你们这周的作业是评估你们网络上的打印机.
现实情况是,启用网络的打印机对您所在地区的网络构成严重的安全威胁. 我们很少把打印机当成潜在的风险来源. 坏人知道这一点. 据估计,43%的组织在讨论端点安全性时完全忽略了打印机.
作为NIST校准过程的一部分, 你需要对你的多功能打印机负责, 扫描仪, 和复印机. 这些“打印机”实际上是计算机. 大多数打印机从出厂时就配置为允许从网络广泛访问. 每个人都讨厌打印问题.
但是,您必须采取一些重要步骤来强化打印基础结构:
- 把你所有的打印机放在一个打印网络上. 你的打印机很可能来自一个或多个外部供应商. 您应该像对待任何第三方承包商一样对待您的打印机,并隔离它们,然后根据需要允许在端点和打印机之间进行非常特定的访问.
- 更改所有默认密码. 默认密码总是非常糟糕. 确保每个打印机都没有默认密码, 如果可能的话, 不要让网络中的所有打印机都使用相同的密码. 几年前,我写过一篇关于“杀手可乐机的攻击”的文章,其中一台汽水机是联网的,含有恶意软件. 它没有被分割,恶意软件进入并将学院锁定在5个之外,000台设备都必须手动重置! 所有设备的密码都是一样的. 将此部分作为任何打印机设置配置要求的一部分-无论是与您的员工还是外部供应商.
- 尽你所能不要让第三方供应商重复使用他们在其他网站上使用的相同密码. 我接触了大量的地区网络. 各个地区经常从同一个摊贩那里买同样的东西. 在许多情况下,另一个地区的凭据可以在完全不同地区的相同设备上工作. 这很难监管,但很重要. 我们还抓住了一些供应商,他们被迫更改为一个强大的密码,随后让未来的APP客户端人员将密码更改回来(未经许可),因为强密码“太难记住”。.
- NIST希望在传输和静止时对数据进行加密. 在当今世界,任何清晰的文字都是不好的.
- 您的MFA打印机可能会因拒绝服务攻击而脱机. 尽可能地限制协议和数据源.
- 保持固件更新. 固件经常更新以解决已知的漏洞.
- 禁用USB接口. 没有你的允许,任何人都不能把任何东西连接到你的打印机上.
- 关闭SMBv1. 如果您仍在运行SMBv1以适应旧的MFP设备扫描到文件夹, 你有极大的风险. 您必须将SMB关闭到至少v2或更高版本. 如果你的打印机不能做MFP,你必须淘汰它. 故意在网络中保留仅支持smbv1的设备风险太大.
- 实现Follow Me打印. 这可以让你确保打印更有可能到达预定的人.
- 当你退役旧的MFP打印机时,把硬盘清理干净. 因为打印机实际上就是一台电脑, 您必须遵循与您知道包含敏感/机密数据的普通计算机端点相同的过程.
-Scott Quimby, CISSP
最近的评论