Komplex alkalmazási lehetőségek: fizikai biztonság és információvédelem. biz2 Total Security Conference

Május 20-án első alkalommal került megrendezésre a biz2 Total Security Conference a Kopaszi gáton található port11 rendezvényházban. A két rendező cég, az Aspectis Kft. és a biztributor (IT biztonsági disztribútor) célja volt, a fizikai biztonság és információvédelem komplex alkalmazásának lehetőségeit bemutatni, egyben jelezni a két terület összehangolásának szükségességét, hiszen a vagyonvédelmi rendszerek nagyban épülnek információs technológiai megvalósításokra és az IT biztonsági rendszerek is haszontalanok lehetnek, ha az eszközöket nem védjük fizikai szempontból megfelelően.

Többfaktoros információ és identitás ellenőrzés

A megnyitót követően Húsvéti Zsolt, a biztributor műszaki igazgatatója tartotta meg az első előadást Gemalto: az erős azonosítás és fizikai beléptetés világa címmel. A cégbemutatót követően a Gemalto többfaktoros információ és identitásellenőrzést szolgáló termékcsaládjának ismertetésére került sor. A különböző típusú és más-más célra szolgáló authentikációs és authorizációs eszköz közül nagy hangsúlyt kapott az a fajta smartcard, mely egyszerre szolgál fizikai beléptetésre és a munkaállomásra történő bejelentkezésre. Ennek előnye, hogy csak abban az esetben lehet a számítógépbe bejelentkezni, ha az illető a fizikai beléptetőrendszer szerint is az épületben tartózkodik. Hátrányaként mindössze azt róhatjuk fel, hogy minden esetben szükségünk van egy smartcard olvasó modulra a használatához.

CSO, CISO összefonódás és kihívások

A mélyebb műszaki ismeretek is tartalmazó prezentáció után egy szubjektívabb következett az Aspectis részéről: A CSO szerepe az új világban. A gazdálkodó szervezeteket és állami szerveket érintő kockázatok felsorolása után a konferencia alaptémájául szolgáló két terület az IT és a fizikai biztonságért felelős vezetőkhöz, azaz a CSO-hoz (Chief Security Officer) és a CISO-hoz (Chief Information Security Officer), kapcsolódó kihívásokról beszélt az előadó. Zárásként az információs technológia előtti kihívásokról hallhattunk néhány gondolatot, hangsúlyozva a rohamos technológiai fejlődés, a dolgok internete (Internet of Things), és a  Bring Your Own Device  (használd-a-saját –eszközöd) térhódítását.

Jelszavak menedzsmentje

A rövid kávészünetet Kocsis Tamás előadása követte, Drágán add a széfemet (privilegizált jelszavak menedzsmentje) címmel, melyben a CyberArk jelszószéfét mutatta be. A termék az információbiztonsági szakember által jól ismert problémát hivatott megoldani. Ez a különböző beépített és emelt hozzáféréssel rendelkező felhasználóhoz tartozó jelszavak menedzselése. A sok, különböző erősségű felhasználó kezelése már egy kis informatikai infrastruktúrában is rengeteg munkaórájába kerül az azért felelős személynek, nem beszélve arról, hogy az egyes cégek különböző szabványoknak is meg kell feleljenek, melyek elvárják a megfelelő jelszókezelést. Ezenfelül problémát jelentenek még a különböző sérülékenységek (Pass-the-Hash, Kerberos sérülékenység) és támadások (APT malware, crypto malware) is.

Ahhoz, hogy ezeket a problémákat hatásosan és költségkímélően megoldjuk, először izolálnunk kell az olyan felhasználókat, akik privilegizált hozzáféréssel rendelkeznek az általunk használt informatikai rendszerben. Erre a CyberArk DNA modulja szolgál megoldásul, amely az infrastruktúrában végzett scan után egy riport formájában szemlélteti a privilegizált  felhasználókat és azt, hogy milyen szolgáltatások, folyamatok vagy alkalmazások futnak a nevükben. Ez a modul ingyenesen hozzáférhető, már önmagában is  teljes értékű termékként szolgál és az időszakos felhasználó-felülvizsgálás során is kitűnő szolgálatot tehet.

Információbiztonság és a kamerarendszerek

Pelyák Norbert, az AXIS Communications részéről Információ biztonsága, biztonságos információ címmel tartott előadást. Az IP kamerákról és a kapcsolódó információbiztonsági kérdésekről beszélt. Kiemelte, hogy fontos a szeparált hálózatokkialakítása és a kamerarendszerekhez tartozó eszközökön a firmware frissítés ahhoz, hogy egy minden szempontból jól működő védelmi rendszerünk legyen.

Ezt követően szintén ebben a témában hallhattunk előadást az Aspectis Kft. részéről, IT biztonság és videómegfigyelés kapcsolata címmel. A bemutatott termék az Aspetics által forgalmazott Netavis volt, amely egy videó archiváló és megfigyelő rendszer. Ezt a már meglévő IT környezetbe lehet beépíteni a központi szerver és felhasználói hálózat közé. Célja a hozzáférések és a nyitott portok számának minimalizálása az infrastruktúrában. Az előadó kiemelte, hogy ezekben a rendszerekben is kiemelt fontosságú a sérülékenységekhez tartozó frissítések telepítése, amelyek azonosítását az infrastruktúra időszakos auditjával érhetünk el.

Az ebédszünetet követően két, az IT biztonság témakörébe tartozó előadás következett. Hálózati beléptetés ellenőrzése a gyakorlatban és Mobileiron: mobiladatok kezelése vállalati környezetben címmmel. Mindkét előadás a rendező biztributor által forgalmazott termékeket mutatta be. Az elsőben a HP által nemrég felvásárolt Aruba Networks vállalati környezetben használatos wifi megoldásának moduljait láthattuk, utóbbi pedig a Mobileiron, Mobile Device Management megoldását mutatta be.

Zárásként Nógrádi György biztonságpolitikai szakértő előadása következett, az aktuális biztonsági kockázatokról, veszélyekről világszerte és hazánkban, méltó zárásaként a konferenciának.
A nap valamennyi előadása tükrözte az IT- és fizikai biztonság összehangolására vonatkozó egyre sürgetőbb szükségletet. Ez láthatóan ma már megkerülhetetlen egy összetett védekezési stratégia kialakításához.

forrás: Aspectis

Komplex alkalmazási lehetőségek

kapcsolódó cikkek:

Biz2 Total Security Conference részletes programja

2015. Frontvonalban az IT biztonság!

Fókuszban a szervertermek védelme

Vélemény, hozzászólás?