Долгое время считалось, что главная угроза исходит из офисов, поскольку именно они являются целью для кибератак. Сами принтеры не привлекали к себе повышенного внимания со стороны ИБ-службы, которая всегда больше опекает корпоративные базы данных, где хранятся конфиденциальные личные данные руководителей и клиентов. Скорее всего, предприятиям следует пересмотреть стратегии защиты, поскольку подключенные к Интернету вещей (IoT) принтеры начали все чаще раскрывать свои уязвимые места перед хакерами.

Как хакеры воруют документы

Проведенное в 2019 г. компанией Quocirc исследование показало, что инфраструктура печати является одной из пяти основных проблем бизнеса. Она оказалась второй по значению (66% опрошенных) после публичного облака (69%), причем некоторые отрасли бизнеса — предоставление профессиональных услуг, финансовый и розничный рынки — признали ее основной проблемой. Опасность поджидает конфиденциальные документы в точке, куда они направляются на печать, чтобы получить из них бумажные копии. Хакеры совершают удаленные атаки для перехвата электронных версий документов в то время, когда они стоят в очереди на печать. Они незаметно приостанавливают печать, копируют их и затем возобновляют ее. Эти действия не вызывают подозрений, говорится в исследовании.

Природа угроз для корпоративных принтеров

Исследователи консалтинговой фирмы по вопросам безопасности NCC Group выявили в корпоративных принтерах несколько уязвимостей нулевого дня, которые хакеры «задраивают», чтобы запускать атаки, которые не имеют сигнатур, то есть не оставляют следов, что позволяет им пробиться сквозь системы обнаружения вторжений и других механизмы защиты. «Чтобы снизить риск уязвимостей в корпоративных принтерах необходимо повысить безопасность ПО на протяжении всего жизненного цикла его разработки», — считают эксперты NCC Group.

По их словам, разработчики все чаще повторно применяют ранее написанные программные компоненты без обязательной проверки их безопасности, и этот код может содержать множество уязвимостей. Чтобы войти в корпоративную сеть, хакеры внедряют свое ПО, которое путем переполнения буфера или временной памяти (когда поток трафика превышает ее емкость) повреждает постоянную память или ОЗУ. «Как только злоумышленник получит полный контроль над принтером, он сможет проникнуть во внутренние сети компании и украсть любой конфиденциальный документ, отправленный на принтер», — отмечают эксперты.

После получения доступа к сети хакеры ищут учетные данные для проникновения в источники конфиденциальной информации. «В случае успешно проведенной атаки злоумышленники могут получить доступ к учетным данным домена, который используется для настройки служб принтеров предприятия и подключиться к внутренним ресурсам компании», — добавляют они.

Выбор принтеров как целей для атак связан с их слабой защищенностью, что дает место маневрам и помогает укрыться от корпоративных брандмауэров. «Сетевая активность принтеров не контролируется, и злоумышленник может, например, изменить код в памяти принтера, который удаляется при перезагрузке, не оставляя следов», — поясняют эксперты.

Решения

Как предприятиям защитить свои сети, к которым порой подключены десятки или сотни принтеров разных моделей? Нужно понимать, что площадь атак расширяется прямо пропорционально количеству сетевых устройств: чем их больше — тем выше риски. Одним из вариантов защиты являются методы самовосстановления. Речь идет о вооруженных искусственным интеллектом системах обнаружения вторжений, которые автономно отслеживают и подавляют угрозы, прежде чем они распространятся по сети. Но эксперты NCC Group относятся к таким методам скептически. По их словам, в большинстве случаев злоумышленник эксплуатирует уязвимость, которую разработчики упустили из виду, но как о них могут знать автономные системы обнаружения, если о них не знают сами разработчики? «Злоумышленник разработает для контролируемого им принтера эксплойт, чтобы он мог обходить любые способы защиты бинарных уязвимостей или любую систему обнаружения, которая может быть у принтера», — пояснили эксперты.

Предприятие может укрепить свою защиту при помощи ИИ, которое обнаруживает аномальное поведение сети. К примеру, оно фиксирует, если принтер не связывается с сетью, запрашивая ответ ИТ-отдела, но такое ПО тоже не гарантирует 100%-ю защиту. «Системы обнаружения аномалий являются вероятностными, и сложные атаки могут по-прежнему обходить их защиту», — предупреждают ИБ-эксперты.

Виджей Куркал, главный операционный директор компании Resolve Systems, которая выпускает решения для AIOps и автоматизации, считает, что недостатки вероятностного моделирования можно устранить путем обогащения данных и автоматической диагностики. «Анализ данных улучшается, когда он опирается на контекстную деловую информацию, например, на данные, которые получены в дни распродаж. С помощью этой информация можно определить такие показатели, как объем трафика в перспективе, — сказал он. — Взаимозависимости в ИТ-системах помогают увидеть причинно-следственные связи, а не полагаться на шаблоны или необработанные данные. Обогащение данных дополняется автоматизированной диагностикой, которая помогает отделить ложные тревоги от тех, которые срочно требуют внимания».

Выводы

Хакеры находят уязвимости там, где жертвы их меньше всего ожидают. Ни одно устройство в подключенном мире не может находиться вне опасности. Хуже того, чтобы избежать обнаружения или скрыть свои следы, у злоумышленников появляются все более изощренные методы. Лучший способ предотвратить риск хакерских атак — устранить уязвимости ПО в ходе разработки, но разработчики не всегда придерживаются этого правила. Чтобы защитить себя, лучше всего прибегнуть к надежным инструментам аналитики и комплексной защите из нескольких ИБ-инструментов, в том числе с ИИ.


Источник: ITWeek