長期以來，企業(yè)打印機一直是IT安全的事后考慮事項，但今年早些時候發(fā)生的PrintNightmare事件改變了這一切。PrintNightmare是微軟Windows Print Spooler服務中的一個漏洞，當Windows Print Spooler服務錯誤地執(zhí)行特權文件操作時，遠程代碼執(zhí)行漏洞就會出現(xiàn)。攻擊者利用該漏洞，可以將普通用戶權限提升至System權限，進行一系列破壞活動。

　　為此，微軟發(fā)布了一系列安全補丁，企業(yè)安全團隊也紛紛開始評估其網絡上打印機的安全性。鑒于大多數(shù)公司將長期采用混合辦公模式——員工會在家中使用個人打印機，或通過遠程連接到企業(yè)的打印機開展工作，在這種情況下，打印機安全評估變得尤為重要。

　　共享評估（Shared Assessments）北美指導委員會主席Nasser Fattah表示，過去，打印機并沒有被視為安全問題，盡管它們每天都在打印一些敏感文件，并且每天都連接到企業(yè)網絡上。而且，打印機還帶有許多應用程序，包括Web服務器——與其他應用程序一樣，這些應用程序可能具有默認密碼和漏洞，以及可容納大量敏感信息的存儲空間。

　　此外，辦公室打印機還可以連接到企業(yè)的身份存儲庫，以便驗證用戶打印和電子郵件系統(tǒng)，這將帶來嚴重的安全問題，使攻擊者能夠訪問企業(yè)網絡、敏感信息和資源等。例如，攻擊者可以通過打印默認密碼，將打印重定向到未經授權的位置，開展攻擊活動。此外，網絡上易受攻擊的打印機也為攻擊者提供了一個切入點。

　　基于上述事實，企業(yè)組織需要掌握保護打印機安全的七種方法。

　　01

　　將打印機視為暴露在網絡中的物聯(lián)網設備

　　惠普打印網絡安全首席技術專家Shivaun Albright表示，安全團隊需要像對待PC、服務器和物聯(lián)網（IoT）設備一樣考慮打印機安全。這意味著他們需要更改默認密碼并定期更新固件。Albright解釋稱，“太多企業(yè)組織未將打印機安全視為整體IT治理的一部分，它甚至不被視為安全流程的一部分，因此沒有配備合適的人員，也沒有獲得適當?shù)陌踩A算?！?/p>

　　網絡安全公司Coalfire副總裁Andrew Barratt表示，企業(yè)常犯的錯誤是沒有像對待其他數(shù)據入口和出口點一樣對待打印機，尤其是在企業(yè)組織具備大型多功能設備的情況下。他指出，打印機本質上是復雜的嵌入式計算設備，其安全足跡與許多其他物聯(lián)網設備相似，但它可以訪問更多數(shù)據。

　　Barratt表示，“許多打印機都有相當大的存儲設備，可以包含許多打印作業(yè)或掃描副本，而且通常沒有任何加密或其他訪問控制。它們通常聯(lián)網，但很少經歷過安全測試，在企業(yè)網絡中可能有Wi-Fi連接的打印機，它們不僅可以訪問企業(yè)網絡，而且可以使用較低的限制就能允許更多用戶訪問設備。對于入侵者來說，它們是一個受歡迎的樞紐點?！?/p>

　　02

　　啟用打印服務日志記錄

　　日志記錄是了解網絡上發(fā)生事情的必要部分。事件響應軟件公司BreachQuest聯(lián)合創(chuàng)始人兼首席技術官Jake Williams表示，隨著居家辦公（WFH）的持續(xù)推進，建議在企業(yè)端點上啟用打印服務日志記錄（默認情況下禁用），以確保安全團隊在WFH情況下查看打印作業(yè)。事實證明，此日志記錄還能捕獲新打印機的安裝進程，甚至是嘗試行為，并為PrintNightmare提供可靠的檢測。

　　03

　　將打印機放在單獨的VLAN上

　　Haystack Solutions公司CEO Doug Britton表示，企業(yè)安全團隊應該將打印機放在自己的VLAN中，并在網絡的其余部分設置虛擬防火墻，打印機VLAN應該被視為不受信任的網絡。Britton表示，“這將在確保打印機正常運行的同時，限制其損壞能力。如果打印機被黑客入侵并開始‘監(jiān)聽’或試圖竊取數(shù)據，這一切都能夠被防火墻觀察到，任何來自打印機‘協(xié)議外’的探測都將被立即檢測到。”

　　惠普的Albright指出，超過一半的打印機可以通過常用開放端口進行訪問。她建議，企業(yè)安全團隊關閉所有未使用的打印機端口，禁用未使用的互聯(lián)網連接，并關閉經常不用的telnet端口。Gurucul首席執(zhí)行官Saryu Nayyar給出的另一個建議是，盡可能對打印機進行標準化設置，在減少IT人員工作量的同時，減少其出錯的可能性。

　　04

　　提供更好的培訓和安全意識

　　惠普最近的研究結果顯示，自新冠肺炎疫情流行以來，約有69%的辦公室工作人員使用個人筆記本電腦或個人打印機/掃描儀工作，這無疑進一步擴大了企業(yè)的攻擊面。Digital Shadows戰(zhàn)略副總裁兼CISO Rick Holland表示，安全團隊必須就“在家使用打印機的風險”對員工進行培訓。而且，這些打印機應該由IT部門進一步加固。

　　Holland 補充說：“與任何潛在入侵的成本相比，由IT維護并配備標準化具有強大安全和隱私功能的打印機，所付出的成本微不足道。企業(yè)組織應考慮消除打印法律文件和利用電子簽名服務的活動。如果員工需要在家打印，務必堅守‘閱后即焚’原則，企業(yè)組織也應該考慮為敏感文件提供碎紙機?！?/p>

　　05

　　使用正確的工具獲得網絡可見性

　　企業(yè)安全團隊對于攻擊者對其網絡的可見性通常認識不清?；萜盏腁lbright表示，安全團隊可以首先使用像Shodan這樣的公開可用工具，來了解有多少物聯(lián)網設備（包括打印機）暴露在互聯(lián)網上。如果防御者不了解設備，就談不上保護設備。

　　此外，企業(yè)安全團隊還應該將打印機日志信息集成到安全信息和事件管理（SIEM）工具中。

　　不過，SIEM的好壞取決于提供給它們的信息。因此，企業(yè)安全團隊應該尋找提供可靠數(shù)據的打印機管理工具。通過這種工具，企業(yè)安全分析師可以真正判斷打印機是否已被用作發(fā)起攻擊的入口點，或是否已授予橫向移動訪問權限。

　　06

　　執(zhí)行打印機偵察和資產管理

　　根據ThreatModeler創(chuàng)始人兼CEO Archie Agarwal的說法，傳統(tǒng)意義上，攻擊打印機被視為黑客攻擊中更幽默的一面：它們并不會造成損害，而是打印出有趣或挑釁的信息等。但現(xiàn)在的情況不同了，因為這些打印機開始連接到企業(yè)內部網絡，而且企業(yè)組織通常會忘記或忽略這些潛在的門戶，犯罪分子也并沒有忘記它們的存在。

　　當這些打印機上的服務擁有可以通過遠程代碼執(zhí)行征用的強大特權時，危險便一觸即發(fā)。這就是安全團隊需要對企業(yè)組織環(huán)境進行嚴格偵察的原因所在。企業(yè)安全團隊需要清點正在偵聽入站連接的內部網絡所有資產，并采取必要措施來保護它們，這意味著可能需要鎖定設備或定期修補它們。

　　07

　　利用漏洞掃描器

　　New Net Technologies首席技術官Mark Kedgley表示，打印機通常被視為良性設備，沒有任何憑據或嚴重的機密數(shù)據可以公開，但情況可能不一定如此。雖然國家漏洞數(shù)據庫（NVD） 報告給出的打印機漏洞，并不像其他計算平臺和設備報告的漏洞那么常見，但仍然存在可能導致麻煩的問題，尤其是在今天的環(huán)境中。

　　Kedgley補充道，最危險的漏洞是那些可能讓攻擊者訪問打印文檔的漏洞。他指出，3月份報告的許多漏洞影響了主要用于CAD或GIS輸出的Canon Oce ColorWave 500打印機。企業(yè)安全團隊可以像測試其他漏洞一樣，通過使用基于網絡的漏洞掃描器來測試這些漏洞，不過，這些掃描器需要進行修補或強化，以緩解或修復威脅。