Думаете, у вас закрыты абсолютно все бреши корпоративной сети? А как насчет того многофункционального принтера, что стоит в отделе сбыта? Ведь такие устройства также имеют собственную операционную систему, которая может оказаться не менее уязвимой для атак извне, чем обычный настольный компьютер.
Удобство круглосуточно работающих магазинов во многом объясняется тем, что они изолированы от внешнего мира, всегда доступны для покупателей и предлагают все необходимое — по крайней мере теоретически. Вот только вам никогда не приходилось, зайдя в такой магазин, буквально закипать из-за того, что не работает принтер на кассе? Многофункциональные принтеры, правда, пока не входят в десятку ведущих раздражителей и брешей безопасности, однако уже привлекают все больше внимания со стороны тех компаний, которые начинают осознавать уязвимость подобных устройств.
Прелесть специализированных систем для розничной торговли, в том числе и сетевых многофункциональных принтеров, состоит в их стандартизации. Именно это обеспечивает их непрерывно растущие взаимосвязи, позволяет компаниям применять готовые программные пакеты и недорогое оборудование в различных интерактивных операционных средах, включая Windows XP Embedded, WEPOS (Windows Embedded for Point of Service — встраиваемая Windows для кассовых терминалов) и Linux. К тому же стандартизация предоставляет организациям более широкий выбор программного обеспечения, ускоряет выход на рынок, упрощает освоение и интеграцию новых технологий.
Но есть у стандартизации и обратная сторона: такие устройства создают еще одну опасную брешь в системе защиты сети. Так что предприятиям стоит заблаговременно подумать о контроле за изменениями в ПО, об обеспечении безопасности таких систем и их соответствии законодательным требованиям, чтобы те работали на местах, как положено.
Проблемы со специализированными устройствами
Специализированные устройства, так же как и подключенные к вычислительной сети персональные компьютеры, подвержены рискам безопасности и требуют постоянной установки программных “заплат”. Их производители просто не в состоянии следить за тем, какое программное обеспечение может быть установлено на их продукции после того, как она покинула предприятие и была развернута у потребителя. А поскольку такие системы поддаются несанкционированным и неуместным изменениям, возникает опасность, что после установки на местах они вдруг начнут работать вовсе не так, как рассчитывал покупатель, вносящий такие изменения.
В результате организации приходится иметь дело с уязвимым устройством, которое к тому же не отвечает требованиям законодательства, а это приводит к росту расходов на обслуживание и снижению уровня доступности. Такие факторы, равно как и множество новых стандартов безопасности, ставят розничную торговлю и производителей подобных устройств в довольно сложное положение: им приходится задним числом оснащать многофункциональные принтеры и другие подобные устройства средствами антивирусной защиты, которые чаще всего оказываются малоэффективными и ресурсоемкими.
Многофункциональный принтер: специфические риски безопасности и обслуживания
Сетевые многофункциональные принтеры часто используются в магазинах розничной торговли, где всегда существует серьезная опасность их несанкционированной модернизации. В результате принтеры часто отказываются работать, что заставляет поставщиков расходовать дополнительные средства на их обслуживание. Ради повышения эксплуатационной готовности и снижения расходов на техническую поддержку производителям принтеров приходится принимать дополнительные меры по их защите, ограничивая доступ к своей продукции независимо от его характера — злонамеренного или нет.
Пока, к счастью, хакеры специально на принтеры не нацеливались, однако по мере того, как все больше и больше таких устройств начинает работать под управлением Windows XP Embedded, ситуация грозит измениться к худшему. У злоумышленников появляется возможность атаковать подобные устройства так же, как и обычные настольные Windows-системы. Один исследователь недавно обнаружил уязвимое место в сетевой печати документов, позволяющее с помощью JavaScript дистанционно управлять принтером для рассылки спама.
Три способа обезопасить многофункциональный принтер
1. Зафиксировать состояние устройства и контролировать его. Производители принтеров обязательно должны оснащать свою продукцию средствами контроля за вносимыми изменениями и ее работой, позволяющими при необходимости блокировать таковые изменения. Компактная утилита, почти не создающая дополнительной нагрузки, в фоновом режиме фиксирует запрограммированный на заводе исходный образ программного обеспечения на устройстве. Благодаря этому производитель получает возможность следить за тем, что было инсталлировано и деинсталлировано на принтере, какие изменения и дополнения были внесены в исходный образ встроенной системы после установки устройства.
2. Искать альтернативу антивирусным средствам. Системы борьбы с вирусами защищают сеть лишь частично, но блокировать всё и вся не способны. Гораздо больший эффект дает ограничение доступа к системе. Только такой подход позволяет гарантировать отсутствие нежелательных — и потенциально опасных — файлов, утилит или приложений. Опасность полиморфных угроз “нулевого дня” намного снижается, когда есть возможность следить за тем, что именно запущено на устройстве и кто имеет право принимать решение по запуску ПО. Такой дополнительный контроль как бы окружает исходный образ “железобетонным забором”, защищая его в любом месте установки и не допуская компрометации. А поскольку в систему уже не могут попасть опасные коды и войти пользователи без соответствующих разрешений, необходимость в каких-либо программных средствах защиты и борьбы с вирусами исчезает.
3. Планомерно устанавливать программные заплаты. Снизить стоимость эксплуатации помогает также модуль контроля из системы отслеживания изменений. Он сводит к минимуму длительность как плановых простоев, необходимых для наложения программных заплат, так и внеплановых, которые могут потребоваться для восстановления системы, повышая тем самым коэффициент эксплуатационной готовности принтера. Такая возможность прямо-таки идеально подходит для сложных в обслуживании и удаленных устройств, работающих под управлением весьма уязвимых коммерческих операционных систем и приложений. В первую очередь это объясняется сокращением расходов на техническую поддержку за счет уменьшения количества необходимых точек настройки.
Чтобы вам было комфортно работать, все технические средства должны функционировать именно так, как им положено. В том же, что касается устранения потенциальных брешей безопасности, одним из самых удобных подходов на сегодняшний день, похоже, является простая установка программных средств отслеживания изменений. Только их наличие гарантирует, что система сможет нормально выполнять то, ради чего она создана.
