Yazıcı Güvenliği: Yeni BT Gereksinimi. Araştırmaya Göre "Basit Yazıcılar" Güvenlikte Kör Nokta Olarak Kalıyor

Transkript

1 Yazıcı Güvenliği: Yeni BT Gereksinimi Araştırmaya Göre "Basit Yazıcılar" Güvenlikte Kör Nokta Olarak Kalıyor

2 İçindekiler Giriş Kurumsal Risk Algı Sorunu Mevcut Uygulamalar Kapsamlı Yazıcı Güvenliğine Doğru Anket Hakkında

3 Giriş BT güvenlik tehditleri gitgide artarken, donanım güvenliği için yapılan çalışmalar genellikle bu hıza ayak uyduramıyor. Belki de bu durumun en iyi gözlendiği donanım, yazıcılar. BT uzmanları, koruma altında olmayan yazıcıların ağ açısından teşkil ettiği tehlikelerin farkına varmaya başlasa da, yazıcılar güvenlikte kör nokta olarak kalmaya ve genellikle yetersiz korumayla çalıştırılmaya devam ediyor. HP Güney Pasifik bölgesinde baskı sistemleri yöneticisi olan Ben Vivoda, "Güvenlik açıkları, basit ağ yazıcıları da dahil olmak üzere ağa bağlı her tür cihazda ortaya çıkıyor." diyor. "Genellikle yazıcıların unutulup gözden kaçırıldığını ve tehlikelere maruz kaldığını görüyoruz. Genel BT siber güvenlik stratejileri söz konusu olduğunda, yazıcıları gözden kaçıran işletmeler artık ciddi sorunlarla karşı karşıya kalıyor." 1 Aslında Spiceworks tarafından gerçekleştirilen yakın tarihli bir ankete göre, güvenlik tehditlerindeki artışın nedeninin yazıcılar olduğu görülüyor. Günümüzde yazıcıların harici tehdit veya ihlallerin kaynağı olma ihtimali 2016'ya kıyasla %68 daha fazla. Dahili tehlike veya ihlal söz konusu olduğunda ise bu oran %118'e çıkıyor. Ancak BT uzmanlarının yalnızca %30'u yazıcıların güvenlik riski oluşturduğunun farkında. Bu oran 2016'ya kıyasla neredeyse iki katına çıkmış olsa da, hâlâ çok düşük ve tehlikeli bir gerçeği gözler önüne seriyor. Birçok BT uzmanının yazıcı güvenliğine dair fikirleri çağın gerisinde kalıyor. Bunun nedeni, yazıcıların ağ çevresi içinde güvenli olduğuna dair modası geçmiş algı olabilir. Riskin farkında olan BT uzmanları bile genellikle sayısı çok fazla olan son kullanıcı cihazlarının güvenliğini sağlamaya öncelik vererek yazıcıları tamamen açıkta ve ağları savunmasız hâlde bırakıyor. 2 Geçmişte yazıcı güvenliğine diğer uç noktalara kıyasla daha az önem verilmesi anlaşılabilir bir durum. Ancak günümüzde BT birimleri, koruma altında olmayan yazıcıların BT ağı genelinde oluşturduğu risklere ve şirketin genel risk yönetimine odaklanmak zorunda. giriş 3

4 Kurumsal Risk Yazıcılar gerçekten de sorun teşkil ediyor mu? Tek kelimeyle yanıtlamak gerekirse evet. Saat başı yeni güvenlik tehditlerinin ortaya çıktığı bir çağda yazıcılar kolay hedef hâline geliyor. Entrepreneur'de yazan Kevin Pickhardt'a göre, "Modern yazıcılar aslında gelişmiş ve özel ağ konakları. Bu nedenle, güvenlik için yazıcılara da geleneksel bilgisayarlar kadar önem verilmesi gerekiyor. 2 Ofis yazıcıları veri kayıplarına ve gizlilik sorunlarına yol açabiliyor. Bununla birlikte bu cihazlar, bilgisayar korsanlarının saldırılarına da açık." Tipik bir örnek: Söylenene göre geçen yıl bir bilgisayar korsanı genel erişime açık yazıcıya (çok sayıda fatura yazıcısı dahil) erişmek ve sahte baskı işlerinin çalıştırılmasını sağlamak için otomatik bir komut dosyasını kullandı. 3 Sektördeki analistler de bu konuda hemfikir. IDC'ye göre, "Çoğu yazıcının dahili ağlara geniş çaplı erişim yetkisi bulunuyor. Bir yazıcının güvenlik açığından sızan saldırganlar kuruluş ağına, uygulamalarına ve veri varlıklarına rahatça erişebilir." 4 Yeterli düzeyde korunmayan ağ yazıcılarının özellikleri nelerdir? Güvenlikleri güçlendirilmediği için bu yazıcılar üzerinden çok sayıda ağ protokolüne erişilebilir. Bu yazıcılar için erişim denetimleri gerekmez (genellikle yönetici parolası belirlemek bile akla gelmez). Hassas belgeler, kimlik doğrulaması gerekmeden basılabilir ve çıkış tepsisinde tüm gün bekleyebilir. Bu yazıcılar ağ üzerinden şifrelenmemiş veriler gönderir. Güncel olmayan ürün yazılımı kullanılır veya güvenlik tehditleri izlenmez. Bu çeşitli güvenlik hataları ciddi sonuçlar doğurur. Gartner'a göre 2020'ye kadar Nesnelerin İnterneti (IoT) projelerinin yarısından fazlasında, donanım güvenliği özelliklerinden yararlanmakta başarısız olunması nedeniyle hassas bilgiler açığa çıkacak. Bu oran bugün %5'ten daha az. 4 kurumsal risk 4

5 Algı Sorunu Ancak araştırmaya göre BT uzmanları yazıcıların teşkil ettiği riskin farkına varmakta hâlâ geç kalıyor. Kuzey Amerika'da BT uzmanlarının henüz dörtte birinden daha azı (%22) yazıcıların güvenlik riski taşıdığının farkında. Avrupa, Orta Doğu ve Afrika (EMEA) bölgesindeyse bu oran %35 ile üçte birin biraz üzerine çıkabiliyor. Algılanan Güvenlik Riski Düzeyi Yazıcılar %22 %30 %35 %33 Masaüstü/ Dizüstü %71 %71 %75 %68 Mobil cihazlar %67 %68 %69 %64 Toplam Kuzey Amerika EMEA APAC Buna karşın, BT uzmanlarına göre masaüstü ve dizüstü bilgisayarlar %71, mobil cihazlar %67 risk taşıyor. algı sorunu 5

6 Spiceworks'ün yaptığı araştırma şimdiden önlem alan BT uzmanlarının da kapsamlı olmayan bir yaklaşım benimsediğini gözler önüne seriyor. Güvenlik gereksinimlerinin ne kadar geniş bir alana yayıldığını düşününce, bu sonuç şaşırtıcı değil. Örneğin, tek bir çözüm veya yalnızca güvenlik duvarı hiçbir zaman yeterli olmuyor. Her ağ cihazında olduğu gibi, yazıcı güvenliğine de birçok açıdan yaklaşılması gerekiyor. Aynı zamanda her güvenlik stratejisinde olduğu gibi, en etkili çözümlerin tümleştirilip otomatikleştirilmesi ve kolayca kullanılıp yönetilmesi gerekiyor. Her yazıcı markasının kendi özel yazılımına ve işletim sistemine sahip olması durumu iyice zorlaştırıyor. Birçok BT uzmanı, yazıcı yazılımlarını güvenlik politikalarına uyacak şekilde yapılandırmak için yeterli bilgiye sahip olmayabilir. algı sorunu 6

7 Mevcut Uygulamalar BT uzmanları yazıcı güvenliği konusunda çok çeşitli yaklaşımlar sergileyerek, ellerindeki araçlara ve bu araçlarla ilgili bilgilerine göre güvenlik uygulamalarının ve özelliklerinin özel bir birleşimini hazırlıyor. Ancak mevcut yazıcı güvenliği yaklaşımları, genel hatlarıyla altıya ayrılıyor. Yazıcılar için şu anda aşağıdaki güvenlik uygulamalarını kullanan katılımcıların yüzdesi %42 Belge güvenliği %31 Cihaz güvenliği %40 Ağ güvenliği %30 Güvenlik izleme %39 Erişim denetimi %28 Veri koruması Araştırma, BT uzmanlarının bu kategorilerde birtakım temel güvenlik adımlarını uyguladığını, ancak maalesef bu oranın çok düşük kaldığını gözler önüne seriyor. %25 %25 %25 %24 %21 Kullanımda olmayan açık bağlantı noktalarını kapatma "Gönderen" özelliğini etkinleştirme Yazıcı onarımı erişimini koruma altına alma Gizli ("kimlik doğrulamalı") baskı özelliğini uygulama Yazıcıların sabit sürücülerini düzenli olarak temizleme

8 Daha da az sayıda IT uzmanı, işleri düzenli olarak süresi dolacak veya temizlenecek şekilde ayarlıyor, yapılandırma değişiklikleri için yönetici erişimi istiyor veya sertifika yönetimini otomatikleştiriyor. BT uzmanları, diğer etkinliklere kıyasla yazıcı güvenliğini daha sık izliyor, ancak oranlar hâlâ düşük. BT uzmanlarının yalnızca %39'u yazıcı günlüklerini düzenli olarak incelediğini söylüyor. Bu oran Kuzey Amerika'da yalnızca %31. Yazıcıları SIEM araçlarına bağladığını bildiren BT uzmanlarının oranı ise yalnızca %13. Yazıcı günlüklerinin izlenmemesi ve yazıcıların SIEM ile tümleştirilmemesi, BT uzmanlarını ağda gizlenip veri çalmak için izlenmeyen altyapıyı kullanabilecek siber suçluların saldırılarına açık hâle getiriyor. Yazıcı İzleme %39 %31 %43 %43 %13 %9 %13 %17 Yazıcı güvenliği olay günlüklerini inceleme SIEM Aracına bağlanma Toplam Kuzey Amerika EMEA APAC mevcut uygulamalar 8

9 Araştırma, yazıcı güvenliği için belirli bölgelerdeki diğer coğrafi farkları da gözler önüne seriyor. Kuzey Amerika yine geride kalıyor. Özellikle denetim ve şifreleme söz konusu olduğunda bu durumla karşılaşılıyor. APAC bölgesindeki BT uzmanlarının iletim halindeki verileri şifreleme, cihazda kimlik doğrulamasını zorunlu kılma ve kullanıcı rolüne göre erişim denetimlerini dağıtma ihtimali, Kuzey Amerika'daki BT uzmanlarından çok daha fazla. Dağıtılan Yazıcı Güvenliği Uygulamaları Kullanıcı kimlik doğrulaması %42 %54 %59 %61 Aktarım halindeki verileri şifreleme %34 %42 %44 %49 Rol tabanlı erişim denetimi %27 %40 %46 %46 Toplam Kuzey Amerika EMEA APAC mevcut uygulamalar 9

10 Son olarak, veri gizliliği düzenlemeleriyle uyumluluk söz konusu olduğunda BT uzmanları yine birden fazla yaklaşımı benimsiyor. Bazı yazıcı denetimleri de genel BT uyumluluk stratejisinin altında ele alınıyor. Spiceworks anketinde, Center for Internet Security'nin "CIS Controls V7" belgesi temel alınarak BT uzmanlarına hangi uyumluluk denetimlerini uyguladıkları soruldu. 5 Kullanımdaki Uyumluluk Denetimleri Donanım/yazılım güncelleştirmeleri Fiziksel güvenlik Müdahaleden koruma Denetim analizi ve raporlama Güvenlik açığı değerlendirmeleri Sistem bütünlüğü denetimleri Belge güvenliği süreçleri Kötü amaçlı saldırılara yönelik karşı önlemler Bu veriler, BT uzmanlarının genellikle yazıcılarla ilgili en temel güvenlik önlemlerini (örneğin, ürün yazılımı güncellemesi) bile almadığını gösteriyor. BT uzmanlarının yalnızca üçte biri bu önlemleri uyumluluk etkinlikleri kapsamında düzenli olarak gerçekleştiriyor. Sektör araştırmaları da bunu doğruluyor. IDC'ye göre, kuruluşlar genellikle riski hafife aldığından, yazıcılar en son ürün yazılımına yükseltilmiyor.4 Ayrıca filo genelinde yazıcıların yeni ürün yazılımlarını incelemek, test etmek ve kabul etmek için yeterli zamanları olmayabiliyor. mevcut uygulamalar 10

11 Kapsamlı Yazıcı Güvenliğine Doğru Güvenlik politikasına sahip olduğunu bildiren %84 oranındaki BT uzmanları arasından yalnızca %64'ü bu politikaya yazıcıların dahil edildiğini söylüyor. Kuzey Amerika'da bu oran yalnızca %52. Tümleşik ve otomatik yazıcı güvenliği denetimleri bulup bunları gerçekten uygulamanın bu kadar önemli olmasının nedenlerinden biri de bu. Yerleşik güvenlik özelliklerine sahip yazıcılar, BT harcamalarınızı artırırken riski en aza indirmenize yardımcı oluyor. IDC analistleri şu konuda da hemfikir: "Bir kez müşteriye gönderildikten sonra yazıcıları güçlendirmek çok daha zor olduğu için, temel ve gelişmiş güvenlik özellikleri bakımından zaten zengin yazıcıları tercih etmenin önemi açık." 4 Gartner, "Teknoloji stratejilerini planlayanlar, baskı pazarında ortaya çıkan dinamiklerden fayda sağlamak için güvenlik sektöründeki en iyi uygulamaların ötesine geçen çözümleri kullanarak kapsamlı bir güvenlik çözümü portföyü geliştirmelidir. Bu çözümler, daha geniş güvenlik çözümü ekosistemi ile tümleştirilmelidir." 6 Yönetilen Baskı Hizmetleri sağlayıcıları, baskı güvenliği konusunda personellerin yeterli bilgiye sahip olmadığı BT departmanlarında eksikleri kapatmaya yardımcı olacak şekilde hizmetlerini genişletiyor. IDC, "Tedarikçiler cihaz ve veri düzeyinde çok çeşitli koruma hizmetleri sunuyor. Bunların birçoğu, mevcut belge yönetimi ve kurumsal içerik yönetimi (ECM) sistemleriyle tümleştirilip daha fazla koruma sağlayacak ve aynı zamanda yönetim ve yasal düzenlemelere uyumluluk sorunlarını giderecek şekilde tasarlanıyor." 7 BT uzmanları için iyi haber: Günümüzün gelişmiş yazıcıları, baskı güvenliği portföyünüz için çok sayıda yerleşik güvenlik özelliği (örneğin, tehdit algılama, koruma, bildirim, kendi kendini onarma) sunarak, ağınızdaki en savunmasız uç noktanın, yani sık sık gözden kaçan yazıcıların güvenliğini artırmayı her zamankinden dah kolay bir hâle getiriyor. Baskı güvenliğinizi güçlendirmenin zamanı geldi. Daha Fazla Bilgi kapsamlı yazıcı güvenliğine doğru 11

12 Anket Hakkında HP, Mayıs 2018'de Spiceworks'ten bir anket düzenlemesini istedi. BT alanındaki karar alıcıları (örn. BT direktörleri ve BT yöneticileri) ve diğer BT çalışanlarını hedefleyen bu anketle, mevcut yazıcı güvenliği uygulamalarına ışık tutulması ve risk alanlarının belirlenmesi istendi. Anket sonuçlarında, en az 250 çalışana sahip kuruluşlarda görev alan, Kuzey Amerika, EMEA ve APAC bölgesinden yaklaşık 500 katılımcının yanıtlarına yer verildi. Kaynaklar 1 McLean, Asha, "Unsecured printers a security weak point for many organisations: HP" (Koruma altına alınmayan yazıcılar, birçok kuruluşta güvenlik açığına yol açıyor: HP), ZDNet, 18 Nisan Pickhardt, Kevin, "Why Your Innocent Office Printer May Be a Target For Hackers" (Masum Ofis Yazıcınız Neden Bilgisayar Korsanlarının Hedefi Olabilir?), Entrepreneur, 31 Ocak, Peyser, Eve, "Hacker Claims He Hacked 150,000 Printers to 'Raise Awareness' About Hacking" (Bilgisayar Korsanı, Korsanlık Hakkında 'Farkındalık Yaratmak' İçin Yazıcıya Saldırdığını Söylüyor), Gizmodo, 6 Şubat Brown, Duncan ve diğerleri, "IDC Government Procurement Device Security Index 2018" (IDC Devlet Alımlarında Cihaz Güvenliği Dizini 2018) IDC, Mayıs "CIS Controls" (CIS Denetimleri), Center for Internet Security, Mart Von Manowski, Kristin Merry ve Deborah Kish, "Market Insight: IoT Security Gaps Highlight Emerging Print Market Opportunities" (Pazar Analizi: IoT Güvenlik Açıkları, Baskı Pazarında Ortaya Çıkan Fırsatları Vurguluyor), Gartner, 31 Ekim Palmer, Robert ve Allison Correia, "IDC MarketScape: Worldwide Security Solutions and Services Hardcopy 2017 Vendor Assessment" (IDC MarketS cape: Dünya Çapında Güvenlik Çözümleri ve Hizmetleri Baskı 2017 Satıcı Değerlendirmesi), IDC, 2017.