Сетевые принтеры: невидимая дверь для утечки корпоративных данных

от

«Мы привыкли думать, что главные угрозы — это хакерские атаки на серверы. На самом деле, утечка часто происходит через дверь, которую все считают наглухо закрытой по умолчанию. Например, через сетевой принтер с паролем ‘admin’.»

Тихая протечка данных там, где её не ждут

Политики безопасности и бюджеты на защиту обычно ориентированы на серверы, базы данных и рабочие станции. Под эти цели закупают DLP, SIEM и проводят пентесты. Однако существует целый класс инцидентов, который выпадает из фокуса: компрометация через периферийные устройства, к которым ментально не применяется модель угроз. Они считаются нейтральными «исполнителями», а не полноценными сетевыми узлами.

Современный многофункциональный аппарат — это компьютер. У него своя операционная система, процессор, оперативная и постоянная память, сетевая карта. Он принимает, буферизует, обрабатывает и печатает конфиденциальные документы. По своей архитектуре он ближе к тонкому клиенту, чем к механическому устройству. И, как любой компьютер, оставленный с настройками по умолчанию, он становится лёгкой добычей.

Как файл с клиентами оказался в открытом доступе

Для срочной встречи потребовалось распечатать аналитический отчёт — Excel-файл с тестовой выборкой из базы, содержащий имена, телефоны и адреса электронной почты клиентов. Документ был отправлен на общий сетевой МФУ, но из-за ошибки или нехватки бумаги задание не выполнилось. В суматохе подготовки об этом забыли.

Через несколько дней понадобилось найти исходник, точное название которого стёрлось из памяти. В поисковике была введена уникальная фраза из текста отчёта. Среди результатов обнаружилась ссылка на пост на техническом форуме с заголовком «Ошибка печати Excel на HP». Автор вопроса, пытаясь получить помощь, приложил к сообщению «проблемный файл». Этим файлом и оказался тот самый отчёт с персональными данными. Весь путь документа — из памяти корпоративного принтера в публичное пространство — занял у неизвестного пользователя менее пяти минут.

[ИЗОБРАЖЕНИЕ: Схематичный путь утечки: компьютер пользователя -> корпоративная сеть -> память МФУ -> обнаружение через открытый веб-интерфейс -> скачивание файла -> публикация на стороннем форуме]

Механизм утечки: от памяти принтера до поисковика

Чтобы внутренний документ попал из защищённой сети на общедоступный форум, должно сложиться несколько уязвимых условий в цепочке.

Хранилище данных внутри МФУ

Современные аппараты оснащаются встроенным накопителем — HDD или SSD. Его основная задача — буферизация заданий. Отправленный документ сначала полностью загружается в память устройства, конвертируется в язык печати, и только затем переносится на бумагу. После печати файл может не удаляться немедленно, а оставаться в хранилище от нескольких часов до нескольких дней — это зависит от настроек аппарата и используемого протокола.

Ключевая проблема: это внутреннее хранилище по умолчанию почти никогда не шифруется на аппаратном или программном уровне. Таким образом, получение доступа к файловой системе устройства (через сеть или физически) равносильно доступу ко всем документам, прошедшим через него и ещё не стёртым.

Открытые интерфейсы управления

Каждое сетевое МФУ имеет встроенный веб-сервер для настройки. Доступ к нему обычно защищён стандартной парой логин-пароль вроде admin/admin или оставлен вовсе без пароля. Помимо этого, для работы сетевой печати устройство открывает ряд специализированных портов, таких как 9100 для протокола RAW.

Если из-за ошибки конфигурации маршрутизатора или политик межсетевого экрана МФУ получает публичный IP-адрес или становится доступным извне, оно моментально попадает в зону сканирования автоматических систем вроде Shodan. Обнаружив устройство, злоумышленник может попробовать войти через веб-интерфейс с учётными данными по умолчанию и получить доступ к разделам вроде «Журнал заданий» или «Файловая система».

Сценарий произошедшего инцидента

  1. Файл был отправлен на МФУ и загружен в его внутреннюю память.
  2. Устройство находилось в сетевом сегменте, для которого было ошибочно настроено правило межсетевого экрана, разрешающее входящие подключения из интернета на определённые порты.
  3. Публичный IP-адрес МФУ с открытым портом был обнаружен и проиндексирован автоматическим сканером уязвимых устройств.
  4. Анонимный пользователь обнаружил устройство в результатах поиска, подключился к веб-интерфейсу, используя стандартные учётные данные.
  5. В интерфейсе управления он нашёл список последних заданий печати, скачал файл и, не проверяя содержание, выложил его на технический форум в качестве примера для диагностики «проблемы с печатью».

Публичный форум стал конечной точкой утечки, а первопричиной — цепочка из банальных упущений, начавшаяся с неизменённой заводской настройки.

Схема пути документа: компьютер пользователя -> сеть -> память МФУ (временное хранение) -> возможные векторы извлечения: 1) Веб-интерфейс, 2) Открытые порты печати, 3) Физический доступ/извлечение диска

ФСТЭК и 152-ФЗ: слепое пятно в требованиях

С точки зрения 152-ФЗ «О персональных данных», печать документа, содержащего ПДн, является их обработкой. Следовательно, МФУ, используемый для такой печати, формально должен быть включён в границу информационной системы персональных данных. На практике это требование игнорируется в подавляющем большинстве организаций. Проверки регулятора и внутренние аудиты сфокусированы на серверах, рабочих станциях, политиках доступа и журналировании. Оргтехника остаётся вне этого поля зрения, рассматриваясь как «неинформационная» составляющая инфраструктуры.

Существующие типовые меры защиты оказываются неэффективными именно для таких сценариев, создавая иллюзию безопасности.

Требование или типичная мера Как обычно применяется к МФУ Почему не срабатывает в описанном сценарии
Учёт всех устройств в сети Принтер числится в инвентаризации как актив с серийным номером. Учёт ведётся, но к устройству не применяются профильные политики безопасности, оно не включено в регулярный пересмотр прав доступа.
Защита от несанкционированного доступа Установлен стандартный пароль от производителя. Устройство находится во внутренней сети. Пароль по умолчанию не меняется годами. Ошибки конфигурации сетевого оборудования могут неожиданно «открыть» устройство для доступа из внешней сети.
Очистка памяти устройств Не проводится или проводится только при списании оборудования. Данные неделями хранятся на внутреннем диске в открытом виде, и доступ к ним возможен через сетевой интерфейс.
Шифрование ПДн при хранении и передаче Не применяется к каналу между ПК и принтером и к данным на диске МФУ. Документ передаётся и хранится в открытом виде, что делает его перехват или извлечение тривиальными задачами.

Организация может формально соответствовать всем пунктам предписания регулятора, но при этом иметь десятки таких точек тихой утечки, не охваченных моделью угроз.

Что делать: практические шаги по защите

Риски, связанные с печатающими устройствами, требуют не разовых действий, а включения их в общий контур безопасности.

Сегментация сети

Самый эффективный первый шаг — изоляция. Выделите для всех МФУ и принтеров отдельный VLAN. Настройте правила межсетевого экрана следующим образом:

  • Доступ к этому сегменту с рабочих станций разрешён только на конкретные порты, необходимые для печати (например, 9100, 631 для IPP).
  • Любой доступ из интернета в этот VLAN должен быть категорически запрещён. Особое внимание — блокировке доступа к портам веб-интерфейсов (80, 443, 8080).
  • Доступ из VLAN принтеров в другие сегменты корпоративной сети и в интернет также блокируется. Это предотвращает использование скомпрометированного устройства как плацдарма для атаки внутрь сети.

Настройка самих устройств

  1. Смена учётных данных. Замените стандартный пароль администратора на сложный. Если функционал позволяет, создайте индивидуальные учётные записи для администраторов, отключив встроенные аккаунты по умолчанию.
  2. Отключение лишних служб. Деактивируйте неиспользуемые сетевые протоколы: FTP, Telnet, SMB. Если в работе не требуется RAW-печать на порт 9100, отключите и её. Оставьте минимально необходимый набор, например, IPP (Internet Printing Protocol).
  3. Включение шифрования. Активируйте HTTPS для веб-интерфейса, используя самоподписанный или доверенный сертификат. Настройте печать по IPPS (IPP over SSL/TLS) для шифрования трафика между рабочей станцией и принтером.
  4. Настройка очистки памяти. Включите функцию автоматического удаления заданий из памяти сразу после успешной печати. Для работы с конфиденциальными документами обязательно используйте «Безопасную печать» (или «Private Print»), которая требует ввода PIN-кода на панели устройства и автоматически очищает очередь после вывода.
  5. Шифрование диска. При закупке новых устройств, предназначенных для обработки данных особой категории, выбирайте модели с опцией аппаратного шифрования встроенного накопителя.

Мониторинг и учёт

Включите сетевые адреса МФУ в систему мониторинга (например, Zabbix, Nagios). Отслеживайте базовые метрики:

  • Доступность устройства по сети (icmp или порт).
  • Попытки неудачного входа в веб-интерфейс или по другим протоколам.
  • Нестандартную исходящую сетевую активность с устройства, которая может сигнализировать о компрометации.

Настройте передачу системных журналов (Syslog) с МФУ на центральный log-сервер (SIEM-систему) для консолидированного хранения и анализа.

Регламенты и осведомлённость

Внесите в политику информационной безопасности явные правила, касающиеся печати:

  • Чёткое определение, какие данные считаются конфиденциальными и не подлежат печати на общедоступные или общие сетевые принтеры.
  • Обязательное использование функции безопасной печати при работе с такими данными, если печать необходима.
  • Обязанность пользователя немедленно забирать распечатанный документ из лотка.
  • Порядок действий при сбое печати: немедленная отмена задания на принтере или через драйвер, чтобы удалить его из памяти устройства.

Эти правила должны регулярно доводиться до сотрудников. Самые строгие технические меры теряют смысл, если пользователь отправляет на печать в открытом виде документы с персональными данными.

Безопасность — это про непрерывный пересмотр допущений

Описанный случай — не единичный курьёз, а симптом системного подхода, при котором защита выстраивается как крепость с массивными воротами, но с открытыми чёрными ходами. Сетевой принтер, IP-камера, система контроля доступа, контроллер умного здания — все эти устройства де-факто стали сетевыми узлами со своим ПО и уязвимостями. Но ментально они продолжают оставаться для нас просто «железом», фоном, на котором работает бизнес-софт.

Соответствие формальным требованиям регулятора — необходимый, но недостаточный минимум. Реальная защита начинается с неудобного вопроса: «А что вообще в нашей сети имеет доступ к конфиденциальным данным или может их временно хранить?». Ответственный перечень всегда оказывается длиннее, чем хотелось бы. Особенно если в него честно включить устройства, которые годами тихо работают в углу, сохраняя на своём диске следы всего, что через них проходило.

Загрузка…

Оставьте комментарий