יום חמישי , ספטמבר 21 2017
מבזקים
דף הבית > כתבות IT מגזין > Brother: לסגור את פרצת האבטחה במערך ההדפסה

Brother: לסגור את פרצת האבטחה במערך ההדפסה

אין היום ארגון, עסק או משתמש פרטי שלא מודע לסכנות הרשת, איומי הסייבר ונזקי ההאקרים. אבל יש הבדל בין מודעות כללית לבעיה אוניברסלית לבין זיהוי נקודת חולשה במערכת המידע גם כשהיא עומדת חשופה לנוכח עיניכם, שפשוט לא רואות סכנה בציוד שעד כה נחשב ל"חומרה טיפשה", שלא יכול להזיק גם עם יתעלמו מקיומו. המדפסת, שנמצאת במוקד

דני גבירץ

דני גבירץ

כתבה זו, כבר מזמן אינה המכונה הקשקשנית שאין לה מספיק אינטליגנציה לשמש את ההאקר, שמחפש נקודת פריצה לארגון. מזה יותר מעשור אפילו מדפסות פשוטות יחסית מגיעות עם ממשק רשת אינטגרלי ועם מעבד וזיכרון שמיועדים לאפשר שליטה מרחוק, באמצעות הרשת המקומית – ודרכה גם מרשת האינטרנט. המדפסת החכמה היא, ברוב המקרים, פתח בחומת האש הארגונית שנשאר פתוח מחוסר מודעות לסכנה הגלומה בו.

המדפסת היא גם נקודה רגישה בניהול הפיזי של מסמכים סודיים, שלפעמים נשארים במגש הפלט מחכים שמישהו יאסוף אותם. אנשים עם כוונות זדון, ביניהם עובדים ממורמרים, יודעים שבמגש הזה הם יכולים למצוא סודות מקצועיים, התקשרויות חשאיות ותוכניות עסקיות שאין להם הרשאה לראות – ובוודאי שלא להוציא מהארגון. צורה נוספת של שוד מסמכים סודיים היא באמצעות סורקים, שכיום מהווים חלק בלתי נפרד ממדפסות משולבות רב תכליתיות. את המסמך הגנוב אפשר לשדר החוצה באמצעות הפונקציות Scan to Mail או הפקס האינטגרלי. ולבסוף, שרת ה-Web שמוטמע במדפסות חכמות הוא יעד אידיאלי לחדירת "זומבים", כמו מתקפת ה-DDOS שהשביתה את האינטרנט במחצית צפון אמריקה לפני כחודש. כל הסיכונים האלה בולטים לעין אחרי שמפנים את תשומת הלב לפרצות, אך באופן מפתיע מספר גדול של משתמשים מעדיפים לא לראות את המכונה שמדפיסה באמצע המשרד.

מנהיגות שלא נרתעת מאחריות

חברת Brother, באמצעות הנציגות הישראלית שלה רשף פתרונות הדפסה, לקחה על עצמה לספק פתרון מלא, למעשה ערכת כלי אבטחה, כדי לסגור את הפרצה הזאת. כפי שמסביר דני גבירץ, מנכ"ל רשף פתרונות הדפסה, מדובר בתפיסת מנהיגות שלא נרתעת מאחריות מול אתגר שלא סובל התעלמות. "בשנים האחרונות ברדר מובילה שינוי עמוק בתחום ההדפסה הארגונית", הוא אומר. "הודות לטכנולוגיות שהחדרנו לשוק, ארכיטקטורת שירותי ההדפסה הארגוניים עברה מהפך, מריכוזיות מוגזמת לביזור משאבים ברשת. היום יותר מדפסות מבוזרות במשרדים בהתאם לצרכים של הארגון וביחס ישר לעומסי ההדפסה במחלקות שונות. הרציונל התפעולי הוא למזער את בזבוז הזמן ב"טיולי המסדרונות" הלוך וחזור מהמדפסות לעמדות העבודה של המשתמשים – וגם להקטין את הסיכונים הכרוכים בריכוז כל העבודה על מדפסת יחידה, שכל תקלה בה משביתה תהליכי עבודה בכל הארגון. אבל לביזור יש גם מחיר, המתבטא בצורך להגן על יותר נקודות קצה ברשת, ולמסד משטר אבטחת הדפסה שניתן ליישמו גם ללא יצירת "שטח סטרילי" בחדר המדפסות. הפתרון המקורי של ברדר מהווה אוסף כלי תוכנה, רכיבי חומרה, מתודות תפעול ושירותי ייעוץ, שבשילובם מתקבל מערך הדפסה מאובטח מאיומים פנימיים וחיצוניים, ושאפשר להתאימו לצורך העבודה בוורטיקלים שונים ובכל ספקטרום החברות, מהקטנות ביותר עד ל-Enterprise הבינלאומי".

דליפה של מסמכים מודפסים

זו הקטגוריה המובהקת ביותר של סיכוני מידע: אנשים שגונבים מידע מתוך מסמכים מודפסים המחכים לאיסוף ע"י הבעלים החוקיים שלהם. עיקרון המניעה פשוט יחסית, להפיק הדפסה רק כאשר הבעלים נמצאים בפועל ליד המדפסת, אבל היישום העדכני חייב לתת מענה לתנאי תפעול שונים. האפשרויות שנתמכות על ידי מדפסות Brother כוללות שימוש בסיסמה (קוד PIN), הנשלחת למדפסת כחלק מפרוטוקול הזמנת ההדפסה. המשתמש מקליד את ה-PIN על פנל ההפעלה של המדפסת כדי למשוך את הפלט. אפשרות קצת יותר מורכבת, אבל נוחה לשימוש בארגונים גדולים, היא להוסיף את הסיסמה לאוסף ההרשאות של המשתמש בשרת Active Directory או LDAP. רובד נוסף של אבטחת AD או LDAP מאפשר להגדיר זמן שאחריו הקובץ בשרת ימחק גם אם לא הודפס. פונקציית Print SmartSecure Pro מאפשרת להדפיס את הקובץ בכל מדפסת ברשת, לא רק זו שהוגדרה ב-Driver כבררת המחדל, בתנאי שהמשתמש מסוגל להזדהות בקוד PIN או באמצעות מכשיר התומך בזיהוי RFID פנימי מסוג NFC  או חיצוני. כל התקשורת בין השרת למדפסת עוברת הצפנה בטכנולוגית SSL, פרוטוקול האבטחה החזק של העולם הפיננסי. "כל האמצעים האלה יוצרים מעטפת הגנה קשיחה סביב הקובץ המודפס, מהרגע שהוא נשלח מתחנת העבודה עד לרגע שהמשתמש אוסף את הדפים בידיו", אומר דני גבירץ. "זה הרובד הבסיסי ביותר של הגנת נתונים במדפסת".

הגנה על מסמכים סרוקים

PRO1

PRO1

תהליך הסריקה הופך מסמך נייר, שהשמירה עליו היא פיזית, לקובץ אלקטרוני שקל יחסית ליירט אותו, במיוחד אם הוא נשלח כצרופה ל-eMail. הגישה של ברדר להגנה על המידע הסרוק היא על ידי הצפנתו בסורק עוד לפני האריזה ונעילת הקובץ במפתח PIN. ההצפנה הפשוטה ביותר היא בפורמט PDF, אך יש גם אפשרות לשדר את הקובץ בפרוטוקול המאובטח SFTP, שמאבטח את הגישה לשרת עצמו ומונע חדירה למערכת שיתוף הקבצים. אופציות נוספות תומכות בפרוטוקולים של HTTPS ובאבטחה הפנימית של Share Point.

מניעת חדירות לרשת

כמו כל אבזר המחובר לרשת הארגונית, במיוחד אם החיבור נעשה בממשק אלחוטי, המדפסת צריכה לעבור תהליך זיהוי והרשאה לפני שניתן יהיה להעביר אליה קבצים להדפסה או לקבל ממנה קבצים סרוקים. דרישת המינימום היא תאימות לפרוטוקול IEEE 802.1X,  התקן התעשייתי לאבטחת נקודות הקצה. רמה גבוהה יותר של אבטחה מושגת על ידי תאימות עם פלטפורמת האבטחה IPsec, שמאפשרת להחליף נתונים עם מערכות צד ג' שתומכות בפרוטוקול הזה. וכדי להגן על פרטי התצורה ולמנוע מגורמים עוינים לחדור לפונקציות BRAdmin ולשנות את חוקי ההדפסה, מדפסות ברדר תומכות בגרסה 3 של פרוטוקול ניהול מכשירי הרשת SNNP. המדפסות, אגב, משתלבות ללא קושי גם במערכות ניהול של חברות אחרות, ולחילופין, מערכת Brother BRAdmin יכולה לנהל סביבות הדפסה הטרוגניות בהן מותקנות גם מדפסות צד ג'.

הגנה מול איומים פנימיים

הסיכונים השגורים ביותר בסביבת העבודה הם, כידוע, פנימיים. עובדים מתוסכלים או ממורמרים מבצעים פעולות זדוניות בכוונה תחילה וסתם עובדים רשלניים או חסרי הכשרה מתאימה גורמים לנזקים בשוגג. בכל מקרה, אין כאן חדירה דרך חומות האש ואין פריצה של קובץ הרשאות הגישה. כדי לעצור סיכונים אלה מציעות מדפסות Brother שני פתרונות הגנה:

  • סינון IP: מנהל הרשת מגביל את הגישה לרשימה סגורה של כתובות IP. המדפסת תתעלם מניסיונות התחברות המגיעים מכתובות אחרות והיא גם לא תשלח מסמכים סרוקים לכתובות זרות.
  • Protocol Control: מנהל הרשת יכול גם להגביל את הנגישות על פי רשימה של פרוטוקולים, שהם ורק הם ישמשו לתקשורת לגיטימית בתוך החברה.

נעילה פיזית של תצורת המדפסת

תכונה זו חשובה למניעת השימוש בפנל ההפעלה של המדפסת כדי לשנות את הגדרות השימוש או האבטחה. גם לתכונה זו יש שתי רמות פונקציונליות: נעילת תצורה (Setting Lock), שמונעת שינויים בהגדרות ההדפסה, ונעילת פונקציות האבטחה, Secure Function Lock, שחוסמת את האפשרות לשנות את חוקי האבטחה כפי שאלה נקבעו על ידי מנהל הרשת.

"הגדרות החסימה  וההרשאות לשימוש במדפסת הן פרסונליות", אומר דני גבירץ. "כל עובד מקבל את ההרשאות המתאימות לתפקידו ולמעמדו ומוטלות עליו הגבלות פרטניות ככל הנדרש: כמה דפי פלט בחודש מותר לו להדפיס, איזה מסמכים הוא רשאי להדפיס, באיזה פורמטים להשתמש ובאיזה פרוטוקולים לשלוח. תוכנת ניהול האבטחה של Brother עונה לכל השאלות האלה והמדפסות שלה מטמיעות את היכולות הדרושות בצורה שכל ארגון יכול לממש, קטן כגדול. אבל אתם הרי לא מצפים למשהו פחות שימושי מ-Brother, יצרנית המדפסות הצומחת מהר יותר מכל שאר המתחרות".

אודות מערכת ITNEWS מאיר עשת

מנהל/עורך אתר ITNEWS. בוגר כלכלה ומנה"ס באונ' בן גוריון ו- MBA בירושליים. בעבר: כהן כיועץ כלכלי מטעם המדינה בהולנד ובהודו. היה סמנכ"ל שיווק בברדר, משנה למנכ"ל בסטארטאפ TVNGO, מנהל IT מגזין של גלובס בשנתיים האחרונות.