繼 PrintNightmare 事件后，打印機(jī)安全成為安全團(tuán)隊(duì)的熱點(diǎn)問(wèn)題。以下是在企業(yè)網(wǎng)絡(luò)上保護(hù)打印機(jī)安全的七種方法。

　　企業(yè)打印機(jī)長(zhǎng)期以來(lái)一直是 IT 安全的事后考慮，但今年早些時(shí)候 PrintNightmare 改變了這一切，這是微軟 Windows 打印后臺(tái)處理程序服務(wù)中的一個(gè)缺陷，可在遠(yuǎn)程代碼執(zhí)行攻擊中被利用。

　　因此，微軟發(fā)布了一系列補(bǔ)丁——企業(yè)安全團(tuán)隊(duì)開(kāi)始評(píng)估其網(wǎng)絡(luò)上打印機(jī)的安全性。鑒于大多數(shù)公司將繼續(xù)作為混合工作場(chǎng)所運(yùn)營(yíng)，員工在家中使用個(gè)人打印機(jī)以及遠(yuǎn)程連接到工作中的打印機(jī)，所以這一點(diǎn)尤為重要。

　　共享評(píng)估北美指導(dǎo)委員會(huì)主席 Nasser Fattah 表示：“打印機(jī)過(guò)去并沒(méi)有被視為安全問(wèn)題，盡管它們每天打印一些我們最敏感的數(shù)據(jù)并且整天都連接到我們的網(wǎng)絡(luò)?！彼赋觯蛴C(jī)帶有許多應(yīng)用程序，包括 Web 服務(wù)器——與任何其他應(yīng)用程序一樣，這些應(yīng)用程序可能具有默認(rèn)密碼和漏洞——以及可容納大量敏感信息的相當(dāng)大的存儲(chǔ)空間。

　　“此外，辦公室打印機(jī)連接到公司的身份存儲(chǔ)庫(kù)，以便用戶驗(yàn)證打印和電子郵件系統(tǒng)向用戶提供打印狀態(tài)，”Fattah 說(shuō)，“因此，打印機(jī)會(huì)帶來(lái)嚴(yán)重的安全問(wèn)題，使攻擊者能夠訪問(wèn)公司網(wǎng)絡(luò)、敏感信息和資源。例如，攻擊者可以通過(guò)打印默認(rèn)密碼將打印重定向到未經(jīng)授權(quán)的位置。此外，網(wǎng)絡(luò)上易受攻擊的打印機(jī)為攻擊者提供了一個(gè)切入點(diǎn)。”

　　鑒于這些現(xiàn)實(shí)，我們向行業(yè)專家詢問(wèn)了有關(guān)如何幫助安全團(tuán)隊(duì)在企業(yè)網(wǎng)絡(luò)上鎖住打印機(jī)的提示。

　　將打印機(jī)視為暴露在網(wǎng)絡(luò)中的物聯(lián)網(wǎng)設(shè)備

　　惠普打印網(wǎng)絡(luò)安全首席技術(shù)專家?jiàn)W爾布賴特（Shivaun Albright）表示，安全團(tuán)隊(duì)需要像對(duì)待 PC、服務(wù)器和物聯(lián)網(wǎng) （IoT） 設(shè)備一樣考慮打印機(jī)安全。這意味著他們需要更改默認(rèn)密碼并定期更新固件。

　　“有太多組織未將打印機(jī)安全視為整體 IT 治理標(biāo)準(zhǔn)的一部分，”奧爾布賴特說(shuō)，“它通常不被視為安全流程的一部分，因此沒(méi)有得到適當(dāng)?shù)念A(yù)算和人員配備”。

　　Coalfire 技術(shù)和企業(yè)副總裁安德魯·巴拉特 （Andrew Barratt） 表示，企業(yè)常犯的錯(cuò)誤是沒(méi)有像對(duì)待任何其他數(shù)據(jù)入口和出口點(diǎn)那樣對(duì)待打印機(jī)，尤其是在大型多功能設(shè)備的情況下。他指出，打印機(jī)本質(zhì)上是復(fù)雜的嵌入式計(jì)算設(shè)備，其安全足跡與許多其他物聯(lián)網(wǎng)設(shè)備相似，但可以訪問(wèn)更多數(shù)據(jù)。

　　“許多打印機(jī)都有相當(dāng)大的存儲(chǔ)設(shè)備，可以包含許多打印作業(yè)或掃描副本，而且通常沒(méi)有任何加密或其他訪問(wèn)控制，”巴拉特說(shuō)，“它們是網(wǎng)絡(luò)連接的，通常很少接觸安全測(cè)試，并且經(jīng)常是大型組織攻擊中被遺忘的部分。”

　　啟用打印服務(wù)日志記錄

　　日志記錄是了解網(wǎng)絡(luò)上發(fā)生的事情的必要部分。BreachQuest 的聯(lián)合創(chuàng)始人兼首席技術(shù)官 Jake Williams 表示，打印服務(wù)日志可以為安全團(tuán)隊(duì)提供有關(guān)連接到網(wǎng)絡(luò)的所有打印機(jī)的大量有價(jià)值的信息——在 PrintNightmare 之前，企業(yè)安全團(tuán)隊(duì)并沒(méi)有太多關(guān)注這一領(lǐng)域。

　　他說(shuō)：“隨著居家工作的開(kāi)始，我建議啟用企業(yè)端點(diǎn)上的打印服務(wù)日志記錄[默認(rèn)情況下禁用]，以確保安全團(tuán)隊(duì)在WFH情況下看到發(fā)送到USB連接打印機(jī)的打印作業(yè)，這些打印作業(yè)繞過(guò)打印服務(wù)器，而打印服務(wù)器通常進(jìn)行日志記錄。事實(shí)證明，此日志記錄還捕獲了新打印機(jī)的安裝——甚至是嘗試——并為 PrintNightmare 提供了可靠的檢測(cè)。”

　　將打印機(jī)放在單獨(dú)的 VLAN 上

　　Haystack Solutions 的首席執(zhí)行官布里頓（Doug Britton）表示，安全團(tuán)隊(duì)?wèi)?yīng)該將打印機(jī)放在他們自己的 VLAN 中，并在網(wǎng)絡(luò)的其余部分之間設(shè)置一個(gè)虛擬防火墻。他說(shuō)，打印機(jī) VLAN 應(yīng)該被視為不受信任的網(wǎng)絡(luò)。

　　“這將使打印機(jī)正常運(yùn)行，同時(shí)限制它們?cè)斐蓳p壞的能力，假設(shè)它們已受到損害?！辈祭镱D說(shuō)，“如果打印機(jī)被黑客入侵并開(kāi)始‘監(jiān)聽(tīng)’或試圖竊取數(shù)據(jù)，他們將不得不通過(guò)防火墻進(jìn)行，這將是可觀察到的。來(lái)自打印機(jī)的任何‘協(xié)議外’探測(cè)都將被立即檢測(cè)到。”

　　惠普的奧爾布賴特還指出，超過(guò)一半 （56%） 的打印機(jī)可以通過(guò)可能被黑客入侵的常用開(kāi)放打印機(jī)端口訪問(wèn)。她建議，安全團(tuán)隊(duì)?wèi)?yīng)該關(guān)閉所有未使用的打印機(jī)端口，禁用未使用的互聯(lián)網(wǎng)連接，并關(guān)閉目前經(jīng)常未使用的 telnet 端口。

　　Gurucul 首席執(zhí)行官 Saryu Nayyar 的另一個(gè)提示是：“組織中的打印機(jī)通常沒(méi)有標(biāo)準(zhǔn)化。IT 人員必須定期檢查多個(gè)型號(hào)以獲取安全更新。盡可能對(duì)打印機(jī)進(jìn)行標(biāo)準(zhǔn)化可以減少 IT 人員的工作量并減少出錯(cuò)的可能性。”

　　提供更好的培訓(xùn)和安全意識(shí)

　　根據(jù)惠普最近的研究，自疫情開(kāi)始以來(lái)，約有 69% 的辦公室工作人員使用他們的個(gè)人筆記本電腦或個(gè)人打印機(jī)/掃描儀進(jìn)行工作活動(dòng)，這使他們的公司面臨攻擊。

　　Digital Shadows 戰(zhàn)略副總裁兼首席信息安全官 Rick Holland 表示，安全團(tuán)隊(duì)必須就在家使用打印機(jī)的風(fēng)險(xiǎn)對(duì)員工進(jìn)行培訓(xùn)。這些打印機(jī)應(yīng)該由他們的 IT 部門(mén)加強(qiáng)。Holland 補(bǔ)充說(shuō)，打印機(jī)并不昂貴，公司應(yīng)該標(biāo)準(zhǔn)化具有強(qiáng)大安全和隱私功能的打印機(jī)，并將其提供給必須遠(yuǎn)程打印的員工。

　　“與潛在入侵的成本相比，由 IT 維護(hù)并配備適當(dāng)安全控制的 300 美元打印機(jī)根本不算什么，”Holland 說(shuō)，“公司還應(yīng)考慮消除打印法律文件和利用 [電子簽名] 服務(wù)的需要。如果員工需要在家打印，公司應(yīng)該考慮為敏感文件提供橫切碎紙機(jī)?！?/p>

　　使用正確的工具獲得網(wǎng)絡(luò)可見(jiàn)性

　　企業(yè)安全團(tuán)隊(duì)并不總是意識(shí)到攻擊者可以看到多少他們的網(wǎng)絡(luò)。惠普的奧爾布賴特表示，安全團(tuán)隊(duì)可以首先使用像 Shodan 這樣的公開(kāi)工具來(lái)發(fā)現(xiàn)有多少物聯(lián)網(wǎng)設(shè)備（包括打印機(jī)）暴露在互聯(lián)網(wǎng)上。

　　如果防御者不了解設(shè)備，也很難保護(hù)設(shè)備。她說(shuō)，安全專家還應(yīng)該將打印機(jī)日志信息集成到安全信息和事件管理 （SIEM） 工具中。

　　然而，SIEM 的好壞取決于提供給它們的信息。奧爾布賴特說(shuō)，因此安全團(tuán)隊(duì)?wèi)?yīng)該尋找提供可靠數(shù)據(jù)的打印機(jī)管理工具。通過(guò)這種方式，安全分析師可以真正判斷打印機(jī)是否已被用作發(fā)起攻擊的入口點(diǎn)或授予橫向移動(dòng)訪問(wèn)權(quán)限。

　　執(zhí)行打印機(jī)偵察和資產(chǎn)管理

　　根據(jù) ThreatModeler 的創(chuàng)始人兼首席執(zhí)行官 Archie Agarwal 的說(shuō)法，攻擊打印機(jī)傳統(tǒng)上被視為黑客攻擊中更幽默的一面：它們相當(dāng)無(wú)害，例如打印出有趣或挑釁的信息。但現(xiàn)在情況不再如此，他說(shuō)，因?yàn)檫@些相同的打印機(jī)連接到私有的公司內(nèi)部網(wǎng)絡(luò)，始終偵聽(tīng)來(lái)自外部世界的連接。通常，公司會(huì)忘記或忽略這些潛在的門(mén)戶。

　　“正如我們最近看到的那樣，犯罪分子并沒(méi)有忘記，當(dāng)這些打印機(jī)上的服務(wù)擁有可以通過(guò)遠(yuǎn)程代碼執(zhí)行征用的強(qiáng)大特權(quán)時(shí)，我們就會(huì)遇到令人興奮和危險(xiǎn)的組合?！盇garwal 說(shuō)。

　　這就是為什么他說(shuō)安全團(tuán)隊(duì)需要對(duì)他們自己的環(huán)境進(jìn)行嚴(yán)格的偵察。他們需要清點(diǎn)連接到正在偵聽(tīng)入站連接的內(nèi)部網(wǎng)絡(luò)的所有資產(chǎn)，并采取必要的措施來(lái)保護(hù)它們。這可能意味著鎖定設(shè)備或定期修補(bǔ)它們。

　　“如果他們不進(jìn)行這種偵察，犯罪分子就會(huì)為他們進(jìn)行偵察，而最終結(jié)果可能并非無(wú)害?！盇garwal說(shuō)。

　　利用漏洞掃描器

　　New Net Technologies的首席技術(shù)官 Mark Kedgley 說(shuō)，打印機(jī)通常被視為良性設(shè)備，沒(méi)有任何憑據(jù)或嚴(yán)重的機(jī)密數(shù)據(jù)可以公開(kāi)，但情況可能不一定如此。誠(chéng)然，國(guó)家漏洞數(shù)據(jù)庫(kù) （NVD） 報(bào)告并給出通用漏洞披露 （CVE） 的打印機(jī)漏洞并不像其他計(jì)算平臺(tái)和設(shè)備報(bào)告的漏洞那么常見(jiàn)，但仍然存在可能導(dǎo)致麻煩的問(wèn)題，尤其是在今天的環(huán)境中。

　　Kedgley 說(shuō)，最重要的漏洞是那些可能讓攻擊者訪問(wèn)打印文檔的漏洞。他指出，3 月份報(bào)告的許多漏洞影響了主要用于 CAD 或 GIS 輸出的 Canon Oce ColorWave 500 打印機(jī)。他說(shuō)，企業(yè)安全團(tuán)隊(duì)可以像測(cè)試其他漏洞一樣，通過(guò)使用基于網(wǎng)絡(luò)的漏洞掃描器來(lái)測(cè)試這些漏洞，該掃描器需要進(jìn)行修補(bǔ)或配置強(qiáng)化，以緩解或修復(fù)威脅。

　　背景補(bǔ)充

　　2021年6月8日，微軟官方修復(fù)了一個(gè)存在于打印機(jī)服務(wù)Windows Print Spooler中的高危漏洞（CVE-2021-1675）。利用該漏洞，攻擊者可以將普通用戶權(quán)限提升至System權(quán)限。然而在安全研究人員對(duì)其安全補(bǔ)丁驗(yàn)證的過(guò)程中，又發(fā)現(xiàn)了另一處比較嚴(yán)重的遠(yuǎn)程攻擊漏洞（CVE-2021-34527，代號(hào)“PrintNightmare”）。利用此漏洞，攻擊者可以直接在域環(huán)境中攻擊域控服務(wù)器，拿下整個(gè)域控，或是在工作組環(huán)境中肆意漫游，影響所有Windows版本中的Windows Print Spooler，包括安裝在個(gè)人計(jì)算機(jī)、企業(yè)網(wǎng)絡(luò)、Windows服務(wù)器和域控制器上的版本。7月6日至7日，微軟連續(xù)發(fā)布o(jì)ut of band補(bǔ)丁來(lái)修復(fù)該漏洞。