PRESSEMEDDELELSE
Virksomheder i større industrier som finans og sundhedspleje skal følge bedste praksis for overvågning af indkommende data for cyberangreb. Den seneste internetsikkerhedsprotokol, kendt som TLS 1.3, giver den nyeste beskyttelse, men komplicerer udførelsen af disse påkrævede datarevisioner. National Institute of Standards and Technology (NIST) har udgivet en praksisvejledning, der beskriver metoder, der er beregnet til at hjælpe disse industrier med at implementere TLS 1.3 og udføre den nødvendige netværksovervågning og -revision på en sikker, sikker og effektiv måde.
Det nye udkast til praksisvejledning, Løsning af synlighedsudfordringer med TLS 1.3 i virksomheden (NIST Special Publication (SP) 1800-37), blev udviklet i løbet af de sidste mange år på NIST National Cybersecurity Center of Excellence (NCCoE) med omfattende involvering af teknologileverandører, brancheorganisationer og andre interessenter, der deltager i Internet Engineering Task Force (IETF). Vejledningen tilbyder tekniske metoder til at hjælpe virksomheder med at overholde de mest opdaterede måder at sikre data, der rejser over det offentlige internet til deres interne servere, samtidig med at de overholder finansindustrien og andre regler, der kræver kontinuerlig overvågning og revision af disse data for beviser på malware og andre cyberangreb.
"TLS 1.3 er et vigtigt krypteringsværktøj, der giver øget sikkerhed og vil være i stand til at understøtte post-kvantekryptering," sagde Cherilyn Pascoe, direktør for NCCoE. "Dette samarbejdsprojekt fokuserer på at sikre, at organisationer kan bruge TLS 1.3 til at beskytte deres data og samtidig opfylde kravene til revision og cybersikkerhed."
NIST anmoder om offentlige kommentarer til udkastet til praksisvejledning senest den 1. april 2024.
TLS-protokollen, udviklet af IETF i 1996, er en væsentlig komponent i internetsikkerhed: I et weblink, når du ser "s" i slutningen af "https", der angiver, at webstedet er sikkert, betyder det, at TLS gør sit job. TLS giver os mulighed for at sende data over den store samling af offentligt synlige netværk, vi kalder internettet, med tillid til, at ingen kan se vores private oplysninger, såsom en adgangskode eller kreditkortnummer, når vi giver dem til et websted.
TLS opretholder websikkerhed ved at beskytte de kryptografiske nøgler, der tillader autoriserede brugere at kryptere og dekryptere disse private oplysninger til sikre udvekslinger, alt imens uautoriserede personer forhindres i at bruge nøglerne. TLS har haft stor succes med at opretholde internetsikkerhed, og dets tidligere opdateringer op gennem TLS 1.2 gjorde det muligt for organisationer at holde disse nøgler ved hånden længe nok til at understøtte revision af indgående webtrafik for malware og andre forsøg på cyberangreb.
Men den seneste iteration - TLS 1.3, udgivet i 2018 — har udfordret den delmængde af virksomheder, der er forpligtet ved lov til at udføre disse revisioner, fordi 1.3-opdateringen ikke understøtter de værktøjer, organisationerne bruger til at få adgang til nøglerne til overvågnings- og revisionsformål. Som følge heraf har virksomheder rejst spørgsmål om, hvordan de opfylder virksomhedens sikkerheds-, drifts- og regulatoriske krav til kritiske tjenester, mens de bruger TLS 1.3. Det er her, NISTs nye praksisvejledning kommer ind.
Guiden tilbyder seks teknikker, der tilbyder organisationer en metode til at få adgang til nøglerne og samtidig beskytte dataene mod uautoriseret adgang. TLS 1.3 eliminerer nøgler, der bruges til at beskytte internetudvekslinger, efterhånden som data modtages, men praksisvejledningens tilgange tillader i det væsentlige en organisation at beholde de rå modtagne data og dataene i dekrypteret form længe nok til at udføre sikkerhedsovervågning. Disse oplysninger opbevares på en sikker intern server til revision og kriminaltekniske formål og ødelægges, når sikkerhedsbehandlingen er afsluttet.
Selvom der er risici forbundet med at opbevare nøglerne selv i dette indesluttede miljø, udviklede NIST praksisvejledningen til at demonstrere flere sikre alternativer til hjemmelavede tilgange, der kan øge disse risici.
"NIST ændrer ikke TLS 1.3. Men hvis organisationer skal finde en måde at opbevare disse nøgler på, ønsker vi at give dem sikre metoder,” sagde NCCoEs Murugiah Souppaya, en af guidens forfattere. "Vi demonstrerer for organisationer, der har denne use case, hvordan man gør det på en sikker måde. Vi forklarer risikoen ved at opbevare og genbruge nøglerne og viser folk, hvordan de bruger dem sikkert, mens vi stadig holder os opdateret med den nyeste protokol."
NCCoE er ved at udvikle, hvad der i sidste ende bliver en vejledning i fem bind. Aktuelt er de to første bind tilgængelige - resuméet (SP 1800-37A) og en beskrivelse af løsningens implementering (SP 1800-37B). Af de tre planlagte bind vil to (SP 1800-37C og D) være rettet mod it-professionelle, der har brug for en vejledning og demonstrationer af løsningen, mens den tredje (SP 1800-37E) vil fokusere på risiko- og compliance-styring , kortlægning af komponenter i TLS 1.3 synlighedsarkitekturen til sikkerhedskarakteristika i velkendte retningslinjer for cybersikkerhed.
En FAQ er tilgængelig at besvare almindelige spørgsmål. For at indsende kommentarer til udkastet eller andre spørgsmål, kontakt praksisvejledningens forfattere på . Kommentarer kan fremsendes indtil 1. april 2024.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :har
- :er
- :ikke
- :hvor
- $OP
- 1
- 1.3
- 1996
- 2024
- a
- I stand
- Om
- adgang
- udrette
- klæber
- Alle
- tillade
- tillader
- alternativer
- an
- ,
- besvare
- tilgange
- april
- arkitektur
- ER
- AS
- forbundet
- At
- forsøgt
- revision
- revision
- revisioner
- autoriseret
- forfattere
- til rådighed
- BE
- fordi
- været
- BEDSTE
- bedste praksis
- Bringer
- virksomheder
- men
- by
- ringe
- CAN
- kort
- hvilken
- tilfælde
- center
- Center for ekspertise
- udfordret
- udfordringer
- skiftende
- karakteristika
- kollaborativ
- samling
- kommer
- kommentarer
- Fælles
- Afsluttet
- Compliance
- overholde
- komponent
- komponenter
- tillid
- følgelig
- kontakt
- indeholdt
- kontinuerlig
- kredit
- kreditkort
- kritisk
- kryptografisk
- kryptografi
- For øjeblikket
- cyberangreb
- Cybersecurity
- data
- Dato
- Dekryptér
- demonstrere
- demonstrerer
- beskriver
- beskrivelse
- ødelagt
- udviklet
- udvikling
- Direktør
- do
- gør
- gør
- udkast
- Effektiv
- eliminerer
- aktiveret
- kryptere
- kryptering
- ende
- Engineering
- nok
- sikring
- Enterprise
- virksomheds sikkerhed
- Miljø
- væsentlig
- væsentlige
- Endog
- til sidst
- bevismateriale
- Excellence
- Udvekslinger
- udøvende
- Forklar
- omfattende
- FAQ
- Mode
- finansiere
- finansielle
- Finde
- Fornavn
- Fokus
- fokuserer
- følger
- Til
- retsvidenskab
- formular
- fra
- gearet
- gå
- vejledning
- vejlede
- retningslinjer
- hånd
- Have
- Helse
- Health Care
- hjælpe
- hjælper
- stærkt
- Hvordan
- How To
- HTTPS
- if
- gennemføre
- implementering
- vigtigt
- in
- Indgående
- øget
- enkeltpersoner
- industrier
- industrien
- oplysninger
- Institut
- beregnet
- interne
- Internet
- Internet Security
- involvering
- IT
- iteration
- ITS
- Job
- Holde
- nøgler
- kendt
- seneste
- Lov
- LINK
- Lang
- Vedligeholdelse
- fastholder
- større
- malware
- ledelse
- måde
- kortlægning
- Kan..
- midler
- Mød
- møde
- metode
- metoder
- måske
- overvågning
- mest
- skal
- national
- Behov
- netværk
- net
- Ny
- NIST
- ingen
- nummer
- observere
- of
- tilbyde
- Tilbud
- on
- ONE
- operationelle
- or
- organisation
- organisationer
- Andet
- vores
- i løbet af
- deltage
- Adgangskode
- forbi
- Mennesker
- Udfør
- ydeevne
- planlagt
- plato
- Platon Data Intelligence
- PlatoData
- praksis
- praksis
- forebyggelse
- tidligere
- private
- privat information
- forarbejdning
- professionelle partnere
- projekt
- beskytte
- beskyttet
- beskyttelse
- beskyttelse
- protokol
- give
- giver
- offentlige
- Offentliggørelse
- offentligt
- formål
- Spørgsmål
- hævet
- Raw
- modtaget
- nylige
- regler
- lovgivningsmæssige
- frigivet
- anmoder
- kræver
- påkrævet
- Krav
- tilbageholde
- Risiko
- risici
- sikker
- sikkert
- Said
- sikker
- fastgørelse
- sikkerhed
- se
- send
- server
- Servere
- Tjenester
- flere
- Vis
- samtidigt
- websted
- SIX
- løsninger
- særligt
- Sponsoreret
- interessenter
- standarder
- state-of-the-art
- opholder
- Stadig
- lagring
- indsende
- indsendt
- vellykket
- sådan
- RESUMÉ
- support
- Opgaver
- Teknisk
- teknikker
- Teknologier
- at
- deres
- Them
- Der.
- Disse
- Tredje
- denne
- tre
- Gennem
- til
- værktøj
- værktøjer
- mod
- Trafik
- rejser
- to
- uberettiget
- indtil
- up-to-date
- Opdatering
- opdateringer
- us
- brug
- brug tilfælde
- anvendte
- brugere
- ved brug af
- Vast
- leverandører
- synlighed
- synlig
- mængder
- ønsker
- var
- Vej..
- måder
- we
- web
- Web Security
- Webtrafik
- Hjemmeside
- Kendt
- Hvad
- hvornår
- når
- mens
- WHO
- vilje
- med
- inden for
- år
- Du
- zephyrnet