(function(d,s,i,r) { if (d.getElementById(i)){return;} var n=d.createElement(s),e=d.getElementsByTagName(s)[0]; n.id=i;n.src='//js.hs-analytics.net/analytics/'+(Math.ceil(new Date()/r)*r)+'/554273.js'; e.parentNode.insertBefore(n, e); })(document,"script","hs-analytics",300000);

Zo beveilig je printers en andere embedded devices

Heb je er ooit bij stilgestaan dat embedded devices, zoals printers en industriële regelsystemen, deuren openen voor inbraak van je netwerk? Dit komt doordat printers een ingebed besturingssysteem hebben dat meestal niet valt onder het beveiligingsbeleid. Je hebt dus minder zicht op de risico’s van printers en het printen van documenten. Tijd voor actie! 

Hier gaan we de fout in

We weten allemaal dat we niet zomaar naar een computer van een ander kunnen lopen om vervolgens alle gegevens te bekijken. Daar heb je een gebruikersnaam en wachtwoord voor nodig. Waarom is het dan wel ‘normaal’ om naar een printer te lopen en alle printopdrachten in de uitvoerlade of de gegevens op de opslagschrijf van een printer te lezen? 

Bij de installatie van printers en andere embedded devices worden meestal standaard gebruikersnamen en wachtwoorden ingesteld. Vervolgens verandert niemand die gegevens. Op deze apparaten is opgeslagen informatie dus niet beveiligd en omdat certificatenbeheer al ingewikkeld genoeg is, worden protocollen op embedded devices doorgaans niet versleuteld.

De cruciale concepten van beveiliging worden niet algemeen toegepast op printers en embedded devices en dat heeft sinds deze apparaten werden aangesloten op TCP/IP-netwerken tot diverse inbreuken op de beveiliging geleid.

Ook worden printers vaak geïnstalleerd met toegang tot diverse netwerk subnetten, zodat verschillende afdelingen de printer kunnen gebruiken. Omdat ze met alle interne netwerken verbonden zijn vormen printers een ideaal doelwit om Wi-Fi-apparaten voor remote toegang of afluisterapparatuur voor het verzamelen en kraken van wachtwoorden te plaatsen.

Zo beveilig je printers en andere embedded devices.jpg

Voorschriften voor cyberbeveiliging

Er zijn een aantal standaarden en voorschriften voor cyberbeveiliging. Denk aan:

  • IS0270001
  • NIST 800-53
  • NIST CSF (cyber security framework)
  • SANS top 20 controls

Het is belangrijk dat de volgende verzameling beveiligingsmaatregelen algemeen toegepast wordt op alle apparaten in een TCP/IP-netwerk.

Netwerkbeveiliging
Hierbij dien je printers en embedded devices aan te schaffen die veilige protocollen en versleutelde communicatiekanalen hebben ontwikkeld en die de mogelijkheid bieden om een interne firewall in het apparaat in te schakelen en te configureren.

Toegangscontrole
Wanneer je een leverancier van printers en embedded devices selecteert, controleer dan of diens devices kunnen worden geïntegreerd in Active Directory, LDAP of andere adresboekservices. Vraag ook of meervoudige authenticaties wordt ondersteund, in plaats van alleen elementaire verificatie met gebruikersnamen en wachtwoorden.

Bewaking en beheer
Wanneer een printer of embedded device eenmaal op het netwerk is aangesloten, moeten regelmatig de status en de prestaties worden gecontroleerd en updates worden uitgevoerd. In een local area network met een beperkt aantal van dit soort devices kunnen deze bewakings- en beheertaken op elk apparaat afzonderlijk worden uitgevoerd. Wanneer er heel veel devices in het netwerk aanwezig zijn, is het makkelijker om die te bewaken en te beheren met een centraal beveiligingsbeheersysteem.

Apparaat beveiliging
Beveilig de BIOS- of firmware instellingen met een wachtwoord, zodat ze niet toegankelijk zijn voor elke gebruiker met fysieke of logische toegang. Zorg er ook voor dat het mogelijk is bepaalde delen van het device die de gewone gebruiker niet nodig heeft fysiek af te sluiten. Bijvoorbeeld het fysiek vergrendelen van bepaalde beheerpoorten zoals USB-poorten, consolepoorten of papierladen. Wanneer delen van het apparaat afgesloten kunnen worden, kan het nog flexibeler worden beheerd.

Data- en content bescherming
Bovenstaande beveiligingsmaatregelen zijn allemaal bedoeld om de toegang tot de printer of het embedded device vanaf het netwerk te regelen:

  • Authenticatie om te bepalen wie het apparaat mag gebruiken
  • Bewaking van de status en de prestaties van het device
  • Beheer van de configuratie
  • Beperking van de toegang tot fysieke poorten
  • Beperking van het aantal actieve services, TCP- en UDP-poorten op het device

Als al deze maatregelen niet werken en een niet-bevoegde gebruiker via het netwerk of fysiek toegang krijgt tot het device, ga dan naar de laatste beschermingslaag. Beveilig vanuit hier de data en de inhoud van het apparaat.  

Dit betekent dat de informatie zowel in rust als tijdens verzending moet worden beveiligd. Versleutel de configuratie instellingen, wachtrij, gescande en geprinte opdrachten en andere opgeslagen informatie.

Zo beveilig je printers en andere embedded devices 2.jpg

Start met veilig printen

Houdt, wanneer je aan de slag gaat met een beveiligingsstrategie, rekening met volgende vijf essentiële categorieën:

  • Netwerkbeveiliging
  • Toegangscontrole
  • Bewaking en beheer
  • Apparaat beveiliging
  • Data- en content bescherming

Een goede beveiligingsstrategie is gericht op defense-in-depth. Dit betekent dat je verschillende beveiligingstechnieken toegepast. Van de meest externe bron (netwerkbeveiligingslaag) tot de verschillende toegangscontroles, bewaking en beheer, fysieke beveiliging van apparaten en poorten. Besteed ook aandacht aan de bescherming van data en informatie die door het device wordt gegenereerd of op het apparaat is opgeslagen extra aandacht.

Zo beveilig je printers en andere embedded devices 3.jpg

Ten slotte is het natuurlijk ook mogelijk om een printer of ander embedded device aan te schaffen dat al beveiligd is. Denk bijvoorbeeld aan een HP les security printer. Ideaal om veilig te werken, geen zorgen meer over security!

Gerelateerde artikelen