Embed Size (px)
Citation preview
Yazıcı Güvenliği: Yeni BT GereksinimiAraştırmaya Göre "Basit Yazıcılar" Güvenlikte Kör Nokta Olarak Kalıyor
İçindekiler
Giriş . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Kurumsal Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Algı Sorunu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Mevcut Uygulamalar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
Kapsamlı Yazıcı Güvenliğine Doğru . . . . . . . . . . . . . . . . . . . . . . 11
Anket Hakkında . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
BT güvenlik tehditleri gitgide artarken, donanım güvenliği için yapılan çalışmalar genellikle bu hıza ayak uyduramıyor . Belki de bu durumun en iyi gözlendiği donanım, yazıcılar . BT uzmanları, koruma altında ol-mayan yazıcıların ağ açısından teşkil ettiği tehlikelerin farkına varmaya başlasa da, yazıcılar güvenlikte kör nokta olarak kalmaya ve genellikle yetersiz korumayla çalıştırılmaya devam ediyor .
HP Güney Pasifik bölgesinde baskı sistemleri yöneticisi olan Ben Vivo-da, "Güvenlik açıkları, basit ağ yazıcıları da dahil olmak üzere ağa bağlı her tür cihazda ortaya çıkıyor ." diyor . "Genellikle yazıcıların unutulup gözden kaçırıldığını ve tehlikelere maruz kaldığını görüyoruz. Genel BT siber güvenlik stratejileri söz konusu olduğunda, yazıcıları göz-den kaçıran işletmeler artık ciddi sorunlarla karşı karşıya kalıyor."1
Aslında Spiceworks tarafından gerçekleştirilen yakın tarihli bir ankete göre, güvenlik tehditlerindeki artışın nedeninin yazıcılar olduğu görü-lüyor . Günümüzde yazıcıların harici tehdit veya ihlallerin kaynağı olma ihtimali 2016'ya kıyasla %68 daha fazla . Dahili tehlike veya ihlal söz konusu olduğunda ise bu oran %118'e çıkıyor .
Ancak BT uzmanlarının yalnızca %30'u yazıcıların güvenlik riski oluştur-duğunun farkında . Bu oran 2016'ya kıyasla neredeyse iki katına çıkmış olsa da, hâlâ çok düşük ve tehlikeli bir gerçeği gözler önüne seriyor . Birçok BT uzmanının yazıcı güvenliğine dair fikirleri çağın gerisinde ka-lıyor . Bunun nedeni, yazıcıların ağ çevresi içinde güvenli olduğuna dair modası geçmiş algı olabilir .
Riskin farkında olan BT uzmanları bile genellikle sayısı çok fazla olan son kullanıcı cihazlarının güvenliğini sağlamaya öncelik vererek yazı-cıları tamamen açıkta ve ağları savunmasız hâlde bırakıyor .2 Geçmişte yazıcı güvenliğine diğer uç noktalara kıyasla daha az önem verilmesi anlaşılabilir bir durum . Ancak günümüzde BT birimleri, koruma altında olmayan yazıcıların BT ağı genelinde oluşturduğu risklere ve şirketin genel risk yönetimine odaklanmak zorunda .
3gİrİş
Giriş
Yazıcılar gerçekten de sorun teşkil ediyor mu? Tek kelimeyle yanıtlamak gerekirse evet . Saat başı yeni güvenlik tehditlerinin ortaya çıktığı bir çağ-da yazıcılar kolay hedef hâline geliyor . Entrepreneur'de yazan Kevin Pick-hardt'a göre, "Modern yazıcılar aslında gelişmiş ve özel ağ konakları . Bu nedenle, güvenlik için yazıcılara da geleneksel bilgisayarlar kadar önem verilmesi gerekiyor .2 Ofis yazıcıları veri kayıplarına ve gizlilik sorunlarına yol açabiliyor . Bununla birlikte bu cihazlar, bilgisayar korsanlarının saldırıla-rına da açık ." Tipik bir örnek: Söylenene göre geçen yıl bir bilgisayar kor-sanı genel erişime açık 150 .000 yazıcıya (çok sayıda fatura yazıcısı dahil) erişmek ve sahte baskı işlerinin çalıştırılmasını sağlamak için otomatik bir komut dosyasını kullandı .3
Sektördeki analistler de bu konuda hemfikir . IDC'ye göre, "Çoğu yazıcının dahili ağlara geniş çaplı erişim yetkisi bulunuyor . Bir yazıcının güvenlik açığından sızan saldırganlar kuruluş ağına, uygulamalarına ve veri var-lıklarına rahatça erişebilir." 4
Yeterli düzeyde korunmayan ağ yazıcılarının özellikleri nelerdir? Güvenlik-leri güçlendirilmediği için bu yazıcılar üzerinden çok sayıda ağ protokolü-
ne erişilebilir . Bu yazıcılar için erişim denetimleri gerekmez (genellikle yönetici parolası belirlemek bile akla gelmez) . Hassas belgeler, kimlik doğrulaması gerekmeden basılabi-lir ve çıkış tepsisinde tüm gün bekleyebilir . Bu yazıcılar ağ üzerinden şifrelenmemiş veriler gönderir . Güncel olmayan ürün yazılımı kullanılır veya güvenlik tehditleri izlenmez .
Bu çeşitli güvenlik hataları ciddi sonuçlar doğurur . Gart-ner'a göre 2020'ye kadar Nesnelerin İnterneti (IoT) proje-lerinin yarısından fazlasında, donanım güvenliği özellikle-rinden yararlanmakta başarısız olunması nedeniyle hassas bilgiler açığa çıkacak . Bu oran bugün %5'ten daha az .4
4kurumsal rİsk
Kurumsal Risk
5
Algılanan Güvenlik Riski Düzeyi
Toplam Kuzey Amerika EMEA APAC
Masaüstü/ Dizüstü
Mobil cihazlar
%30%22
%35%33
%71%71
%75%68
%67%68%69
%64
algı sorunu
Algı Sorunu
Ancak araştırmaya göre BT uzmanları yazıcıların teşkil ettiği riskin farkına varmakta hâlâ geç kalıyor . Kuzey Amerika'da BT uzmanlarının henüz dörtte birinden daha azı (%22) yazıcıların güvenlik riski taşıdığının farkında . Avru-pa, Orta Doğu ve Afrika (EMEA) bölgesindeyse bu oran %35 ile üçte birin biraz üzerine çıkabiliyor .
Buna karşın, BT uzmanlarına göre masaüstü ve dizüstü bilgisayarlar %71, mobil cihazlar %67 risk taşıyor .
Yazıcılar
Spiceworks'ün yaptığı araştırma şimdiden önlem alan BT uzmanlarının da kapsamlı olmayan bir yaklaşım benimsediğini gözler önüne seriyor . Gü-venlik gereksinimlerinin ne kadar geniş bir alana yayıldığını düşününce, bu sonuç şaşırtıcı değil . Örneğin, tek bir çözüm veya yalnızca güvenlik duvarı hiçbir zaman yeterli olmuyor . Her ağ cihazında olduğu gibi, yazıcı güvenliğine de birçok açıdan yaklaşılması gerekiyor . Aynı zamanda her güvenlik stratejisinde olduğu gibi, en etkili çözümlerin tümleştirilip otoma-tikleştirilmesi ve kolayca kullanılıp yönetilmesi gerekiyor .
Her yazıcı markasının kendi özel yazılımına ve işletim sistemine sahip ol-ması durumu iyice zorlaştırıyor . Birçok BT uzmanı, yazıcı yazılımlarını gü-venlik politikalarına uyacak şekilde yapılandırmak içinyeterli bilgiye sahip olmayabilir .
6algı sorunu
Mevcut Uygulamalar
BT uzmanları yazıcı güvenliği konusunda çok çeşitli yaklaşımlar sergileye-rek, ellerindeki araçlara ve bu araçlarla ilgili bilgilerine göre güvenlik uy-gulamalarının ve özelliklerinin özel bir birleşimini hazırlıyor . Ancak mevcut yazıcı güvenliği yaklaşımları, genel hatlarıyla altıya ayrılıyor .
Araştırma, BT uzmanlarının bu kategorilerde birtakım temel güvenlik adım-larını uyguladığını, ancak maalesef bu oranın çok düşük kaldığını gözler önüne seriyor .
Yazıcılar için şu anda aşağıdaki güvenlik uygulamalarını kullanan katılımcıların yüzdesi
Belge güvenliği
Ağ güvenliği
Erişim denetimi
%42
%40
%39
Cihaz güvenliği
Güvenlik izleme
Veri koruması
%31
%30
%28
Kullanımda olmayan açık bağlantı
noktalarını kapatma
%25
"Gönderen" özelliğini
etkinleştirme
%25
Yazıcı onarımı erişimini koruma
altına alma
%25
Gizli ("kimlik doğrulamalı")
baskı özelliğini uygulama
%24
Yazıcıların sabit sürücülerini
düzenli olarak temizleme
%21
Daha da az sayıda IT uzmanı, işleri düzenli olarak süresi dolacak veya te-mizlenecek şekilde ayarlıyor, yapılandırma değişiklikleri için yönetici erişi-mi istiyor veya sertifika yönetimini otomatikleştiriyor .
BT uzmanları, diğer etkinliklere kıyasla yazıcı güvenliğini daha sık izliyor, ancak oranlar hâlâ düşük . BT uzmanlarının yalnızca %39'u yazıcı günlük-lerini düzenli olarak incelediğini söylüyor . Bu oran Kuzey Amerika'da yal-nızca %31 . Yazıcıları SIEM araçlarına bağladığını bildiren BT uzmanlarının oranı ise yalnızca %13 . Yazıcı günlüklerinin izlenmemesi ve yazıcıların SIEM ile tümleştirilmemesi, BT uzmanlarını ağda gizlenip veri çalmak için izlen-meyen altyapıyı kullanabilecek siber suçluların saldırılarına açık hâle getiri-yor .
8
Yazıcı güvenliği olay günlüklerini inceleme SIEM Aracına bağlanma
%31%39 %43 %43
%9%13 %13 %17
mevcut uygulamalar
Yazıcı İzleme
Toplam Kuzey Amerika EMEA APAC
Araştırma, yazıcı güvenliği için belirli bölgelerdeki diğer coğrafi farkları da gözler önüne seriyor . Kuzey Amerika yine geride kalıyor . Özellikle dene-tim ve şifreleme söz konusu olduğunda bu durumla karşılaşılıyor . APAC bölgesindeki BT uzmanlarının iletim halindeki verileri şifreleme, cihazda kimlik doğrulamasını zorunlu kılma ve kullanıcı rolüne göre erişim dene-timlerini dağıtma ihtimali, Kuzey Amerika'daki BT uzmanlarından çok daha fazla .
9
Dağıtılan Yazıcı Güvenliği Uygulamaları
Toplam Kuzey Amerika EMEA APAC
mevcut uygulamalar
Kullanıcı kimlik
doğrulaması%54
%42%59
%61
Aktarım halindeki
verileri şifreleme%42
%34%44
%49
Rol tabanlı erişim denetimi
%40
%46%46
%27
Son olarak, veri gizliliği düzenlemeleriyle uyumluluk söz konusu olduğun-da BT uzmanları yine birden fazla yaklaşımı benimsiyor . Bazı yazıcı dene-timleri de genel BT uyumluluk stratejisinin altında ele alınıyor . Spiceworks anketinde, Center for Internet Security'nin "CIS Controls V7" belgesi temel alınarak BT uzmanlarına hangi uyumluluk denetimlerini uyguladıkları sorul-du .5
Bu veriler, BT uzmanlarının genellikle yazıcılarla ilgili en temel güvenlik önlemlerini (örneğin, ürün yazılımı güncellemesi) bile almadığını gösteriyor . BT uzmanlarının yalnızca üçte biri bu önlemleri uyumluluk etkinlikleri kap-samında düzenli olarak gerçekleştiriyor . Sektör araştırmaları da bunu doğ-ruluyor . IDC'ye göre, kuruluşlar genellikle riski hafife aldığından, yazıcılar en son ürün yazılımına yükseltilmiyor .4 Ayrıca filo genelinde yazıcıların yeni ürün yazılımlarını incelemek, test etmek ve kabul etmek için yeterli zaman-ları olmayabiliyor .
10mevcut uygulamalar
Kötü amaçlı saldırılara
yönelik karşı önlemler
Güvenlik açığı değerlendirmeleri
Sistem bütünlüğü denetimleri
Belge güvenliği süreçleri
Fiziksel güvenlik
Müdahaleden koruma
Denetim analizi ve raporlama
Donanım/yazılım güncelleştirmeleri
Kullanımdaki Uyumluluk Denetimleri
11
Güvenlik politikasına sahip olduğunu bildiren %84 oranındaki BT uz-manları arasından yalnızca %64'ü bu politikaya yazıcıların dahil edil-diğini söylüyor. Kuzey Amerika'da bu oran yalnızca %52. Tümleşik ve otomatik yazıcı güvenliği denetimleri bulup bunları gerçekten uygulama-nın bu kadar önemli olmasının nedenlerinden biri de bu . Yerleşik güvenlik özelliklerine sahip yazıcılar, BT harcamalarınızı artırırken riski en aza indir-menize yardımcı oluyor .
IDC analistleri şu konuda da hemfikir: "Bir kez müşteriye gönderildikten sonra yazıcıları güçlendirmek çok daha zor olduğu için, temel ve geliş-miş güvenlik özellikleri bakımından zaten zengin yazıcıları tercih etmenin önemi açık ." 4 Gartner, "Teknoloji stratejilerini planlayanlar, baskı pazarında ortaya çıkan dinamiklerden fayda sağlamak için güvenlik sektöründeki en iyi uygulamaların ötesine geçen çözümleri kullanarak kapsamlı bir gü-venlik çözümü portföyü geliştirmelidir . Bu çözümler, daha geniş güvenlik çözümü ekosistemi ile tümleştirilmelidir ."6
Yönetilen Baskı Hizmetleri sağlayıcıları, baskı güvenliği konusunda perso-nellerin yeterli bilgiye sahip olmadığı BT departmanlarında eksikleri kapat-maya yardımcı olacak şekilde hizmetlerini genişletiyor . IDC, "Tedarikçiler cihaz ve veri düzeyinde çok çeşitli koruma hizmetleri sunuyor . Bunların birçoğu, mevcut belge yönetimi ve kurumsal içerik yönetimi (ECM) sis-temleriyle tümleştirilip daha fazla koruma sağlayacak ve aynı zamanda yönetim ve yasal düzenlemelere uyumluluk sorunlarını giderecek şekilde tasarlanıyor ."7
BT uzmanları için iyi haber: Günümüzün gelişmiş yazıcıları, baskı güven-liği portföyünüz için çok sayıda yerleşik güvenlik özelliği (örneğin, tehdit algılama, koruma, bildirim, kendi kendini onarma) sunarak, ağınızdaki en savunmasız uç noktanın, yani sık sık gözden kaçan yazıcıların güvenliğini artırmayı her zamankinden dah kolay bir hâle getiriyor .
Baskı güvenliğinizi güçlendirmenin zamanı geldi.
kapsamlı yazıcı güvenlİğİne doğru
Daha Fazla Bilgi
Kapsamlı Yazıcı Güvenliğine Doğru
Anket HakkındaHP, Mayıs 2018'de Spiceworks'ten bir anket düzenlemesini istedi . BT alanındaki karar alıcıları (örn . BT direktörleri ve BT yöneticileri) ve diğer BT çalışanlarını hedefleyen bu anketle, mevcut yazıcı güvenliği uygulamalarına ışık tutulması ve risk alanlarının belirlenmesi istendi . Anket sonuçlarında, en az 250 çalışana sahip kuruluşlarda görev alan, Kuzey Amerika, EMEA ve APAC bölgesinden yaklaşık 500 katılımcının yanıtlarına yer verildi .
Kaynaklar1 McLean, Asha, "Unsecured printers a security weak point for many organisations: HP" (Koruma altına alınmayan yazıcılar, birçok kuruluşta güvenlik
açığına yol açıyor: HP), ZDNet, 18 Nisan 2017 . https://www .zdnet .com/article/unsecured-printers-a-security-weak-point-for-many-organisations-hp/
2 Pickhardt, Kevin, "Why Your Innocent Office Printer May Be a Target For Hackers" (Masum Ofis Yazıcınız Neden Bilgisayar Korsanlarının Hedefi Olabilir?), Entrepreneur, 31 Ocak, 2018 . https://www .entrepreneur .com/article/308273
3 Peyser, Eve, "Hacker Claims He Hacked 150,000 Printers to 'Raise Awareness' About Hacking" (Bilgisayar Korsanı, Korsanlık Hakkında 'Farkındalık Yaratmak' İçin 150 .000 Yazıcıya Saldırdığını Söylüyor), Gizmodo, 6 Şubat 2017 . https://gizmodo .com/hacker-claims-he-hacked-150-000-printers-to-raise-aware-1792067012
4 Brown, Duncan ve diğerleri, "IDC Government Procurement Device Security Index 2018" (IDC Devlet Alımlarında Cihaz Güvenliği Dizini 2018) IDC, Mayıs 2018 .
5 "CIS Controls" (CIS Denetimleri), Center for Internet Security, Mart 2018 . https://www .cisecurity .org/controls/
6 Von Manowski, Kristin Merry ve Deborah Kish, "Market Insight: IoT Security Gaps Highlight Emerging Print Market Opportunities" (Pazar Analizi: IoT Güvenlik Açıkları, Baskı Pazarında Ortaya Çıkan Fırsatları Vurguluyor), Gartner, 31 Ekim 2017 https://www .gartner .com/doc/reprints?id=1-4OCKFKG&ct=180110&st=sb
7 Palmer, Robert ve Allison Correia, "IDC MarketScape: Worldwide Security Solutions and Services Hardcopy 2017 Vendor Assessment" (IDC MarketS cape: Dünya Çapında Güvenlik Çözümleri ve Hizmetleri Baskı 2017 Satıcı Değerlendirmesi), IDC, 2017 .
