Máy in có thể bị hack - vậy tại sao các sếp không bảo vệ chúng?

Mathieu Gorge, người sáng lập và Giám đốc điều hành của công ty quản lý rủi ro kỹ thuật số VigiTrust, đã gặp vấn đề. Anh ấy nhận ra rằng máy in thông minh là một lỗ hổng trong nhiều biện pháp phòng thủ an ninh mạng của khách hàng của anh ấy, nhưng không phải tất cả chúng đều như vậy.

“Tôi nghĩ việc bảo mật một nhóm 10.000 máy tính xách tay và thiết bị từ xa sẽ hấp dẫn hơn là bảo vệ 200 máy in, bạn biết không?” anh ấy nói với tôi. "Có rất nhiều giải pháp ngoài kia cho bảo mật điểm cuối truyền thống hơn là bảo mật máy in."

Điều này bất chấp thực tế là một máy in thông minh điển hình được sản xuất ngày nay sẽ có dung lượng ổ cứng tương đương với một máy tính xách tay được sản xuất cách đây hai hoặc ba năm và rất có thể được sử dụng để in và quét các tài liệu nhạy cảm một cách thường xuyên. Trong thập kỷ qua, Gorge đã cố gắng nâng cao nhận thức của các doanh nghiệp và các tổ chức khác về mối đe dọa ngày càng tăng mà các máy in không được bảo vệ gây ra cho hệ thống phòng thủ mạng của họ.

Ông giải thích: “Tôi là một phần của Sáng kiến ​​In an toàn, và toàn bộ ý tưởng hồi đó là máy in rất dễ bị tổn thương - bởi vì rất nhiều loại máy in đa chức năng và thuộc loại tài sản bị lãng quên của hệ sinh thái. “Họ có rất nhiều dữ liệu. Bởi vì khi bạn sắp ký một hợp đồng lớn hoặc xem xét thông số kỹ thuật, bạn sẽ làm gì? Bạn in nó, vì bạn muốn xem nó, ghi chú, v.v. Và do đó, tất cả các tài liệu đó cuối cùng sẽ được in, nhưng bản thân các máy in không nhất thiết phải được bảo mật - bất kỳ ai cũng có thể thực hiện lặp đi lặp lại một công việc ”.

Đương nhiên, những tiến bộ trong công nghệ chỉ khiến các máy in trực tuyến trở thành mục tiêu hấp dẫn hơn đối với tội phạm ransomware và các tác nhân đe dọa khác, một vấn đề càng trở nên trầm trọng hơn bởi sự dễ dàng mà chúng có thể bị nhắm mục tiêu. Mới ngày hôm trước, Gorge đã chạy một tìm kiếm đơn giản trên Google cho thấy địa chỉ giao thức internet (IP) được liệt kê công khai của hàng trăm máy không an toàn.

Ông nói: “Hầu hết các thiết bị đa chức năng mới đều cho phép bạn quét để fax, quét để gửi email và thực hiện nhiều việc khác nhau giữa chụp và in tài liệu. “Vì vậy, chúng trở thành con ngựa thành Troy của kho công nghệ thông tin. Bởi vì họ không thực sự được xem xét. Mọi người đều nói về bảo mật điểm cuối, họ muốn bảo mật điện thoại di động, máy tính xách tay, iPad, v.v. Nhưng máy in cũng cần phải là một phần của bảo mật ”.

Gorge đảm bảo với tôi rằng có các biện pháp bảo mật công nghệ cao để giúp bảo mật các tài liệu nhạy cảm cần được in ra, Gorge đảm bảo với tôi, nhưng các giám đốc điều hành không phải lúc nào cũng biết về chúng. Ví dụ: tính năng in Follow Me cho phép bạn di chuyển từ Dublin đến New York mà không cần in và mang theo các tài liệu có giá trị trong chuyến đi của mình - thay vào đó bạn gửi chúng đến một máy in hỗ trợ IP trong văn phòng bạn đang đi du lịch.

Gorge nói: “Tôi đã có một thẻ xác thực và khi tôi đến New York, công việc đã ở đó, được mã hóa và chỉ tôi mới có thể in nó. “Đó không phải là công nghệ mới, nó đã có mười năm.”

Khách hàng gặp rủi ro

Sự tự mãn này liên quan đến bảo mật máy in giữa các giám đốc điều hành có thể có tác động lan tỏa, gây hại không chỉ cho các doanh nghiệp mà còn gây hại cho khách hàng của họ bằng cách tiết lộ thông tin cá nhân của họ cho tội phạm mạng.

Gorge nói: “Nếu bạn xem các khoản thanh toán bằng thẻ tín dụng hoặc ai đó điền vào thẻ khách hàng thân thiết và gửi lại qua đường bưu điện, thì tài liệu đó sẽ đến bộ phận bán hàng và tiếp thị của công ty và họ sẽ quét nó vào email. “Bạn kết thúc với nhiều bản sao dữ liệu chủ thẻ tín dụng. Nó nằm trên máy in, máy chủ email, bản sao lưu của bạn, ở mọi nơi. ”

Các tổ chức tư nhân và khu vực công không lập bản đồ đầy đủ về hệ sinh thái dữ liệu của họ, ông cảnh báo: “bạn cần bao gồm cả môi trường in ấn và thu thập tài liệu. Điều đó không được đề cập kỹ trong các tiêu chuẩn và quy định. ”

Việc thiếu giám sát này có khả năng làm lộ hồ sơ y tế tại các bệnh viện và cho phép tội phạm mạng giả mạo hoặc giả mạo các hợp đồng bảo hiểm và các tài liệu do khu vực công cấp như TV hoặc giấy phép lái xe.

Gorge nói: “Hãy tưởng tượng nếu tôi có thể đột nhập vào một máy in và in giấy chứng nhận bảo hiểm cho ô tô. “Giấy chứng nhận sẽ không bị làm giả, nó sẽ trông rất đẹp - tất cả những gì tôi sẽ thay đổi là đăng ký, biển số xe. Điều đó có thể được thực hiện ”.

“Các bệnh viện cũng có nguy cơ. Không phải tất cả mọi người trong ngành y tế đều có thể in kết quả xét nghiệm máu của tôi. Nó nên được giới hạn chỉ dành cho người hành nghề và có thể là trợ lý của anh ấy hoặc phòng thí nghiệm, nhưng nó không phải dành cho tất cả. Nếu ai đó đánh cắp chi tiết thẻ tín dụng của tôi, tôi có thể lấy lại thẻ khác trong vòng hai ngày và rất có thể tôi sẽ lấy lại được tiền. Nếu ai đó làm xáo trộn dữ liệu sức khỏe của tôi, tôi chỉ có một bộ. Nó không thể phục hồi được. ”

Làm thế nào để bảo vệ chống lại tấn công máy in 

Nói chuyện với Gorge khiến tôi nhớ đến một thử nghiệm mà nhóm nghiên cứu của chúng tôi tại Cybernews đã thực hiện cách đây vài năm. Các nhà điều tra của chúng tôi đã sử dụng công cụ tìm kiếm Internet vạn vật (IoT) chuyên dụng Shodan để xác định vị trí hàng nghìn máy in không an toàn, đã xâm nhập vào 28.000 máy. Hoạt động diễn ra trong tổ chức hacker mũ trắng - các nhà nghiên cứu của chúng tôi đã làm cho các máy bị xâm nhập in ra một tài liệu thông báo cho chủ sở hữu rằng họ đã bị tấn công, khuyên họ tăng cường phòng thủ.

Tuy nhiên, tất nhiên, không phải tất cả các hacker đều có ý định tốt, vì vậy tôi hỏi Gorge những người ra quyết định nên thực hiện các bước nào để bảo mật mạng máy in của họ.

Ông giải thích: “Trước hết, máy in thông minh của bạn phải có tường lửa và chỉ có lưu lượng truy cập chính xác mới đến và đi từ máy in thông minh”, đồng thời cho biết thêm rằng tài liệu sẽ được tự động xóa khỏi bộ nhớ của máy in vài phút một lần. “Vì vậy, trừ khi nó đang in Follow Me và nó đang đợi ai đó và được mã hóa hoàn toàn, nó sẽ bị xóa khỏi bộ nhớ của máy in để bạn không thể phát lại nó.”

Tiếp theo là một chính sách truy cập nghiêm ngặt, mà các giám đốc điều hành cần thực hiện đối với máy in cũng như đối với máy chủ hoặc ứng dụng đám mây. Gorge giải thích: “Một số người sẽ chỉ có thể in, một số in và quét để fax và email - những người khác sẽ chỉ có thể in tài liệu nếu họ sử dụng tính năng Follow Me vì dữ liệu họ có quá nhạy cảm. “Sau đó, bạn đưa ra các biện pháp kỹ thuật phù hợp - xác thực hai yếu tố, phần mềm toàn vẹn tệp. Nếu tôi đang cố gắng quét một tài liệu để gửi qua email khi nó không có trong hồ sơ của tôi, bạn có thể dừng việc đó lại hoặc đưa ra cảnh báo. Tôi đang quét thông tin bí mật, tôi có cần phải làm điều đó không? Vì vậy, nó thực sự trên cơ sở cần giám sát ”.

Để giúp nâng cao nhận thức của các sếp và thuyết phục họ coi trọng vấn đề bảo mật máy in hơn, Gorge và nhóm của ông thậm chí sẽ chạy "bẫy mồi" bằng cách sử dụng các tài liệu không có thật, để chứng minh rằng nhân viên sẽ sẵn sàng in thứ gì đó mà họ không nên có quyền truy cập nếu nó làm họ tò mò.

Ông nói: “Một điều hoạt động thực sự hiệu quả là in ra một danh sách lương giả. “Chúng tôi đã thực hiện rất nhiều sự kiện cho khách hàng mà họ chỉ cần hiểu những gì đang xảy ra với máy in, vì vậy chúng tôi đưa một công việc in vào danh sách đợi in có nội dung là Mức lương điều hành - và bạn sẽ ngạc nhiên khi có bao nhiêu người in nó! Tất nhiên là hoàn toàn giả rồi ”.

Đừng bỏ qua điểm mù này

Nhưng Gorge sẽ nói gì với những người sử dụng lao động, những người lo ngại rằng những hạn chế do các biện pháp an ninh khắt khe hơn tạo ra sẽ cản trở nhân viên của họ làm việc, khiến họ cảm thấy căng thẳng và bất mãn?

“Rõ ràng, luôn có sự mâu thuẫn khi bạn cố gắng hạn chế khả năng sử dụng các tính năng của mọi người,” anh thừa nhận. “Nhưng ở một số giai đoạn, bạn cần phải quan tâm những gì thực sự quan trọng đối với doanh nghiệp. Đó là một điểm mù. Nó không phải là mới, nhưng điều mới là các máy in không dây - và chúng ở khắp mọi nơi. Trong khi trước đây bạn cần phải xâm nhập vào hệ thống để tìm máy in, thì giờ đây chúng thực sự tự quảng cáo - vì vậy bạn phải nâng cao nhận thức ”.

Không có gì ngạc nhiên khi các băng nhóm mạng không cần nhiều chuyên môn kỹ thuật hoặc bí quyết điều tra để khai thác các lỗ hổng tự quảng cáo này.

“Tôi chắc chắn rằng có danh sách các máy in được bảo vệ nhiều hơn trên dark web, nhưng đối với các máy in khác, bạn thực sự không cần bất cứ thứ gì - chúng chỉ mở như vậy, thật là điên rồ,” Gorge nhấn mạnh. “Và đó là một trong những điều khác - trình độ kỹ năng của những kẻ tấn công đang đi xuống, họ không cần phải là chuyên gia. Họ thậm chí không cần phải có kỹ thuật, nó dễ dàng tìm thấy. ”

Kết lại, Gorge trích dẫn một “mô hình đau buồn” mà ông đã nêu trong cuốn sách Con voi mạng trong phòng họp, trình bày chi tiết năm bước mà những người ra quyết định thực hiện để nhận ra họ có vấn đề về an ninh mạng và thực hiện hành động cần thiết để khắc phục nó: “Giai đoạn đầu tiên là từ chối, rồi giận dữ, rồi mặc cả, rồi trầm cảm, và cuối cùng là chấp nhận - rằng đó chỉ là một trong những điểm mù mà chúng ta đã không che đậy, và chúng ta cần phải làm thế. Nó không phải là khoa học tên lửa, bạn biết không? ”