繼 PrintNightmare 事件后，打印機(jī)安全成為安全團(tuán)隊(duì)的熱點(diǎn)問題。以下是在企業(yè)網(wǎng)絡(luò)上保護(hù)打印機(jī)安全的七種方法。

　　企業(yè)打印機(jī)長期以來一直是 IT 安全的事后考慮，但今年早些時(shí)候 PrintNightmare 改變了這一切，這是微軟 Windows 打印后臺處理程序服務(wù)中的一個(gè)缺陷，可在遠(yuǎn)程代碼執(zhí)行攻擊中被利用。

　　因此，微軟發(fā)布了一系列補(bǔ)丁——企業(yè)安全團(tuán)隊(duì)開始評估其網(wǎng)絡(luò)上打印機(jī)的安全性。鑒于大多數(shù)公司將繼續(xù)作為混合工作場所運(yùn)營，員工在家中使用個(gè)人打印機(jī)以及遠(yuǎn)程連接到工作中的打印機(jī)，所以這一點(diǎn)尤為重要。

　　共享評估北美指導(dǎo)委員會(huì)主席 Nasser Fattah 表示：“打印機(jī)過去并沒有被視為安全問題，盡管它們每天打印一些我們最敏感的數(shù)據(jù)并且整天都連接到我們的網(wǎng)絡(luò)。”他指出，打印機(jī)帶有許多應(yīng)用程序，包括 Web 服務(wù)器——與任何其他應(yīng)用程序一樣，這些應(yīng)用程序可能具有默認(rèn)密碼和漏洞——以及可容納大量敏感信息的相當(dāng)大的存儲空間。

　　“此外，辦公室打印機(jī)連接到公司的身份存儲庫，以便用戶驗(yàn)證打印和電子郵件系統(tǒng)向用戶提供打印狀態(tài)，”Fattah 說，“因此，打印機(jī)會(huì)帶來嚴(yán)重的安全問題，使攻擊者能夠訪問公司網(wǎng)絡(luò)、敏感信息和資源。例如，攻擊者可以通過打印默認(rèn)密碼將打印重定向到未經(jīng)授權(quán)的位置。此外，網(wǎng)絡(luò)上易受攻擊的打印機(jī)為攻擊者提供了一個(gè)切入點(diǎn)?！?/p>

　　鑒于這些現(xiàn)實(shí)，我們向行業(yè)專家詢問了有關(guān)如何幫助安全團(tuán)隊(duì)在企業(yè)網(wǎng)絡(luò)上鎖住打印機(jī)的提示。

　　將打印機(jī)視為暴露在網(wǎng)絡(luò)中的物聯(lián)網(wǎng)設(shè)備

　　惠普打印網(wǎng)絡(luò)安全首席技術(shù)專家奧爾布賴特（Shivaun Albright）表示，安全團(tuán)隊(duì)需要像對待 PC、服務(wù)器和物聯(lián)網(wǎng) （IoT） 設(shè)備一樣考慮打印機(jī)安全。這意味著他們需要更改默認(rèn)密碼并定期更新固件。

　　“有太多組織未將打印機(jī)安全視為整體 IT 治理標(biāo)準(zhǔn)的一部分，”奧爾布賴特說，“它通常不被視為安全流程的一部分，因此沒有得到適當(dāng)?shù)念A(yù)算和人員配備”。

　　Coalfire 技術(shù)和企業(yè)副總裁安德魯·巴拉特 （Andrew Barratt） 表示，企業(yè)常犯的錯(cuò)誤是沒有像對待任何其他數(shù)據(jù)入口和出口點(diǎn)那樣對待打印機(jī)，尤其是在大型多功能設(shè)備的情況下。他指出，打印機(jī)本質(zhì)上是復(fù)雜的嵌入式計(jì)算設(shè)備，其安全足跡與許多其他物聯(lián)網(wǎng)設(shè)備相似，但可以訪問更多數(shù)據(jù)。

　　“許多打印機(jī)都有相當(dāng)大的存儲設(shè)備，可以包含許多打印作業(yè)或掃描副本，而且通常沒有任何加密或其他訪問控制，”巴拉特說，“它們是網(wǎng)絡(luò)連接的，通常很少接觸安全測試，并且經(jīng)常是大型組織攻擊中被遺忘的部分。”

　　啟用打印服務(wù)日志記錄

　　日志記錄是了解網(wǎng)絡(luò)上發(fā)生的事情的必要部分。BreachQuest 的聯(lián)合創(chuàng)始人兼首席技術(shù)官 Jake Williams 表示，打印服務(wù)日志可以為安全團(tuán)隊(duì)提供有關(guān)連接到網(wǎng)絡(luò)的所有打印機(jī)的大量有價(jià)值的信息——在 PrintNightmare 之前，企業(yè)安全團(tuán)隊(duì)并沒有太多關(guān)注這一領(lǐng)域。

　　他說：“隨著居家工作的開始，我建議啟用企業(yè)端點(diǎn)上的打印服務(wù)日志記錄[默認(rèn)情況下禁用]，以確保安全團(tuán)隊(duì)在WFH情況下看到發(fā)送到USB連接打印機(jī)的打印作業(yè)，這些打印作業(yè)繞過打印服務(wù)器，而打印服務(wù)器通常進(jìn)行日志記錄。事實(shí)證明，此日志記錄還捕獲了新打印機(jī)的安裝——甚至是嘗試——并為 PrintNightmare 提供了可靠的檢測?！?/p>

　　將打印機(jī)放在單獨(dú)的 VLAN 上

　　Haystack Solutions 的首席執(zhí)行官布里頓（Doug Britton）表示，安全團(tuán)隊(duì)?wèi)?yīng)該將打印機(jī)放在他們自己的 VLAN 中，并在網(wǎng)絡(luò)的其余部分之間設(shè)置一個(gè)虛擬防火墻。他說，打印機(jī) VLAN 應(yīng)該被視為不受信任的網(wǎng)絡(luò)。

　　“這將使打印機(jī)正常運(yùn)行，同時(shí)限制它們造成損壞的能力，假設(shè)它們已受到損害?！辈祭镱D說，“如果打印機(jī)被黑客入侵并開始‘監(jiān)聽’或試圖竊取數(shù)據(jù)，他們將不得不通過防火墻進(jìn)行，這將是可觀察到的。來自打印機(jī)的任何‘協(xié)議外’探測都將被立即檢測到?！?/p>

　　惠普的奧爾布賴特還指出，超過一半 （56%） 的打印機(jī)可以通過可能被黑客入侵的常用開放打印機(jī)端口訪問。她建議，安全團(tuán)隊(duì)?wèi)?yīng)該關(guān)閉所有未使用的打印機(jī)端口，禁用未使用的互聯(lián)網(wǎng)連接，并關(guān)閉目前經(jīng)常未使用的 telnet 端口。

　　Gurucul 首席執(zhí)行官 Saryu Nayyar 的另一個(gè)提示是：“組織中的打印機(jī)通常沒有標(biāo)準(zhǔn)化。IT 人員必須定期檢查多個(gè)型號以獲取安全更新。盡可能對打印機(jī)進(jìn)行標(biāo)準(zhǔn)化可以減少 IT 人員的工作量并減少出錯(cuò)的可能性。”

　　提供更好的培訓(xùn)和安全意識

　　根據(jù)惠普最近的研究，自疫情開始以來，約有 69% 的辦公室工作人員使用他們的個(gè)人筆記本電腦或個(gè)人打印機(jī)/掃描儀進(jìn)行工作活動(dòng)，這使他們的公司面臨攻擊。

　　Digital Shadows 戰(zhàn)略副總裁兼首席信息安全官 Rick Holland 表示，安全團(tuán)隊(duì)必須就在家使用打印機(jī)的風(fēng)險(xiǎn)對員工進(jìn)行培訓(xùn)。這些打印機(jī)應(yīng)該由他們的 IT 部門加強(qiáng)。Holland 補(bǔ)充說，打印機(jī)并不昂貴，公司應(yīng)該標(biāo)準(zhǔn)化具有強(qiáng)大安全和隱私功能的打印機(jī)，并將其提供給必須遠(yuǎn)程打印的員工。

　　“與潛在入侵的成本相比，由 IT 維護(hù)并配備適當(dāng)安全控制的 300 美元打印機(jī)根本不算什么，”Holland 說，“公司還應(yīng)考慮消除打印法律文件和利用 [電子簽名] 服務(wù)的需要。如果員工需要在家打印，公司應(yīng)該考慮為敏感文件提供橫切碎紙機(jī)?！?/p>

　　使用正確的工具獲得網(wǎng)絡(luò)可見性

　　企業(yè)安全團(tuán)隊(duì)并不總是意識到攻擊者可以看到多少他們的網(wǎng)絡(luò)。惠普的奧爾布賴特表示，安全團(tuán)隊(duì)可以首先使用像 Shodan 這樣的公開工具來發(fā)現(xiàn)有多少物聯(lián)網(wǎng)設(shè)備（包括打印機(jī)）暴露在互聯(lián)網(wǎng)上。

　　如果防御者不了解設(shè)備，也很難保護(hù)設(shè)備。她說，安全專家還應(yīng)該將打印機(jī)日志信息集成到安全信息和事件管理 （SIEM） 工具中。

　　然而，SIEM 的好壞取決于提供給它們的信息。奧爾布賴特說，因此安全團(tuán)隊(duì)?wèi)?yīng)該尋找提供可靠數(shù)據(jù)的打印機(jī)管理工具。通過這種方式，安全分析師可以真正判斷打印機(jī)是否已被用作發(fā)起攻擊的入口點(diǎn)或授予橫向移動(dòng)訪問權(quán)限。

　　執(zhí)行打印機(jī)偵察和資產(chǎn)管理

　　根據(jù) ThreatModeler 的創(chuàng)始人兼首席執(zhí)行官 Archie Agarwal 的說法，攻擊打印機(jī)傳統(tǒng)上被視為黑客攻擊中更幽默的一面：它們相當(dāng)無害，例如打印出有趣或挑釁的信息。但現(xiàn)在情況不再如此，他說，因?yàn)檫@些相同的打印機(jī)連接到私有的公司內(nèi)部網(wǎng)絡(luò)，始終偵聽來自外部世界的連接。通常，公司會(huì)忘記或忽略這些潛在的門戶。

　　“正如我們最近看到的那樣，犯罪分子并沒有忘記，當(dāng)這些打印機(jī)上的服務(wù)擁有可以通過遠(yuǎn)程代碼執(zhí)行征用的強(qiáng)大特權(quán)時(shí)，我們就會(huì)遇到令人興奮和危險(xiǎn)的組合?！盇garwal 說。

　　這就是為什么他說安全團(tuán)隊(duì)需要對他們自己的環(huán)境進(jìn)行嚴(yán)格的偵察。他們需要清點(diǎn)連接到正在偵聽入站連接的內(nèi)部網(wǎng)絡(luò)的所有資產(chǎn)，并采取必要的措施來保護(hù)它們。這可能意味著鎖定設(shè)備或定期修補(bǔ)它們。

　　“如果他們不進(jìn)行這種偵察，犯罪分子就會(huì)為他們進(jìn)行偵察，而最終結(jié)果可能并非無害?！盇garwal說。

　　利用漏洞掃描器

　　New Net Technologies的首席技術(shù)官 Mark Kedgley 說，打印機(jī)通常被視為良性設(shè)備，沒有任何憑據(jù)或嚴(yán)重的機(jī)密數(shù)據(jù)可以公開，但情況可能不一定如此。誠然，國家漏洞數(shù)據(jù)庫 （NVD） 報(bào)告并給出通用漏洞披露 （CVE） 的打印機(jī)漏洞并不像其他計(jì)算平臺和設(shè)備報(bào)告的漏洞那么常見，但仍然存在可能導(dǎo)致麻煩的問題，尤其是在今天的環(huán)境中。

　　Kedgley 說，最重要的漏洞是那些可能讓攻擊者訪問打印文檔的漏洞。他指出，3 月份報(bào)告的許多漏洞影響了主要用于 CAD 或 GIS 輸出的 Canon Oce ColorWave 500 打印機(jī)。他說，企業(yè)安全團(tuán)隊(duì)可以像測試其他漏洞一樣，通過使用基于網(wǎng)絡(luò)的漏洞掃描器來測試這些漏洞，該掃描器需要進(jìn)行修補(bǔ)或配置強(qiáng)化，以緩解或修復(fù)威脅。

　　背景補(bǔ)充

　　2021年6月8日，微軟官方修復(fù)了一個(gè)存在于打印機(jī)服務(wù)Windows Print Spooler中的高危漏洞（CVE-2021-1675）。利用該漏洞，攻擊者可以將普通用戶權(quán)限提升至System權(quán)限。然而在安全研究人員對其安全補(bǔ)丁驗(yàn)證的過程中，又發(fā)現(xiàn)了另一處比較嚴(yán)重的遠(yuǎn)程攻擊漏洞（CVE-2021-34527，代號“PrintNightmare”）。利用此漏洞，攻擊者可以直接在域環(huán)境中攻擊域控服務(wù)器，拿下整個(gè)域控，或是在工作組環(huán)境中肆意漫游，影響所有Windows版本中的Windows Print Spooler，包括安裝在個(gè)人計(jì)算機(jī)、企業(yè)網(wǎng)絡(luò)、Windows服務(wù)器和域控制器上的版本。7月6日至7日，微軟連續(xù)發(fā)布o(jì)ut of band補(bǔ)丁來修復(fù)該漏洞。