Ασφάλεια εκτυπωτών: Μια νέα επιτακτική ανάγκη στο χώρο του IT

Ασφάλεια εκτυπωτών: Μια νέα επιτακτική ανάγκη στο χώρο του IT Σύμφωνα με έρευνες φαίνεται ότι οι "ταπεινοί εκτυπωτές" παραμένουν ένα τυφλό σημείο στην ασφάλεια

Πίνακας περιεχομένων Εισαγωγή.... 3 Οι κίνδυνοι για την επιχείρηση... 4 Ένα πρόβλημα αντίληψης... 5 Τρέχουσες πρακτικές... 7 Προς μια ολοκληρωμένη ασφάλεια εκτυπωτών...11 Πληροφορίες για την έρευνα...12

Εισαγωγή Παρόλο που οι απειλές για την ασφάλεια IT αυξάνονται, συχνά οι προσπάθειες που καταβάλλονται για την ασφάλεια του υλικού δεν καταφέρνουν να ανταποκρίνονται στις προκλήσεις. Οι εκτυπωτές ίσως αποτελούν το πιο χαρακτηριστικό παράδειγμα για αυτό. Αν και οι επαγγελματίες IT συνειδητοποιούν όλο και περισσότερο τους κινδύνους που ενέχουν οι μη προστατευμένοι εκτυπωτές για το δίκτυο, οι εκτυπωτές εξακολουθούν να κρύβονται στα τυφλά σημεία της ασφάλειας, με τους περισσότερους από αυτούς να μην προστατεύονται επαρκώς. "Τα τρωτά σημεία είναι εκτεθειμένα σε όλα τα είδη των συσκευών που συνδέονται σε δίκτυο, όπως είναι οι ταπεινοί εκτυπωτές δικτύου" αναφέρει ο Ben Vivoda, διευθυντής του τομέα συστημάτων εκτύπωσης για την περιοχή Νότιου Ειρηνικού της HP. "Κατά κανόνα, βλέπουμε ότι οι εκτυπωτές παραμελούνται, παραβλέπονται και μένουν εκτεθειμένοι. Οι επιχειρήσεις δεν έχουν πλέον την πολυτέλεια να παραβλέπουν την εκτύπωση όσον αφορά τη συνολική στρατηγική τους για την κυβερνοασφάλεια IT." 1 Στην πραγματικότητα, σύμφωνα με μια πρόσφατη έρευνα από τη Spiceworks, από τους εκτυπωτές προέρχεται ένας αυξανόμενος αριθμός απειλών για την ασφάλεια. Σήμερα, ένας εκτυπωτής είναι 68% πιο πιθανό να αποτελεί την πηγή μιας εξωτερικής απειλής ή παραβίασης σε σχέση με το 2016 και είναι 118% πιο πιθανό να αποτελεί την πηγή εσωτερικής απειλής ή παραβίασης. Ωστόσο, μόνο το 30% των επαγγελματιών IT αναγνωρίζουν ότι οι εκτυπωτές εγκυμονούν κινδύνους για την ασφάλεια. Παρόλο που αυτό το νούμερο έχει σχεδόν διπλασιαστεί από το 2016, είναι ακόμη πολύ χαμηλό και αντικατοπτρίζει μια επικίνδυνη πραγματικότητα. Πολλοί επαγγελματίες IT φαίνεται ότι εξακολουθούν να έχουν μια παρωχημένη αντίληψη για την ασφάλεια των εκτυπωτών, καθώς ίσως ακόμα διατηρούν την ξεπερασμένη πεποίθηση ότι οι εκτυπωτές είναι ασφαλείς μέσα στην περίμετρο του δικτύου. Ακόμα και για τους επαγγελματίες IT που αναγνωρίζουν τον κίνδυνο, προέχει η ασφάλεια του πλήθους των συσκευών των τελικών χρηστών, με αποτέλεσμα να αφήνονται απροστάτευτοι οι εκτυπωτές και ευάλωτα τα δίκτυα. 2 Αν και είναι κατανοητό ότι στο παρελθόν η ασφάλεια των εκτυπωτών είχε δευτερεύουσα σημασία σε σχέση με άλλα τελικά σημεία, είναι πολύ σημαντικό οι οργανισμοί IT να αρχίσουν να αντιμετωπίζουν τους κινδύνους που ενέχουν οι μη ασφαλείς εκτυπωτές για την ευρύτερη υποδομή IT και τη συνολική διαχείριση κινδύνων κάθε εταιρείας. εισαγωγή 3

Ο κίνδυνος για την επιχείρηση Οι εκτυπωτές αποτελούν πραγματικά πρόβλημα; Με μια λέξη, ναι. Σε μια εποχή όπου συνεχώς αναδύονται νέες απειλές για την ασφάλεια, ένας εκτυπωτής μπορεί να αποτελέσει έναν εύκολο στόχο. "Οι σύγχρονοι εκτυπωτές είναι ιδιαίτερα προηγμένες και εξειδικευμένες συσκευές φιλοξενίας δικτύου. Επομένως, θα πρέπει να τους παρέχεται το ίδιο επίπεδο ασφάλειας με τους τυπικούς υπολογιστές", δηλώνει ο Kevin Pickhardt στο Entrepreneur. 2 "Οι εκτυπωτές γραφείου δεν είναι μόνο πιθανές πηγές απώλειας δεδομένων και προβλημάτων εμπιστευτικότητας, αλλά και φορείς επίθεσης τους οποίους μπορούν να εκμεταλλευτούν οι χάκερ." Χαρακτηριστική περίπτωση: Πέρυσι, κάποιος χάκερ αναφέρεται ότι χρησιμοποίησε ένα αυτοματοποιημένο σενάριο για να αποκτήσει πρόσβαση σε 150.000 δημοσίως προσβάσιμους εκτυπωτές, συμπεριλαμβανομένων πολλών εκτυπωτών αποδείξεων, τους οποίους καθοδήγησε έτσι ώστε να πραγματοποιήσουν μια όχι και τόσο φυσιολογική εργασία εκτύπωσης. 3 Οι αναλυτές του κλάδου συμφωνούν. Σύμφωνα με την IDC, "Οι περισσότεροι εκτυπωτές έχουν ευρεία πρόσβαση σε ένα εσωτερικό δίκτυο. Ένας εισβολέας που παραβιάζει κάποιον εκτυπωτή μπορεί να έχει απεριόριστη πρόσβαση στο δίκτυο, τις εφαρμογές και τα δεδομένα ενός οργανισμού." 4 Ποια είναι τα χαρακτηριστικά ενός εκτυπωτή δικτύου που δεν προστατεύεται επαρκώς; Δεν είναι θωρακισμένος και συνεπώς είναι ανοιχτός σε αρκετά πρωτόκολλα δικτύου. Δεν απαιτεί ελέγχους πρόσβασης (ακόμα και η ρύθμιση κωδικού πρόσβασης διαχειριστή συχνά παραβλέπεται). Επιτρέπει την εκτύπωση ευαίσθητων εγγράφων χωρίς έλεγχο ταυτότητας, τα οποία μπορεί να παραμείνουν στο δίσκο εξόδου όλη την ημέρα. Στέλνει μη κρυπτογραφημένα δεδομένα στο δίκτυο. Χρησιμοποιεί μη ενημερωμένο υλικολογισμικό ή δεν παρακολουθείται για τυχόν απειλές ασφάλειας. Όλες αυτές οι ελλείψεις στην ασφάλεια θα έχουν συνέπειες. Η Gartner προβλέπει ότι, μέχρι το 2020, πάνω από τα μισά πρότζεκτ σχετικά με το Internet of Things (IoT) θα έχουν εκτεθειμένες ευαίσθητες πληροφορίες λόγω μη αξιοποίησης των λειτουργιών ασφάλειας υλικού, ενώ σήμερα το ποσοστό αυτών των πρότζεκτ δεν υπερβαίνει το 5%. 4 ο κίνδυνος για την επιχείρηση 4

Ένα πρόβλημα αντίληψης Παρά την έρευνα, ωστόσο, οι επαγγελματίες IT εξακολουθούν να μην αναγνωρίζουν όπως θα έπρεπε τους κινδύνους που εγκυμονούν οι εκτυπωτές. Στη Βόρεια Αμερική, ούτε ένας στους τέσσερις επαγγελματίες IT (22%) δεν αναγνωρίζει τους εκτυπωτές ως κίνδυνο για την ασφάλεια, ενώ στην Ευρώπη, τη Μέση Ανατολή και την Αφρική (EMEA) αυτός ο αριθμός μόλις που ξεπερνάει το ένα τρίτο και είναι στο 35%. Αντιληπτό επίπεδο κινδύνου ασφάλειας Εκτυπωτές 22% 30% 35% 33% Επιτραπέζιοι/ φορητοί υπολογιστές Φορητές συσκευές 71% 71% 75% 68% 67% 68% 69% 64% Σύνολο Βόρεια Αμερική EMEA APAC Αντίθετα, οι επαγγελματίες IT κατέταξαν την απειλή που μπορεί να προκύψει από τους επιτραπέζιους και τους φορητούς υπολογιστές στο 71% και την αντίστοιχη απειλή από τις φορητές συσκευές στο 67%. ένα πρόβλημα αντίληψης 5

Η έρευνα της Spiceworks αποκαλύπτει, επιπλέον, ότι οι επαγγελματίες IT που λαμβάνουν προληπτικά μέτρα έχουν πολύ αποσπασματική προσέγγιση. Αυτό δεν είναι καθόλου περίεργο, αν σκεφτεί κανείς το εύρος των απαιτήσεων ασφάλειας. Καμία μεμονωμένη λύση δεν είναι επαρκής. Για παράδειγμα, ένα τείχος προστασίας από μόνο του δεν είναι αρκετό. Όπως ισχύει για κάθε συσκευή δικτύου, η ασφάλεια των εκτυπωτών πρέπει να είναι πολυδιάστατη. Επίσης, όπως ισχύει για κάθε στρατηγική ασφάλειας, οι πιο αποτελεσματικές λύσεις πρέπει να είναι ενσωματωμένες, αυτοματοποιημένες, αλλά και εύκολες στη χρήση και τη διαχείριση. Αυτό που αυξάνει το βαθμό δυσκολίας είναι το γεγονός ότι κάθε μάρκα εκτυπωτή έχει το δικό της ιδιόκτητο λογισμικό και λειτουργικό σύστημα. Πολλοί επαγγελματίες IT μπορεί να μην έχουν αρκετές γνώσεις για να διαμορφώσουν το λογισμικό των εκτυπωτών, προκειμένου να ανταποκρίνονται στις σχετικές πολιτικές ασφάλειας. ένα πρόβλημα αντίληψης 6

Τρέχουσες πρακτικές Οι επαγγελματίες IT προσεγγίζουν με διάφορους τρόπους την ασφάλεια των εκτυπωτών, δημιουργώντας έναν προσαρμοσμένο συνδυασμό πρακτικών και λειτουργιών ασφάλειας που βασίζεται στα εργαλεία που έχουν στη διάθεσή τους και στο πώς αντιλαμβάνονται αυτά τα εργαλεία. Ωστόσο, σε γενικές γραμμές, οι τρέχουσες προσεγγίσεις για την ασφάλεια των εκτυπωτών εμπίπτουν σε έξι κατηγορίες. Το ποσοστό των συμμετεχόντων που προς το παρόν εφαρμόζουν τις παρακάτω πρακτικές ασφάλειας για τους εκτυπωτές 42% Ασφάλεια εγγράφων 31% Ασφάλεια συσκευής 40% Ασφάλεια δικτύου 30% Παρακολούθηση ασφάλειας 39% Έλεγχος πρόσβασης 28% Προστασία δεδομένων Έρευνες έχουν αποκαλύψει ότι υπάρχουν επαγγελματίες IT που πραγματοποιούν κάποιες σημαντικές ενέργειες για την ασφάλεια στο πλαίσιο αυτών των κατηγοριών, αλλά δυστυχώς είναι πολύ λίγοι. 25% 25% 25% 24% 21% Κλείσιμο ανοιχτών θυρών που δεν χρησιμοποιούνται Ενεργοποίηση της λειτουργίας προέλευσης αποστολής Ασφάλεια πρόσβασης επισκευών εκτυπωτών Εφαρμογή απορρήτου στην εκτύπωση ("pull") Τακτική διαγραφή σκληρών δίσκων εκτυπωτών

Ακόμα λιγότεροι επαγγελματίες IT πραγματοποιούν εργασίες λήξης ή εκκαθάρισης εργασιών σε προγραμματισμένη βάση, απαιτούν πρόσβαση διαχειριστή για αλλαγές διαμόρφωσης ή αυτοματοποιούν τη διαχείριση πιστοποιητικών. Υπάρχουν επαγγελματίες IT που παρακολουθούν την ασφάλεια των εκτυπωτών πιο συχνά σε σχέση με άλλες δραστηριότητες, αλλά εξακολουθούν να είναι λίγοι, καθώς μόνο το 39% των επαγγελματιών IT δηλώνουν ότι ελέγχουν τακτικά τα αρχεία καταγραφής των εκτυπωτών, ενώ αυτό το ποσοστό στη Βόρεια Αμερική είναι μόλις 31%. Όσο για τη σύνδεση των εκτυπωτών σε εργαλεία SIEM, μόνο το 13% αναφέρουν ότι την πραγματοποιούν. Όταν οι επαγγελματίες IT δεν παρακολουθούν τα αρχεία καταγραφής των εκτυπωτών και δεν ενσωματώνουν τους εκτυπωτές στα εργαλεία SIEM μένουν στο σκοτάδι. Δεν αντιλαμβάνονται τους κυβερνοεγκληματίες που μπορεί να χρησιμοποιούν υποδομή χωρίς επιτήρηση για να εισβάλουν κρυφά σε κάποιο δίκτυο και να υποκλέψουν δεδομένα. Παρακολούθηση εκτυπωτών 39% 31% 43% 43% 13% 9% 13% 17% Έλεγχος αρχείων καταγραφής συμβάντων ασφάλειας των εκτυπωτών Σύνδεση σε εργαλείο SIEM Σύνολο Βόρεια Αμερική EMEA APAC τρέχουσες πρακτικές 8

Έρευνες αποκαλύπτουν και άλλες γεωγραφικές διαφορές σε συγκεκριμένους τομείς της ασφάλειας των εκτυπωτών, όπου για άλλη μια φορά η Βόρεια Αμερική υστερεί. Αυτό ισχύει ιδιαίτερα για τους ελέγχους πρόσβασης και την κρυπτογράφηση. Οι επαγγελματίες IT στην περιοχή Ασίας-Ειρηνικού (APAC) είναι πολύ πιο πιθανό σε σχέση με τους συναδέλφους τους στη Βόρεια Αμερική να κρυπτογραφούν μεταφερόμενα δεδομένα, να απαιτούν έλεγχο ταυτότητας στη συσκευή και να αξιοποιούν ελέγχους πρόσβασης με βάση το ρόλο του χρήστη. Έλεγχος ταυτότητας χρήστη Εφαρμοζόμενες πρακτικές ασφάλειας εκτυπωτών 42% 54% 59% 61% Κρυπτογράφηση μεταφερόμενων δεδομένων 34% 42% 44% 49% Έλεγχος πρόσβασης βάσει ρόλου 27% 40% 46% 46% Σύνολο Βόρεια Αμερική EMEA APAC τρέχουσες πρακτικές 9

Τέλος, όσον αφορά τη συμμόρφωση με τους κανονισμούς για το απόρρητο των δεδομένων, οι επαγγελματίες IT βασίζονται και πάλι σε πολλές προσεγγίσεις, με ορισμένους ελέγχους εκτυπωτών να εντάσσονται στη συνολική στρατηγική συμμόρφωσης IT. Στην έρευνα της Spiceworks, επαγγελματίες IT ρωτήθηκαν ποιους ελέγχους πρόσβασης έχουν εφαρμόσει, σύμφωνα με τους "Ελέγχους CIS V7" (CIS Controls V7) του Κέντρου για την Ασφάλεια στο Διαδίκτυο (Center for Internet Security). 5 Έλεγχοι συμμόρφωσης που χρησιμοποιούνται Ενημερώσεις υλικού/ λογισμικού Ασφάλεια υλικού Προστασία από εισβολές Ανάλυση και αναφορά ελέγχου Αξιολογήσεις τρωτών σημείων Έλεγχοι ακεραιότητας συστήματος Διαδικασίες ασφάλειας εγγράφων Αντίμετρα για κακόβουλες επιθέσεις Αυτά τα δεδομένα αποκαλύπτουν ότι συχνά οι επαγγελματίες IT παραβλέπουν τις πιο βασικές προφυλάξεις ασφάλειας εκτυπωτών, όπως είναι η ενημέρωση του υλικολογισμικού, με μόλις τον έναν στους τρεις να ασχολείται τακτικά με τις δραστηριότητες συμμόρφωσης. Τα συμπεράσματα από τις έρευνες στον κλάδο συμπίπτουν. Σύμφωνα με την IDC, οι εκτυπωτές κατά κανόνα δεν αναβαθμίζονται με το πιο πρόσφατο υλικολογισμικό, επειδή οι οργανισμοί συνήθως υποτιμούν τον κίνδυνο.4 Επιπλέον, ενδεχομένως να μην αφιερώνουν το χρόνο που απαιτείται για τον έλεγχο, τη δοκιμή και την αποδοχή νέου υλικολογισμικού για τους εκτυπωτές στο στόλο. τρέχουσες πρακτικές 10

Προς μια ολοκληρωμένη ασφάλεια εκτυπωτών Από το 84% των επαγγελματιών IT που αναφέρουν ότι εφαρμόζουν κάποια πολιτική ασφάλειας, μόνο το 64% από αυτούς δηλώνουν ότι η εκτύπωση περιλαμβάνεται στη συγκεκριμένη πολιτική. Για τη Βόρεια Αμερική, το αντίστοιχο ποσοστό είναι μόλις 52%. Αυτός είναι ένας από τους λόγους που είναι τόσο σημαντική η δημιουργία ενσωματωμένων και αυτοματοποιημένων ελέγχων ασφάλειας εκτυπωτών και η ουσιαστική εφαρμογή τους. Οι εκτυπωτές με ενσωματωμένες λειτουργίες ασφάλειας συμβάλλουν στην ελαχιστοποίηση του κινδύνου, ενώ παράλληλα μεγιστοποιούν την αξία της επένδυσής σας στο IT. Οι αναλυτές της IDC έχουν, επίσης, διαπιστώσει ότι ισχύει το εξής: "Οι εκτυπωτές είναι πολύ πιο δύσκολο να θωρακιστούν μετά την αποστολή τους. Αυτό υπογραμμίζει τη σημασία της επιλογής εκτυπωτών που διαθέτουν ήδη βασικές και προηγμένες λειτουργίες ασφάλειας." 4 Σύμφωνα με την Gartner, "Για να αξιοποιηθεί η όλο και μεγαλύτερη δυναμική της αγοράς εκτυπώσεων, οι υπεύθυνοι στρατηγικού σχεδιασμού για θέματα τεχνολογίας πρέπει να δημιουργήσουν ένα αναλυτικό χαρτοφυλάκιο λύσεων για την ασφάλεια των εκτυπώσεων, χρησιμοποιώντας επίπεδα λύσεων που υπερβαίνουν τις βέλτιστες πρακτικές στον κλάδο της ασφάλειας. Πρέπει να ενσωματώσουν αυτές τις λύσεις στο ευρύτερο οικοσύστημα λύσεων για την ασφάλεια." 6 Οι πάροχοι των Managed Print Services διευρύνουν τις υπηρεσίες τους, προκειμένου να καλύψουν τμήματα IT το προσωπικό των οποίων δεν διαθέτει το απαιτούμενο εύρος γνώσεων για να αντιμετωπίσει τις προκλήσεις που σχετίζονται με την ασφάλεια των εκτυπωτών. Σύμφωνα με την IDC, "Οι προμηθευτές προσφέρουν μια εκτεταμένη γκάμα υπηρεσιών προστασίας σε επίπεδο συσκευών και δεδομένων, πολλές από τις οποίες έχουν σχεδιαστεί έτσι ώστε να ενσωματώνονται στα υπάρχοντα συστήματα διαχείρισης εγγράφων και διαχείρισης επιχειρησιακού περιεχομένου (ECM), προκειμένου να παρέχουν επιπλέον προστασία και να αντεπεξέρχονται στα ζητήματα συμμόρφωσης ως προς τη διαχείριση και τους κανονισμούς." 7 Ευτυχώς για τους επαγγελματίες IT, οι σύγχρονοι προηγμένοι εκτυπωτές προσφέρουν δεκάδες ενσωματωμένες λειτουργίες ασφάλειας για το χαρτοφυλάκιο ασφάλειας των εκτυπώσεων, όπως εντοπισμό απειλών, προστασία, ειδοποίηση και αυτόματη αποκατάσταση, διευκολύνοντας περισσότερο από ποτέ την ενίσχυση ενός από τα πλέον ευάλωτα τελικά σημεία στο δίκτυό σας - του "ταπεινού" εκτυπωτή. Ήρθε η ώρα να θωρακίσετε την ασφάλεια των εκτυπώσεών σας. Περισσότερες πληροφορίες προς μια ολοκληρωμένη ασφάλεια εκτυπωτών 11

Πληροφορίες για την έρευνα Η HP ανέθεσε στη Spiceworks τη διεξαγωγή έρευνας το Μάιο του 2018. Στόχος αυτής της έρευνας ήταν οι υπεύθυνοι λήψης αποφάσεων IT, συμπεριλαμβανομένων των διευθυντών IT, των διαχειριστών IT και άλλων μελών του προσωπικού IT, προκειμένου να γίνουν αντιληπτές οι τρέχουσες πρακτικές ασφάλειας για τους εκτυπωτές και να προσδιοριστούν οι τομείς κινδύνου. Στα αποτελέσματα της έρευνας συμπεριλήφθηκαν απαντήσεις από περίπου 500 συμμετέχοντες στη Βόρεια Αμερική και τις περιοχές EMEA και APAC, οι οποίοι εργάζονται σε οργανισμούς με 250 ή περισσότερους υπαλλήλους. Πηγές 1 McLean, Asha, "Unsecured printers a security weak point for many organisations: HP", ZDNet, 18 Απριλίου 2017. https://www.zdnet.com/article/unsecured-printers-a-security-weak-point-for-many-organisations-hp/ 2 Pickhardt, Kevin, "Why Your Innocent Office Printer May Be a Target For Hackers", Entrepreneur, 31 Ιανουαρίου 2018. https://www.entrepreneur.com/article/308273 3 Peyser, Eve, "Hacker Claims He Hacked 150,000 Printers to Raise Awareness About Hacking", Gizmodo, 6 Φεβρουαρίου 2017. https://gizmodo.com/hacker-claims-he-hacked-150-000-printers-to-raise-aware-1792067012 4 Brown, Duncan, et al., "IDC Government Procurement Device Security Index 2018", IDC, Μάιος 2018. 5 "CIS Controls", Center for Internet Security, Μάρτιος 2018. https://www.cisecurity.org/controls/ 6 Von Manowski, Kristin Merry και Deborah Kish, "Market Insight: IoT Security Gaps Highlight Emerging Print Market Opportunities", Gartner, 31 Οκτωβρίου 2017 https://www.gartner.com/doc/reprints?id=1-4ockfkg&ct=180110&st=sb 7 Palmer, Robert και Allison Correia, "IDC MarketScape: Worldwide Security Solutions and Services Hardcopy 2017 Vendor Assessment", IDC, 2017.