta) . Omogoča tiskanje občutljivih dokumentov brez overjanja,
dokumenti pa lahko ves dan čakajo na izhodnem pladnju . Prek omrežja pošilja
nešifrirane podatke . Uporablja zastarelo vdelano programsko
opremo in ne izvaja nadzora nad varnostnimi grožnjami .
Te različne varnostne napake imajo posledice . V podjetju
Gartner predvidevajo, da bo do leta 2020 več kot polovica
projektov interneta stvari (IoT) izpostavila občutljive informacije,
ker uporabniki ne bodo izkoristili varnostnih funkcij strojne
opreme, z manj kot 5 % v tem trenutku .4
4tveganje za podjetje
Tveganje za podjetje
5
Zaznana raven varnostnega tveganja
Skupaj Severna Amerika EMEA APAC
Namizni/ prenosni
računalniki
Mobilne naprave
30 %22 %
35 %33 %
71 %71 %
75 %68 %
67 %68 %69 %
64 %
težava z dojemanjem
Težava z dojemanjem
Navkljub raziskavi strokovnjaki za informacijsko tehnologijo še vedno ne
prepoznavajo tveganj, ki jih predstavljajo tiskalniki . V Severni Ameriki niti četrtina
strokovnjakov za informacijsko tehnologijo (22 %) ne prepoznava tiskalnikov kot
varnostnega tveganja, medtem ko je številka v Evropi, na Bližnjem vzhodu in
v Afriki (EMEA) le nekaj več kot tretjina, 35 % .
Za primerjavo so strokovnjaki za informacijsko tehnologijo uvrstili tveganje,
ki ga predstavljajo namizni in prenosni računalniki, na 71 %, tveganje, ki ga
predstavljajo mobilne naprave, pa na 67 % .
Tiskalniki
Raziskava podjetja Spiceworks nadalje razkriva, da so strokovnjaki za
informacijsko tehnologijo, ki so se odločili za varnostne ukrepe, uporabili zelo
razdrobljen pristop, kar pa glede na obseg varnostnih zahtev ni presenetljivo .
Niti ena posamezna rešitev ni zadostna; sam požarni zid na primer ni zadosti .
Tako kot pri kateri koli drugi omrežni napravi je tudi varnost tiskalnikov treba
obravnavati z več vidikov . In kot pri kateri koli drugi varnostni strategiji bodo
najučinkovitejše rešitve vgrajene, avtomatizirane in preproste za uporabo ter
upravljanje .
Izziv je še večji zaradi dejstva, da vsaka znamka tiskalnika uporablja svojo
lastniško programsko opremo in operacijske sisteme . Številni strokovnjaki
za informacijsko tehnologijo nimajo zadostnega znanja, ki bi jim omogočalo
konfiguriranje programske opreme tiskalnikov tako, da bi ustrezali njihovim
varnostnim pravilnikom .
6težava z dojemanjem
Trenutne prakse
Strokovnjaki za informacijsko tehnologijo uporabljajo različne pristope k zaščiti
tiskalnikov, s čimer ustvarjajo prilagojeno mešanico varnostnih praks in funkcij,
ki temelji na orodjih, ki jih imajo na voljo, in na njihovem razumevanju teh orodij .
V grobem gledano lahko trenutne pristope za zaščito tiskalnikov razdelimo v
šest kategorij .
Raziskava je razkrila, da strokovnjaki za informacijsko tehnologijo znotraj teh
kategorij izvajajo številne bistvene zaščitne korake, toda žal v zelo majhnem
obsegu .
Odstotek anketirancev, ki za tiskalnike trenutno uporabljajo spodaj navedene varnostne prakse
Varnost dokumentov
Varnost omrežja
Nadzor dostopa
42 %
40 %
39 %
Varnost
naprav
Nadzor nad
zaščito
Zaščita
podatkov
31 %
30 %
28 %
Zapiranje
neuporabljenih
odprtih vrat
25 %
Omogočanje
funkcije
»poslano iz«
25 %
Varen dostop do
popravil tiskalnika
25 %
Izvajanje tiskanja
izbranih
dokumentov
24 %
Rutinsko brisanje
trdih diskov
tiskalnikov
21 %
Še manj strokovnjakov za informacijsko tehnologijo na podlagi
urnika določi potek ali čiščenje poslov, zahteva skrbniški dostop
za konfiguracijske spremembe ali avtomatizira upravljanje potrdil .
Strokovnjaki za informacijsko tehnologijo izvajajo nadzor nad zaščito tiskalnikov
pogosteje kot druge dejavnosti, toda številke so še vedno zelo nizke, saj samo
39 % strokovnjakov za informacijsko tehnologijo pravi, da redno pregledujejo
dnevnike tiskalnika, od tega v Severni Ameriki samo 31 % . Samo 13 % med njimi
poroča, da so povezali tiskalnike z orodji SIEM . Če strokovnjaki za informacijsko
tehnologijo ne nadzorujejo dnevnikov tiskalnikov in tiskalnikov ne integrirajo
z orodji SIEM, tavajo v temi, ne da bi vedeli, da so se spletni kriminalci prek
nenadzorovane infrastrukture skrili v omrežje in pridobivajo podatke .
8
Pregledovanje dnevnikov varnostnih dogodkov tiskalnikov Povezovanje z orodjem SIEM
31 %39 % 43 % 43 %
9 %13 % 13 % 17 %
trenUtne prakse
Nadzorovanje tiskalnikov
Skupaj Severna Amerika EMEA APAC
Raziskava razkriva tudi druge geografske razlike na specifičnih
področjih zaščite tiskalnikov, pri čemer Severna Amerika zopet zaostaja . To še
posebej velja za nadzor dostopa in šifriranje . Verjetnost, da bodo strokovnjaki
za informacijsko tehnologijo v državah iz območja APAC šifrirali podatke med
pošiljanjem, zahtevali overjanje v napravi in uvedli nadzor dostopa na podlagi
vloge uporabnika, je veliko večja kot pri tistih iz Severne Amerike .
9
Uvedene prakse za zaščito tiskalnikov
Skupaj Severna Amerika EMEA APAC
trenUtne prakse
Overjanje uporabnikov
54 %42 %
59 %61 %
Šifriranje podatkov
med pošiljanjem42 %
34 %44 %
49 %
Nadzor dostopa na podlagi vlog
40 %
46 %46 %
27 %
Ko gre za skladnost z uredbami za zaščito podatkov, se strokovnjaki za
informacijsko tehnologijo zopet zanašajo na več pristopov, pri čemer so nekateri
nadzorni mehanizmi tiskalnikov vključeni v splošno strategijo upoštevanje
predpisov . V raziskavi, ki jo je opravilo podjetje Spiceworks, so strokovnjakom
za informacijsko tehnologijo zastavili vprašanje, katere kontrolne mehanizme
za nadzor skladnosti so uporabili glede na »kontrolne mehanizme CIS V7«, ki jih
določil Center for Internet Security .5
Ti podatki razkrivajo, da strokovnjaki za informacijsko tehnologijo pogosto
spregledajo najosnovnejše varnostne ukrepe na tiskalnikih, na primer
posodabljanje vdelane programske opreme, saj ga samo tretjina med njima
izvaja kot rutinski del dejavnosti za zagotavljanje skladnosti s predpisi .
Industrijska raziskava se sovpada s temi ugotovitvami . Glede na IDC tiskalniki
običajno niso nadgrajeni z najnovejšo vdelano programsko opremo, ker
organizacije pogosto podcenijo tveganje .4 Poleg tega jim pogosto primanjkuje
časa za pregledovanje, preskušanje in sprejem nove vdelane programske
opreme za tiskalnike v celotni skupini naprav .
10trenUtne prakse
Protiukrepi za
zlonamerne napade
Ocene
ranljivosti
Preverjanja integritete
sistema
Procesi za zaščito
dokumentov
Fizična
varnost
Zaščita pred
vdoriAnaliza nadzora
in poročanje
Posodabljanje strojne/
programske opreme
Uporabljeni kontrolni mehanizmi za nadzor skladnosti
11
Od 84 % strokovnjakov za informacijsko tehnologijo, ki je poročalo o
uporabi varnostnega pravilnika, jih samo 64 % pravi, da so v ta pravilnik
vključeni tudi tiskalniki. S Severni Ameriki je ta delež samo 52 %. To je
eden od razlogov, zaradi katerih je tako pomembno zagotoviti vgrajene in
avtomatizirane kontrolne mehanizme za zaščito tiskalnikov ter jih dejansko
izvajati . Tiskalniki z vgrajenimi varnostnimi funkcijami pomagajo zmanjšati
tveganje, pri tem pa povečujejo učinkovitost naložb v informacijsko tehnologijo .
Analitiki podjetja IDC so ugotovili tudi to: »Zaščito tiskalnikov je veliko težje
okrepiti, ko so ti enkrat dobavljeni, zato se poudarja pomen izbire tiskalnikov, ki
so že bogato opremljeni z osnovnimi in naprednimi varnostnimi funkcijami .«” 4
V podjetju Gartner pravijo tako: »Da bi lahko izkoriščali nastajajočo dinamiko
na trgu tiskanja, morajo strateški načrtovalci tehnologije izdelati obsežno
ponudbo rešitev za varnost tiskanja z uporabo plasti rešitev, ki presegajo
najboljše prakse varnostne industrije . Te rešitve je nato treba integrirati s širšim
ekosistemom varnostnih rešitev .«6
Ponudniki vodenih storitev tiskanja razširjajo svoje storitve, da bi pomagali
oddelkom za informacijsko tehnologijo, katerih osebje nima zadosti znanja,
da bi lahko obravnavalo varnost tiskalnikov . Pri podjetju IDC pravijo tako:
»Ponudniki zagotavljajo razširjen obseg storitev za zaščito na ravni naprav
in podatkov, od katerih jih je veliko oblikovanih tako, da se integrirajo z
obstoječimi sistemi za upravljanje dokumentov in vsebine podjetja (ECM) ter
zagotavljajo nadaljnjo zaščito in obravnavajo težave s skladnostjo z upravnimi
zahtevami .«7
Na srečo strokovnjakov za informacijsko tehnologijo sodobni napredni tiskalniki
zagotavljajo veliko vdelanih varnostnih funkcij za zaščito tiskalnikov, vključno
z odkrivanjem groženj, zaščito, obveščanjem in samodejnim odpravljanjem
napak, zato je lažje kot kdaj koli prej okrepiti eno od najranljivejših končnih
točk v omrežju - skromni tiskalnik .
Čas je, da okrepite varnost tiskanja.
naproti celoviti varnosti tiskalnikov
Več informacij
Naproti celoviti varnosti tiskalnikov
O raziskaviHP je maja 2018 za izvedbo raziskave pooblastil podjetje Spiceworks . Raziskava je bila usmerjena na osebe, ki sprejemajo odločitve v povezavi z informacijsko tehnologijo, vključno direktorji, vodji in drugim osebjem oddelkov za informacijsko tehnologijo, z namenom pridobitve vpogleda v trenutne varnostne prakse tiskalnikov in določitvijo področij tveganja . Rezultati raziskave so vključevali odgo-vore približno 500 sodelujočih iz Severne Amerike ter iz držav na področju EMEA in APAC, ki delajo v organizacijah z 250 ali več zaposlenimi .
Viri1 McLean, Asha, »Nezaščiteni tiskalniki predstavljajo šibki člen v številnih organizacijah: HP«, ZDNet, 18 . april 2017 . https://www .zdnet .com/article/unsecured-printers-a-security-weak-point-for-many-organisations-hp/
2 Pickhardt, Kevin, »Zakaj je lahko vaš nedolžni pisarniški tiskalnik tarča napadalcev«, Entrepreneur, 31 . januar 2018 . https://www .entrepreneur .com/article/308273
3 Peyser, Eve, »Napadalec trdi, da je napadel 150 .000 tiskalnikov, da bi izboljšal ozaveščenost o vdorih«, Gizmodo, 6 . februar 2017 . https://gizmodo .com/hacker-claims-he-hacked-150-000-printers-to-raise-aware-1792067012
4 Brown, Duncan in drugi, »Indeks varnosti naprav, ki jih je v letu 2018 nabavila vlada«, IDC, maj 2018 .
5 »Kontrolni mehanizmi CIS«, Center for Internet Security, marec 2018 . https://www .cisecurity .org/controls/
6 Von Manowski, Kristin Merry in Deborah Kish, »Vpogled na trg: vrzeli na področju varnosti interneta stvari izpostavljajo nastajajoče priložnosti na trgu tiskanja«, Gartner, 31 . oktober 2017 https://www .gartner .com/doc/reprints?id=1-4OCKFKG&ct=180110&st=sb
7 Palmer, Robert in Allison Correia, »IDC MarketScape: ocena ponudnikov varnostnih rešitev in storitev po vsem svetu v letu 2017, IDC, 2017 .
