بيان صحفي
يجب على الشركات في الصناعات الكبرى مثل التمويل والرعاية الصحية اتباع أفضل الممارسات لمراقبة البيانات الواردة للهجمات الإلكترونية. يوفر أحدث بروتوكول لأمن الإنترنت، المعروف باسم TLS 1.3، حماية متطورة، ولكنه يعقد أداء عمليات تدقيق البيانات المطلوبة. أصدر المعهد الوطني للمعايير والتكنولوجيا (NIST) دليلًا عمليًا يصف الأساليب التي تهدف إلى مساعدة هذه الصناعات على تنفيذ TLS 1.3 وإنجاز مراقبة وتدقيق الشبكة المطلوبة بطريقة آمنة ومأمونة وفعالة.
مشروع الدليل العملي الجديد معالجة تحديات الرؤية باستخدام TLS 1.3 داخل المؤسسة (منشور NIST الخاص (SP) 1800-37)، تم تطويره على مدى السنوات العديدة الماضية في مركز التميز الوطني للأمن السيبراني التابع لـ NIST (NCCoE) بمشاركة واسعة النطاق من بائعي التكنولوجيا والمنظمات الصناعية وأصحاب المصلحة الآخرين الذين يشاركون في فريق عمل هندسة الإنترنت (IETF). يقدم الدليل أساليب تقنية لمساعدة الشركات على الالتزام بأحدث الطرق لتأمين البيانات التي تنتقل عبر الإنترنت العام إلى خوادمها الداخلية، مع الالتزام في الوقت نفسه بالصناعة المالية واللوائح الأخرى التي تتطلب مراقبة وتدقيقًا مستمرًا لهذه البيانات. للحصول على أدلة على البرامج الضارة والهجمات الإلكترونية الأخرى.
وقالت شيريلين باسكو، مديرة NCCoE: "تعد TLS 1.3 أداة تشفير مهمة توفر المزيد من الأمان وستكون قادرة على دعم التشفير ما بعد الكمي". "يركز هذا المشروع التعاوني على ضمان قدرة المؤسسات على استخدام TLS 1.3 لحماية بياناتها مع تلبية متطلبات التدقيق والأمن السيبراني."
تطلب NIST تعليقات عامة على مسودة دليل الممارسة بحلول 1 أبريل 2024.
يعد بروتوكول TLS، الذي طورته IETF في عام 1996، مكونًا أساسيًا لأمن الإنترنت: في رابط الويب، عندما ترى حرف "s" في نهاية "https" يشير إلى أن موقع الويب آمن، فهذا يعني أن TLS يقوم بواجبه. وظيفة. يسمح لنا TLS بإرسال البيانات عبر مجموعة واسعة من الشبكات العامة المرئية التي نطلق عليها الإنترنت مع الثقة في أنه لا يمكن لأحد رؤية معلوماتنا الخاصة، مثل كلمة المرور أو رقم بطاقة الائتمان، عندما نقدمها إلى أحد المواقع.
يحافظ TLS على أمان الويب من خلال حماية مفاتيح التشفير التي تسمح للمستخدمين المصرح لهم بتشفير وفك تشفير هذه المعلومات الخاصة للتبادلات الآمنة، كل ذلك مع منع الأفراد غير المصرح لهم من استخدام المفاتيح. لقد حقق TLS نجاحًا كبيرًا في الحفاظ على أمان الإنترنت، وقد مكّنت تحديثاته السابقة من خلال TLS 1.2 المؤسسات من الاحتفاظ بهذه المفاتيح في متناول اليد لفترة كافية لدعم تدقيق حركة مرور الويب الواردة بحثًا عن البرامج الضارة ومحاولات الهجمات الإلكترونية الأخرى.
ومع ذلك، فإن التكرار الأحدث - TLS 1.3، صدر في عام 2018 - تحدى المجموعة الفرعية من الشركات التي يطلب منها القانون إجراء عمليات التدقيق هذه، لأن التحديث 1.3 لا يدعم الأدوات التي تستخدمها المؤسسات للوصول إلى المفاتيح لأغراض المراقبة والتدقيق. وبالتالي، أثارت الشركات تساؤلات حول كيفية تلبية المتطلبات الأمنية والتشغيلية والتنظيمية للمؤسسات للخدمات الحيوية أثناء استخدام TLS 1.3. هذا هو المكان الذي يأتي فيه دليل الممارسة الجديد لـ NIST.
يقدم الدليل ستة تقنيات توفر للمؤسسات طريقة للوصول إلى المفاتيح مع حماية البيانات من الوصول غير المصرح به. يلغي TLS 1.3 المفاتيح المستخدمة لحماية التبادلات عبر الإنترنت عند تلقي البيانات، لكن أساليب دليل الممارسة تسمح بشكل أساسي للمؤسسة بالاحتفاظ بالبيانات الأولية المستلمة والبيانات في شكل مفك التشفير لفترة كافية لإجراء مراقبة أمنية. يتم الاحتفاظ بهذه المعلومات داخل خادم داخلي آمن لأغراض التدقيق والتحليل الجنائي ويتم إتلافها عند اكتمال المعالجة الأمنية.
على الرغم من وجود مخاطر مرتبطة بتخزين المفاتيح حتى في هذه البيئة المضمنة، فقد طورت NIST دليل الممارسة لإظهار العديد من البدائل الآمنة للأساليب المحلية التي قد تزيد من هذه المخاطر.
"NIST لا يغير TLS 1.3. وقال موروجيا سوبايا من NCCoE، أحد مؤلفي الدليل: "إذا كانت المنظمات تريد إيجاد طريقة للاحتفاظ بهذه المفاتيح، فنحن نريد أن نوفر لها طرقًا آمنة". "نحن نوضح للمؤسسات التي لديها حالة الاستخدام هذه كيفية القيام بذلك بطريقة آمنة. نشرح لك مخاطر تخزين المفاتيح وإعادة استخدامها، ونوضح للأشخاص كيفية استخدامها بأمان، مع البقاء على اطلاع بأحدث البروتوكولات.
يقوم NCCoE بتطوير ما سيصبح في نهاية المطاف دليلاً تدريبيًا مكونًا من خمسة مجلدات. يتوفر حاليًا المجلدان الأولان — الملخص التنفيذي (SP 1800-37A) ووصف تنفيذ الحل (SP 1800-37B). من بين المجلدات الثلاثة المخطط لها، سيتم توجيه مجلدين (SP 1800-37C وD) نحو متخصصي تكنولوجيا المعلومات الذين يحتاجون إلى دليل إرشادي وعروض توضيحية للحل، بينما سيركز المجلد الثالث (SP 1800-37E) على إدارة المخاطر والامتثال ، تعيين مكونات بنية الرؤية TLS 1.3 لخصائص الأمان في إرشادات الأمن السيبراني المعروفة.
الأسئلة الشائعة متاحة للإجابة على الأسئلة الشائعة. لتقديم تعليقات على المسودة أو أسئلة أخرى، اتصل بمؤلفي دليل التدريب على . يمكن تقديم التعليقات حتى 1 أبريل 2024.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 1
- 1.3
- 1996
- 2024
- a
- ماهرون
- من نحن
- الوصول
- إنجاز
- الانضمام
- الكل
- السماح
- يسمح
- بالبدائل
- an
- و
- إجابة
- اقتراب
- ابريل
- هندسة معمارية
- هي
- AS
- أسوشيتد
- At
- حاول
- التدقيق
- التدقيق
- التدقيق
- مخول
- الكتاب
- متاح
- BE
- لان
- كان
- أفضل
- أفضل الممارسات
- يجلب
- الأعمال
- لكن
- by
- دعوة
- CAN
- فيزا وماستركارد
- يهمني
- حقيبة
- مركز
- مركز التميز
- تحدى
- التحديات
- متغير
- الخصائص
- متعاون
- مجموعة شتاء XNUMX
- يأتي
- تعليقات
- مشترك
- الطلب مكتمل
- الالتزام
- الامتثال
- عنصر
- مكونات
- الثقة
- بناء على ذلك
- التواصل
- الواردة
- متواصل
- ائتمان
- بطاقة إئتمان
- حرج
- التشفير
- التشفير
- حاليا
- هجمات الكترونية
- الأمن السيبراني
- البيانات
- التاريخ
- فك تشفير
- شرح
- التظاهر
- تصف
- وصف
- دمر
- المتقدمة
- تطوير
- مدير المدارس
- do
- هل
- فعل
- مسودة
- الطُرق الفعّالة
- يقضي على
- تمكين
- تشفير
- التشفير
- النهاية
- الهندسة
- كاف
- ضمان
- مشروع
- أمن المؤسسة
- البيئة
- أساسي
- أساسيا
- حتى
- في النهاية
- دليل
- التشغيلي
- الاستبدال
- تنفيذي
- شرح
- واسع
- الأسئلة الشائعة
- الأزياء
- تمويل
- مالي
- الاسم الأول
- تركز
- ويركز
- اتباع
- في حالة
- التحاليل الجنائية
- النموذج المرفق
- تبدأ من
- موجهة
- الذهاب
- توجيه
- توجيه
- المبادئ التوجيهية
- يد
- يملك
- صحة الإنسان
- الرعاية الصحية
- مساعدة
- يساعد
- جدا
- كيفية
- كيفية
- HTTPS
- if
- تنفيذ
- التنفيذ
- أهمية
- in
- الوارد
- زيادة
- الأفراد
- الصناعات
- العالمية
- معلومات
- معهد
- معد
- داخلي
- Internet
- الإنترنت الأمن
- مشاركة
- IT
- تكرير
- انها
- وظيفة
- احتفظ
- مفاتيح
- معروف
- آخر
- القانون
- LINK
- طويل
- الحفاظ على
- تحتفظ
- رائد
- البرمجيات الخبيثة
- إدارة
- أسلوب
- رسم الخرائط
- مايو..
- يعني
- تعرف علي
- الاجتماع
- طريقة
- طرق
- ربما
- مراقبة
- أكثر
- يجب
- محليات
- حاجة
- شبكة
- الشبكات
- جديد
- نيست
- لا
- عدد
- رصد
- of
- عرض
- عروض
- on
- ONE
- تشغيل
- or
- منظمة
- المنظمات
- أخرى
- لنا
- على مدى
- شارك
- كلمة المرور
- الماضي
- مجتمع
- نفذ
- أداء
- مخطط
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- ممارسة
- الممارسات
- منع
- سابق
- خاص
- معلومات خاصة
- معالجة
- المهنيين
- تنفيذ المشاريع
- حماية
- محمي
- حماية
- الحماية
- بروتوكول
- تزود
- ويوفر
- جمهور
- منشور
- علانية
- أغراض
- الأسئلة المتكررة
- رفع
- الخام
- تلقى
- الأخيرة
- قوانين
- المنظمين
- صدر
- طلب
- تطلب
- مطلوب
- المتطلبات الأساسية
- احتفظ
- المخاطرة
- المخاطر
- خزنة
- بسلام
- قال
- تأمين
- تأمين
- أمن
- انظر تعريف
- إرسال
- الخادم
- خوادم
- خدماتنا
- عدة
- إظهار
- معا
- الموقع
- SIX
- حل
- تختص
- المدعومة
- أصحاب المصلحة
- المعايير
- دولة من بين الفن
- البقاء
- لا يزال
- تخزين
- تقدم
- المقدمة
- ناجح
- هذه
- ملخص
- الدعم
- مهمة
- تقني
- تقنيات
- تكنولوجيا
- أن
- •
- من مشاركة
- منهم
- هناك.
- تشبه
- الثالث
- ثلاثة
- عبر
- إلى
- أداة
- أدوات
- نحو
- حركة المرور
- يسافر
- اثنان
- غير مصرح
- حتى
- حديث جديد
- تحديث
- آخر التحديثات
- us
- تستخدم
- حالة الاستخدام
- مستعمل
- المستخدمين
- استخدام
- كبير
- الباعة
- رؤية
- مرئي
- مجلدات
- تريد
- وكان
- طريق..
- طرق
- we
- الويب
- أمن الويب
- شبكة المرور
- الموقع الإلكتروني
- معروف
- ابحث عن
- متى
- كلما
- في حين
- من الذى
- سوف
- مع
- في غضون
- سنوات
- أنت
- زفيرنت