[[434648]]

長(zhǎng)期以來(lái)，企業(yè)打印機(jī)一直是IT安全的事后考慮事項(xiàng)，但今年早些時(shí)候發(fā)生的PrintNightmare事件改變了這一切。PrintNightmare是微軟Windows Print Spooler服務(wù)中的一個(gè)漏洞，當(dāng)Windows Print Spooler服務(wù)錯(cuò)誤地執(zhí)行特權(quán)文件操作時(shí)，遠(yuǎn)程代碼執(zhí)行漏洞就會(huì)出現(xiàn)。攻擊者利用該漏洞，可以將普通用戶權(quán)限提升至System權(quán)限，進(jìn)行一系列破壞活動(dòng)。

為此，微軟發(fā)布了一系列安全補(bǔ)丁，企業(yè)安全團(tuán)隊(duì)也紛紛開始評(píng)估其網(wǎng)絡(luò)上打印機(jī)的安全性。鑒于大多數(shù)公司將長(zhǎng)期采用混合辦公模式——員工會(huì)在家中使用個(gè)人打印機(jī)，或通過遠(yuǎn)程連接到企業(yè)的打印機(jī)開展工作，在這種情況下，打印機(jī)安全評(píng)估變得尤為重要。

共享評(píng)估(Shared Assessments)北美指導(dǎo)委員會(huì)主席Nasser Fattah表示，過去，打印機(jī)并沒有被視為安全問題，盡管它們每天都在打印一些敏感文件，并且每天都連接到企業(yè)網(wǎng)絡(luò)上。而且，打印機(jī)還帶有許多應(yīng)用程序，包括Web服務(wù)器——與其他應(yīng)用程序一樣，這些應(yīng)用程序可能具有默認(rèn)密碼和漏洞，以及可容納大量敏感信息的存儲(chǔ)空間。

此外，辦公室打印機(jī)還可以連接到企業(yè)的身份存儲(chǔ)庫(kù)，以便驗(yàn)證用戶打印和電子郵件系統(tǒng)，這將帶來(lái)嚴(yán)重的安全問題，使攻擊者能夠訪問企業(yè)網(wǎng)絡(luò)、敏感信息和資源等。例如，攻擊者可以通過打印默認(rèn)密碼，將打印重定向到未經(jīng)授權(quán)的位置，開展攻擊活動(dòng)。此外，網(wǎng)絡(luò)上易受攻擊的打印機(jī)也為攻擊者提供了一個(gè)切入點(diǎn)。

基于上述事實(shí)，企業(yè)組織需要掌握保護(hù)打印機(jī)安全的七種方法。

1. 將打印機(jī)視為暴露在網(wǎng)絡(luò)中的物聯(lián)網(wǎng)設(shè)備

惠普打印網(wǎng)絡(luò)安全首席技術(shù)專家Shivaun Albright表示，安全團(tuán)隊(duì)需要像對(duì)待PC、服務(wù)器和物聯(lián)網(wǎng)(IoT)設(shè)備一樣考慮打印機(jī)安全。這意味著他們需要更改默認(rèn)密碼并定期更新固件。Albright解釋稱，“太多企業(yè)組織未將打印機(jī)安全視為整體IT治理的一部分，它甚至不被視為安全流程的一部分，因此沒有配備合適的人員，也沒有獲得適當(dāng)?shù)陌踩A(yù)算。”

網(wǎng)絡(luò)安全公司Coalfire副總裁Andrew Barratt表示，企業(yè)常犯的錯(cuò)誤是沒有像對(duì)待其他數(shù)據(jù)入口和出口點(diǎn)一樣對(duì)待打印機(jī)，尤其是在企業(yè)組織具備大型多功能設(shè)備的情況下。他指出，打印機(jī)本質(zhì)上是復(fù)雜的嵌入式計(jì)算設(shè)備，其安全足跡與許多其他物聯(lián)網(wǎng)設(shè)備相似，但它可以訪問更多數(shù)據(jù)。

Barratt表示，“許多打印機(jī)都有相當(dāng)大的存儲(chǔ)設(shè)備，可以包含許多打印作業(yè)或掃描副本，而且通常沒有任何加密或其他訪問控制。它們通常聯(lián)網(wǎng)，但很少經(jīng)歷過安全測(cè)試，在企業(yè)網(wǎng)絡(luò)中可能有Wi-Fi連接的打印機(jī)，它們不僅可以訪問企業(yè)網(wǎng)絡(luò)，而且可以使用較低的限制就能允許更多用戶訪問設(shè)備。對(duì)于入侵者來(lái)說(shuō)，它們是一個(gè)受歡迎的樞紐點(diǎn)。”

2. 啟用打印服務(wù)日志記錄

日志記錄是了解網(wǎng)絡(luò)上發(fā)生事情的必要部分。事件響應(yīng)軟件公司BreachQuest聯(lián)合創(chuàng)始人兼首席技術(shù)官Jake Williams表示，隨著居家辦公(WFH)的持續(xù)推進(jìn)，建議在企業(yè)端點(diǎn)上啟用打印服務(wù)日志記錄(默認(rèn)情況下禁用)，以確保安全團(tuán)隊(duì)在WFH情況下查看打印作業(yè)。事實(shí)證明，此日志記錄還能捕獲新打印機(jī)的安裝進(jìn)程，甚至是嘗試行為，并為PrintNightmare提供可靠的檢測(cè)。

3. 將打印機(jī)放在單獨(dú)的VLAN上

Haystack Solutions公司CEO Doug Britton表示，企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該將打印機(jī)放在自己的VLAN中，并在網(wǎng)絡(luò)的其余部分設(shè)置虛擬防火墻，打印機(jī)VLAN應(yīng)該被視為不受信任的網(wǎng)絡(luò)。Britton表示，“這將在確保打印機(jī)正常運(yùn)行的同時(shí)，限制其損壞能力。如果打印機(jī)被黑客入侵并開始‘監(jiān)聽’或試圖竊取數(shù)據(jù)，這一切都能夠被防火墻觀察到，任何來(lái)自打印機(jī)‘協(xié)議外’的探測(cè)都將被立即檢測(cè)到。”

惠普的Albright指出，超過一半的打印機(jī)可以通過常用開放端口進(jìn)行訪問。她建議，企業(yè)安全團(tuán)隊(duì)關(guān)閉所有未使用的打印機(jī)端口，禁用未使用的互聯(lián)網(wǎng)連接，并關(guān)閉經(jīng)常不用的telnet端口。Gurucul首席執(zhí)行官Saryu Nayyar給出的另一個(gè)建議是，盡可能對(duì)打印機(jī)進(jìn)行標(biāo)準(zhǔn)化設(shè)置，在減少IT人員工作量的同時(shí)，減少其出錯(cuò)的可能性。

4. 提供更好的培訓(xùn)和安全意識(shí)

惠普最近的研究結(jié)果顯示，自新冠肺炎疫情流行以來(lái)，約有69%的辦公室工作人員使用個(gè)人筆記本電腦或個(gè)人打印機(jī)/掃描儀工作，這無(wú)疑進(jìn)一步擴(kuò)大了企業(yè)的攻擊面。Digital Shadows戰(zhàn)略副總裁兼CISO Rick Holland表示，安全團(tuán)隊(duì)必須就“在家使用打印機(jī)的風(fēng)險(xiǎn)”對(duì)員工進(jìn)行培訓(xùn)。而且，這些打印機(jī)應(yīng)該由IT部門進(jìn)一步加固。

Holland 補(bǔ)充說(shuō)：“與任何潛在入侵的成本相比，由IT維護(hù)并配備標(biāo)準(zhǔn)化具有強(qiáng)大安全和隱私功能的打印機(jī)，所付出的成本微不足道。企業(yè)組織應(yīng)考慮消除打印法律文件和利用電子簽名服務(wù)的活動(dòng)。如果員工需要在家打印，務(wù)必堅(jiān)守‘閱后即焚’原則，企業(yè)組織也應(yīng)該考慮為敏感文件提供碎紙機(jī)。”

5. 使用正確的工具獲得網(wǎng)絡(luò)可見性

企業(yè)安全團(tuán)隊(duì)對(duì)于攻擊者對(duì)其網(wǎng)絡(luò)的可見性通常認(rèn)識(shí)不清?；萜盏腁lbright表示，安全團(tuán)隊(duì)可以首先使用像Shodan這樣的公開可用工具，來(lái)了解有多少物聯(lián)網(wǎng)設(shè)備(包括打印機(jī))暴露在互聯(lián)網(wǎng)上。如果防御者不了解設(shè)備，就談不上保護(hù)設(shè)備。

此外，企業(yè)安全團(tuán)隊(duì)還應(yīng)該將打印機(jī)日志信息集成到安全信息和事件管理(SIEM)工具中。

不過，SIEM的好壞取決于提供給它們的信息。因此，企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該尋找提供可靠數(shù)據(jù)的打印機(jī)管理工具。通過這種工具，企業(yè)安全分析師可以真正判斷打印機(jī)是否已被用作發(fā)起攻擊的入口點(diǎn)，或是否已授予橫向移動(dòng)訪問權(quán)限。

6. 執(zhí)行打印機(jī)偵察和資產(chǎn)管理

根據(jù)ThreatModeler創(chuàng)始人兼CEO Archie Agarwal的說(shuō)法，傳統(tǒng)意義上，攻擊打印機(jī)被視為黑客攻擊中更幽默的一面：它們并不會(huì)造成損害，而是打印出有趣或挑釁的信息等。但現(xiàn)在的情況不同了，因?yàn)檫@些打印機(jī)開始連接到企業(yè)內(nèi)部網(wǎng)絡(luò)，而且企業(yè)組織通常會(huì)忘記或忽略這些潛在的門戶，犯罪分子也并沒有忘記它們的存在。

當(dāng)這些打印機(jī)上的服務(wù)擁有可以通過遠(yuǎn)程代碼執(zhí)行征用的強(qiáng)大特權(quán)時(shí)，危險(xiǎn)便一觸即發(fā)。這就是安全團(tuán)隊(duì)需要對(duì)企業(yè)組織環(huán)境進(jìn)行嚴(yán)格偵察的原因所在。企業(yè)安全團(tuán)隊(duì)需要清點(diǎn)正在偵聽入站連接的內(nèi)部網(wǎng)絡(luò)所有資產(chǎn)，并采取必要措施來(lái)保護(hù)它們，這意味著可能需要鎖定設(shè)備或定期修補(bǔ)它們。

7. 利用漏洞掃描器

New Net Technologies首席技術(shù)官M(fèi)ark Kedgley表示，打印機(jī)通常被視為良性設(shè)備，沒有任何憑據(jù)或嚴(yán)重的機(jī)密數(shù)據(jù)可以公開，但情況可能不一定如此。雖然國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD) 報(bào)告給出的打印機(jī)漏洞，并不像其他計(jì)算平臺(tái)和設(shè)備報(bào)告的漏洞那么常見，但仍然存在可能導(dǎo)致麻煩的問題，尤其是在今天的環(huán)境中。

Kedgley補(bǔ)充道，最危險(xiǎn)的漏洞是那些可能讓攻擊者訪問打印文檔的漏洞。他指出，3月份報(bào)告的許多漏洞影響了主要用于CAD或GIS輸出的Canon Oce ColorWave 500打印機(jī)。企業(yè)安全團(tuán)隊(duì)可以像測(cè)試其他漏洞一樣，通過使用基于網(wǎng)絡(luò)的漏洞掃描器來(lái)測(cè)試這些漏洞，不過，這些掃描器需要進(jìn)行修補(bǔ)或強(qiáng)化，以緩解或修復(fù)威脅。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文