Комплексная защита офисных устройств: решения HP

Развитие информационных технологий и диджиталицзация всех бизнес-процессов предприятия приводят к тому, что организации одного лишь защищенного периметра для безопасности корпоративных данных становится недостаточно. Этот вопрос все больше переходит от уровня СБ к уровню непосредственно устройства: как персонального компьютера, так и принтера. Не случайно эта тема стала одной из основных на недавнем мероприятии HP в Москве, где о новых решениях по безопасности рассказал менеджер по развитию партнерского бизнеса компании в России Алексей Самойлов. В данном обзоре мы подробнее остановимся на продуктах в области информационной безопасности, представленных тогда вендором, а также расскажем о некоторых других решениях, необходимых любому современному бизнесу.

Подробнее о московском мероприятии HP можно узнать в материале ICT-Online.ru

Комплексный подход HP к защите ПК

Концепция корпоративной мобильности, безусловно, приносит бизнесу очевидные преимущества: это возможность доступа к необходимой информации из любой точки земного шара, совместная работа и утверждение документов в режиме онлайн — соответственно, ускорение бизнес-процессов, максимально быстрый отклик и удобные коммуникации с сотрудниками и клиентами, а в результате — рост прибыли. Согласно собственным исследованиям HP, уже около 62% конечных пользователей в мире выполняют свою работу на ноутбуках и планшетах в различных локациях вне офиса: дома, в самолете, в ресторане, гостинице и других местах.

 

Решения HP для разных уровней защиты информации

 

При этом столь же очевидно, что при таких условиях работы риск утраты ценной информации многократно повышается. Здесь речь уже идет не только о мошенничестве, совершаемом киберпреступниками, а о таких бытовых вещах, как кража персонального устройства или подсматривание за пользователем с целью получить пароль к операционной системе или личному аккаунту. К слову, аналитики Ponemon Institute подсчитали, какие виды защищаемых данных чаще всего используются вне офиса: лидируют среди них внутренние финансовые документы, информация HR-отдела и документы, составляющие коммерческую тайну. Также в этот список входят номера кредитных карт, данные социального страхования и частные медицинские сведения. Попадание любой подобной информации в чужие руки может повлечь за собой не только финансовые убытки, но и непоправимую потерю репутации.

Разумеется, при наличии большого числа разносторонних угроз офисной технике единого решения для защиты всей ИТ-инфраструктуры предприятия быть не может В HP уверены, что максимальный эффект может дать только комплексный подход к обеспечению информационной безопасности конечного устройства, находящихся в нем данных, а также сотрудника, который этим устройством пользуется. Поэтому компания вывела на рынок целый ряд продуктов в данной области, предназначенных для разных областей применения.

 

HP Sure Start защищает компьютер на уровне BIOS

 

Так, технология HP Sure Start, которой оборудованы, в частности, ПК от HP cерии Elite, обеспечивает безопасность устройства уже на уровне BIOS. При ее применении повреждения и атаки на систему будут выявлены до ее загрузки, при необходимости будет выполнен ремонт или восстановление жесткого диска. Заражение системы BIOS, предназначенной, прежде всего, для оценки состояния ПК перед запуском операционной системы, не умеют распознавать традиционные антивирусные средства, и поэтому данная угроза несет наибольший риск как для работоспостобности устройства, так и для сохранности данных на нем. HP SureStart защищает BIOS на всех этапах ее работы: при попытке подменить загрузчик ОС, при работе ОС и в рабочей памяти SMM (System Management Mode).

Облачное решение HP Touchpoint Manager предназначено для дистанционного управления мобильными устройствами (MDM) и настольными ПК. С помощью веб-интерфейса администратор сможет провести мониторинг состояния устройств (местоположение, заряд батареи, истечение гарантийного срока, угрозы жесткому диску), загрузить на них протоколы безопасности, патчи и обновления, а в случае потери или кражи устройства — удаленно заблокировать или стереть данные. Важно, что HP Touchpoint Manager эффективно работает на всех основных мобильных и десктопных операционных системах, а геопозиционирование по GPS позволит отследить перемещение гаджета, даже если он выключен.

 

HP WorkWise превращает смартфон в пульт управления компьютером

 

Существует и обратное решение: для защиты стационарного компьютера от несанкционированного доступа и удаленного управления им компания разработала мобильное приложение HP WorkWise. Теперь на мобильном гаджете пользователь увидит информацию о текущем состоянии устройства (температура процессора, заряд аккумулятора, объем используемой оперативной памяти и т. д.), получит уведомление о попытке доступа к ПК, а также о его отключении от сети, использовании портов и др., сможет быстро подключить к ПК нужный принтер, просканировав его QR-код. Помимо этого, приложение автоматически заблокирует компьютер при удалении от него пользователя и разблокирует, когда пользователь вернется.

 

HP Sure View понадобится для работы в людных местах

 

На уровне пользователя —  последние устройства серии HP Elite, работающие на Windows 10, обеспечивают проверку подлинности отпечатков пальцев и распознавание лиц. Кроме того, на ноутбуках этой серии применяется технология защиты экрана от подглядываний HP Sure View: дополнительный фильтр на экране, при необходимости включающийся нажатием определенного сочетания клавиш, препятствует хорошей видимости изображения и уменьшает яркость подсветки при взгляде на дисплей даже под небольшим углом.

От скрытых загрузок вредоносного ПО из Интернета компьютер пользователя защитит технология HP Sure Click, совместимая с браузерами Internet Explorer и Chromium. Программа создает новую виртуальную машину (то есть изолированный сеанс) каждый раз, когда пользователь открывает новую веб-страницу. Таким образом, исключается возможность заражения системы, действия фишинга или вредоносной рекламы.

По словам Алексея Самойлова, неоспоримым фактом является то, что современные бизнес-ПК должны быть надежно защищены. Поэтому тема безопасности устройств будет подниматься на каждом мероприятии HP, а соответствующие решения вендора — развиваться.

Офисные принтеры: теневые лидеры по уязвимостям

Если с вредоносными программами и атаками злоумышленников на офисные ПК службы информационной безопасности компаний научились справляться сравнительно успешно, то к защите от взлома печатающей техники многие руководители бизнеса по-прежнему относятся далеко не столь ответственно. Объясняется это как отсутствием у них практического опыта, так и недостаточной обеспеченностью печатающих устройств программными и аппаратными механизмами защиты.

Между тем, по этим и другим причинам именно со стороны принтеров и МФУ может идти самая большая угроза для корпоративных данных. По оценкам HP, в мире лишь менее 2 % корпоративных принтеров являются по-настоящему защищенными. Большой резонанс вызвал произошедший в феврале 2017 года инцидент, когда около 150 000 принтеров одновременно вывели на печать предупреждение о своей уязвимости. Взломщик, который, к счастью, не преследовал цели украсть информацию, как раз и использовал узкие места, возникающие при пренебрежении должной защитой устройств: например, при отсутствии пароля на входе.

Этот случай показал, как легко любой злоумышленник может использовать офисную печатную технику для собственной выгоды. Ведь многие современные устройства обладают крайне широким функционалом: могут сканировать документы, распечатывать их удаленно, а на их жестких дисках, как на компьютере, некоторое время сохраняются образы документов – напечатанных, отсканированных, скопированных, присланных по e-mail. Среди этого огромного объема данных может оказаться конфиденциальная информация.

По данным исследовательской компании Quocirca, внутри 61% организаций по всему миру в 2016 году произошло по крайней мере одно нарушение безопасности, связанное с печатью. Какие же пути могут использовать злоумышленники?

 

Комплексная защита принтера

 

Самое простое, что можно сделать, — прихватить с собой только что отпечатанный или забытый в лотке принтера документ. Чаще всего это происходит, когда процесс печати в организации не упорядочен, не ведется учет использования принтера и нет механизма идентификации пользователей. Если в определенном отделе компании (бухгалтерия, юристы, HR и др.) распечатывается большое количество документов, содержащих личные данные сотрудников и другую ценную информацию, логичнее всего установить на печатающей технике в этом отделе специализированное решение для контроля доступа к ней. Например, при развернутой системе HP Access Control сотрудник, отправивший файл на печать, для начала должен будет идентифицировать себя с помощью персонального пин-кода, электронной карты  или устройства с NFC-чипом (новая версия HP Access Control предусматривает поддержку считывающего устройства SNMPv3 для бесконтактных или смарт-карт). Кстати, использование такого регламента скажется и на экономии расходных материалов: уменьшится количество лишних или сделанных «на всякий случай» копий.

Более «продвинутый» взломщик, получивший физический доступ к принтеру, может попытаться похитить сам жесткий диск, вскрыв корпус устройства и проникнув внутрь. Для предотвращения таких действий HP снабжает свою технику разъемом с замком Kensington Lock. А на оборудовании HP серии Enterprise устанавливаются диски с шифрованием информации. Так же можно снабдить принтер или МФУ дополнительным модулем Trusted Platform Module, в котором будут храниться зашифрованные ключи и пин-коды пользователей и будет контролироваться связь между всеми компонентами и программным обеспечением устройства.

Несложно догадаться, что описанные выше сценарии используют, прежде всего, недобросовестные сотрудники, имеющие беспрепятственный доступ к принтеру в течение всего рабочего времени. Еще один вариант подобного хищения информации — запись файла с отсканированным в МФУ документом на флеш-карту через USB-порт. Для предотвращения этого, помимо соответствующей настройки инсталлированной на рабочие станции сотрудников DLP-системы, можно воспользоваться решением HP JetAdvantage Security Manager. Этот пакет предназначен для установки и автоматического применения политик безопасности (закрытие/открытие портов, включение/отключение протоколов доступа, автоматическое стирание файлов и т.д.) на всех контролируемых им устройствах корпоративной сети. В том числе и на вновь подключенных: одна из функций JetAdvantage Security Manager — самостоятельный поиск устройств. Другая функция — HP Capture and Route — упрощает управление отсканированными документами. В новой версии она позволяет шифровать отсканированные данные, хранящиеся на сервере Capture and Route, а также мгновенно выводить на печать сообщения пользователей и факсов непосредственно на МФУ.

 

Менеджер по развитию партнерского бизнеса компании HP в России Алексей Самойлов

 

Второй большой тип тип угроз, помимо «физических», — дистанционные кибератаки. Сегодня они поражают своим разнообразием и «неразборчивостью» целей: атаке может подвергнуться как крупное предприятие, так и небольшое, состоящее из 3-4 рабочих станций и одного печатающего устройства.

Для защиты от скрытого проникновения в корпоративную систему вирусного ПО в МФУ и принтерах HP применяется трехуровневая система защиты и мониторинга. Первый уровень — уже знакомый нам HP SureStart, начинающий работу при включении устройства и старте работы системы ввода-вывода (BIOS).

В момент загрузки операционной системы включается функция HP Secure White Listing, определяющая использование нелицензированного программного кода. Благодаря ей, к примеру, на новых принтерах можно будет установить и выполнить только легальные программы. При обнаружении кода-нарушителя загрузка моментально останавливается и происходит запуск базовой (начальной) версии ПО.

Третий уровень защиты, система мониторинга чистоты устройств печати HP Run-time Intrusion Detection, включается на всё время эксплуатации техники. Программа сканирует память устройства на признак вредоносных атак.

Интересно, что решения HP не только помогают оградить корпоративные данные от атаки мошенников, но и предупреждают некоторые угрозы из области социальной инженерии. Так, при их использовании сокращается риск необдуманных, «механических» операций пользователя с документом. Резюмируя, необходимо сделать упор на том, что программно-аппаратные средства, которые HP сегодня представляет на рынке, позволят компании оптимизировать критически важные бизнес-процессы, уменьшить нагрузку на ИТ-отдел и повысить производительность сотрудников, во многом исключив из процесса печати проявления «человеческого фактора».

Аутсорсинг печати с повышенной защитой

Мировые эксперты рынка печатающих устройств единогласно отмечают растущий интерес B2B-клиентов к аутсорсинговым услугам печати — когда, к примеру, вендор устанавливает в офисы компании свое оборудование и осуществляет его обслуживание на срок действия контракта. Преимущества такого подхода могут рассматриваться с разных сторон: так, оплата услуг «по факту» (только за реальный объем напечатанных страниц) означает лучшую прогнозируемость расходов, а применение аутсорсинговыми компаниями новейших технологий мониторинга позволяют оптимизировать парк печатной техники. Концепция передачи парка печатной техники на обслуживание сторонней организации определила новый взгляд компаний и на вопросы информационной безопасности.

 

Предложение HP по аутсорсингу процесса печати

 

В рамках услуг по аутсорсингу печати (Managed Print Services, MPS) компания HP представила несколько сервисов для защиты корпоративной печатной среды от кибератак: Print Security Implementation Service (помощь в организации ИБ специалистов техподдержки HP), Print Security Advisory Retainer Service (консультационные услуги по обеспечению безопасности печати и аудит на соответствие различным нормативным требованиям), Print Security Governance & Compliance (систему дистанционного управления настройками безопасности и мониторинга парка печатных устройств для создания отчетов об их состоянии и своевременного обнаружения потенциальных проблем).

Благодаря тому, что новые инструменты НР позволяют автоматизировать меры по повышению безопасности (например обновление микропрограммного обеспечения и управление паролями), в рамках контракта компании могут передать на аутсорсинг самые трудоемкие операции.

Помимо этого, подписав контракт на MPS, клиент может быть уверен, что его печатное оборудование всегда будет иметь самые свежие лицензионные версии программного обеспечения. А применяемые в рамках контракта средства авторизации пользователя и механизмы мониторинга печати обеспечат необходимый уровень безопасности всего процесса документооборота в компании

Автор: Андрей Блинов.

Тематики: Рынок ПК

Ключевые слова: принтеры, HP Inc