继 PrintNightmare 事件后，打印机安全成为安全团队的热点问题。以下是在企业网络上保护打印机安全的七种方法。

　　企业打印机长期以来一直是 IT 安全的事后考虑，但今年早些时候 PrintNightmare 改变了这一切，这是微软 Windows 打印后台处理程序服务中的一个缺陷，可在远程代码执行攻击中被利用。

　　因此，微软发布了一系列补丁——企业安全团队开始评估其网络上打印机的安全性。鉴于大多数公司将继续作为混合工作场所运营，员工在家中使用个人打印机以及远程连接到工作中的打印机，所以这一点尤为重要。

　　共享评估北美指导委员会主席 Nasser Fattah 表示：“打印机过去并没有被视为安全问题，尽管它们每天打印一些我们最敏感的数据并且整天都连接到我们的网络。”他指出，打印机带有许多应用程序，包括 Web 服务器——与任何其他应用程序一样，这些应用程序可能具有默认密码和漏洞——以及可容纳大量敏感信息的相当大的存储空间。

　　“此外，办公室打印机连接到公司的身份存储库，以便用户验证打印和电子邮件系统向用户提供打印状态，”Fattah 说，“因此，打印机会带来严重的安全问题，使攻击者能够访问公司网络、敏感信息和资源。例如，攻击者可以通过打印默认密码将打印重定向到未经授权的位置。此外，网络上易受攻击的打印机为攻击者提供了一个切入点。”

　　鉴于这些现实，我们向行业专家询问了有关如何帮助安全团队在企业网络上锁住打印机的提示。

　　将打印机视为暴露在网络中的物联网设备

　　惠普打印网络安全首席技术专家奥尔布赖特（Shivaun Albright）表示，安全团队需要像对待 PC、服务器和物联网 （IoT） 设备一样考虑打印机安全。这意味着他们需要更改默认密码并定期更新固件。

　　“有太多组织未将打印机安全视为整体 IT 治理标准的一部分，”奥尔布赖特说，“它通常不被视为安全流程的一部分，因此没有得到适当的预算和人员配备”。

　　Coalfire 技术和企业副总裁安德鲁·巴拉特 （Andrew Barratt） 表示，企业常犯的错误是没有像对待任何其他数据入口和出口点那样对待打印机，尤其是在大型多功能设备的情况下。他指出，打印机本质上是复杂的嵌入式计算设备，其安全足迹与许多其他物联网设备相似，但可以访问更多数据。

　　“许多打印机都有相当大的存储设备，可以包含许多打印作业或扫描副本，而且通常没有任何加密或其他访问控制，”巴拉特说，“它们是网络连接的，通常很少接触安全测试，并且经常是大型组织攻击中被遗忘的部分。”

　　启用打印服务日志记录

　　日志记录是了解网络上发生的事情的必要部分。BreachQuest 的联合创始人兼首席技术官 Jake Williams 表示，打印服务日志可以为安全团队提供有关连接到网络的所有打印机的大量有价值的信息——在 PrintNightmare 之前，企业安全团队并没有太多关注这一领域。

　　他说：“随着居家工作的开始，我建议启用企业端点上的打印服务日志记录[默认情况下禁用]，以确保安全团队在WFH情况下看到发送到USB连接打印机的打印作业，这些打印作业绕过打印服务器，而打印服务器通常进行日志记录。事实证明，此日志记录还捕获了新打印机的安装——甚至是尝试——并为 PrintNightmare 提供了可靠的检测。”

　　将打印机放在单独的 VLAN 上

　　Haystack Solutions 的首席执行官布里顿（Doug Britton）表示，安全团队应该将打印机放在他们自己的 VLAN 中，并在网络的其余部分之间设置一个虚拟防火墙。他说，打印机 VLAN 应该被视为不受信任的网络。

　　“这将使打印机正常运行，同时限制它们造成损坏的能力，假设它们已受到损害。”布里顿说，“如果打印机被黑客入侵并开始‘监听’或试图窃取数据，他们将不得不通过防火墙进行，这将是可观察到的。来自打印机的任何‘协议外’探测都将被立即检测到。”

　　惠普的奥尔布赖特还指出，超过一半 （56%） 的打印机可以通过可能被黑客入侵的常用开放打印机端口访问。她建议，安全团队应该关闭所有未使用的打印机端口，禁用未使用的互联网连接，并关闭目前经常未使用的 telnet 端口。

　　Gurucul 首席执行官 Saryu Nayyar 的另一个提示是：“组织中的打印机通常没有标准化。IT 人员必须定期检查多个型号以获取安全更新。尽可能对打印机进行标准化可以减少 IT 人员的工作量并减少出错的可能性。”

　　提供更好的培训和安全意识

　　根据惠普最近的研究，自疫情开始以来，约有 69% 的办公室工作人员使用他们的个人笔记本电脑或个人打印机/扫描仪进行工作活动，这使他们的公司面临攻击。

　　Digital Shadows 战略副总裁兼首席信息安全官 Rick Holland 表示，安全团队必须就在家使用打印机的风险对员工进行培训。这些打印机应该由他们的 IT 部门加强。Holland 补充说，打印机并不昂贵，公司应该标准化具有强大安全和隐私功能的打印机，并将其提供给必须远程打印的员工。

　　“与潜在入侵的成本相比，由 IT 维护并配备适当安全控制的 300 美元打印机根本不算什么，”Holland 说，“公司还应考虑消除打印法律文件和利用 [电子签名] 服务的需要。如果员工需要在家打印，公司应该考虑为敏感文件提供横切碎纸机。”

　　使用正确的工具获得网络可见性

　　企业安全团队并不总是意识到攻击者可以看到多少他们的网络。惠普的奥尔布赖特表示，安全团队可以首先使用像 Shodan 这样的公开工具来发现有多少物联网设备（包括打印机）暴露在互联网上。

　　如果防御者不了解设备，也很难保护设备。她说，安全专家还应该将打印机日志信息集成到安全信息和事件管理 （SIEM） 工具中。

　　然而，SIEM 的好坏取决于提供给它们的信息。奥尔布赖特说，因此安全团队应该寻找提供可靠数据的打印机管理工具。通过这种方式，安全分析师可以真正判断打印机是否已被用作发起攻击的入口点或授予横向移动访问权限。

　　执行打印机侦察和资产管理

　　根据 ThreatModeler 的创始人兼首席执行官 Archie Agarwal 的说法，攻击打印机传统上被视为黑客攻击中更幽默的一面：它们相当无害，例如打印出有趣或挑衅的信息。但现在情况不再如此，他说，因为这些相同的打印机连接到私有的公司内部网络，始终侦听来自外部世界的连接。通常，公司会忘记或忽略这些潜在的门户。

　　“正如我们最近看到的那样，犯罪分子并没有忘记，当这些打印机上的服务拥有可以通过远程代码执行征用的强大特权时，我们就会遇到令人兴奋和危险的组合。”Agarwal 说。

　　这就是为什么他说安全团队需要对他们自己的环境进行严格的侦察。他们需要清点连接到正在侦听入站连接的内部网络的所有资产，并采取必要的措施来保护它们。这可能意味着锁定设备或定期修补它们。

　　“如果他们不进行这种侦察，犯罪分子就会为他们进行侦察，而最终结果可能并非无害。”Agarwal说。

　　利用漏洞扫描器

　　New Net Technologies的首席技术官 Mark Kedgley 说，打印机通常被视为良性设备，没有任何凭据或严重的机密数据可以公开，但情况可能不一定如此。诚然，国家漏洞数据库 （NVD） 报告并给出通用漏洞披露 （CVE） 的打印机漏洞并不像其他计算平台和设备报告的漏洞那么常见，但仍然存在可能导致麻烦的问题，尤其是在今天的环境中。

　　Kedgley 说，最重要的漏洞是那些可能让攻击者访问打印文档的漏洞。他指出，3 月份报告的许多漏洞影响了主要用于 CAD 或 GIS 输出的 Canon Oce ColorWave 500 打印机。他说，企业安全团队可以像测试其他漏洞一样，通过使用基于网络的漏洞扫描器来测试这些漏洞，该扫描器需要进行修补或配置强化，以缓解或修复威胁。

　　背景补充

　　2021年6月8日，微软官方修复了一个存在于打印机服务Windows Print Spooler中的高危漏洞（CVE-2021-1675）。利用该漏洞，攻击者可以将普通用户权限提升至System权限。然而在安全研究人员对其安全补丁验证的过程中，又发现了另一处比较严重的远程攻击漏洞（CVE-2021-34527，代号“PrintNightmare”）。利用此漏洞，攻击者可以直接在域环境中攻击域控服务器，拿下整个域控，或是在工作组环境中肆意漫游，影响所有Windows版本中的Windows Print Spooler，包括安装在个人计算机、企业网络、Windows服务器和域控制器上的版本。7月6日至7日，微软连续发布out of band补丁来修复该漏洞。