Niebezpiecznik 
Godzina 02:27.
Ktoś loguje się do panelu urządzenia wielofunkcyjnego stojącego w korytarzu na 3 piętrze biurowca.
Podmienia jeden wpis w książce adresowej urządzenia.
Od tej pory skanowane na urządzeniu dokumenty trafiają nie tylko do właściwego odbiorcy, ale też pod dodatkowy adres.
Ten adres jest poza firmą. Należy do włamywacza.
Ale kiedy doszło do podmiany?
Ale jaki był IP podmieniającego?
Tego administrator zaatakowanej firmy nigdy nie ustali, bo atakujący ...wyczyścił logi.
A firma nie miała SIEM-a.
Nie monitorowała też SNMP.
I teraz pytanie: Kiedy admin dowie się o tym ataku?
Za 3 godziny czy za 3 miesiące?
Drukarki i MFP to jedne z tych urządzeń, które w wielu firmach są raczej gdzieś poza głównym radarem.
Nie poświęca się im wiele uwagi.
A powinno się.
Bo mają IP, usługi, konta, konfigurację, firmware, książki adresowe, logi i dostęp do dokumentów.
Cenne dane przez nie przelatują. I są drukowane w formie niezaszyfrowanej 🍄 no bo jak inaczej?
Jak to ogarnąć i prawidłowo zbazpieczyć?
🔎 Zabbix + SNMPv3 - żeby kontrolować konfigurację i odchylenia od wzorca
🕵️ Wazuh + szyfrowany Syslog - żeby widzieć zdarzenia wtedy, kiedy się dzieją,
🛠️ Canon iWEMC żeby zarządzać flotą, firmware’em i zgodnością ustawień.
W szczegółach opisujemy to w drugim odcinku cyklu "Droga Samuraja" - poczytajcie: https://niebezpiecznik.pl/post/architektura-nadzoru-czyli-jak-wojownik-it-wlacza-drukarki-w-system-obrony-zgodny-z-nis2-dora-i-zasadami-cyberdojo/
[post sponsorowany]
#cybersecurity #drukarki #MFP #monitoringIT #Wazuh #Zabbix #SNMPv3 #Syslog #NIS2 #DORA #samuraj
Capensis
