PRESSEMITTEILUNG
Unternehmen in wichtigen Branchen wie dem Finanz- und Gesundheitswesen müssen Best Practices zur Überwachung eingehender Daten auf Cyberangriffe befolgen. Das neueste Internet-Sicherheitsprotokoll, bekannt als TLS 1.3, bietet hochmodernen Schutz, erschwert jedoch die Durchführung dieser erforderlichen Datenprüfungen. Das National Institute of Standards and Technology (NIST) hat einen Praxisleitfaden veröffentlicht, der Methoden beschreibt, die diesen Branchen dabei helfen sollen, TLS 1.3 zu implementieren und die erforderliche Netzwerküberwachung und -prüfung auf sichere und effektive Weise durchzuführen.
Der neue Entwurf eines Praxisleitfadens, Bewältigung von Sichtbarkeitsproblemen mit TLS 1.3 im Unternehmen (NIST-Sonderpublikation (SP) 1800-37) wurde in den letzten Jahren am NIST National Cybersecurity Centre of Excellence (NCCoE) unter umfassender Beteiligung von Technologieanbietern, Branchenorganisationen und anderen daran beteiligten Interessengruppen entwickelt Internettechnik-Arbeitsgruppe (IETF). Der Leitfaden bietet technische Methoden, die Unternehmen dabei helfen, die aktuellsten Methoden zur Sicherung von Daten einzuhalten, die über das öffentliche Internet an ihre internen Server übertragen werden, und gleichzeitig die Vorschriften der Finanzbranche und andere Vorschriften einzuhalten, die eine kontinuierliche Überwachung und Prüfung dieser Daten erfordern für Hinweise auf Malware und andere Cyberangriffe.
„TLS 1.3 ist ein wichtiges Verschlüsselungstool, das mehr Sicherheit bietet und Post-Quanten-Kryptographie unterstützen kann“, sagte Cherilyn Pascoe, Direktorin des NCCoE. „Dieses Gemeinschaftsprojekt konzentriert sich darauf, sicherzustellen, dass Unternehmen TLS 1.3 zum Schutz ihrer Daten nutzen und gleichzeitig die Anforderungen an Auditing und Cybersicherheit erfüllen können.“
NIST bittet um öffentliche Kommentare zum Entwurf des Praxisleitfadens bis zum 1. April 2024.
Das 1996 von der IETF entwickelte TLS-Protokoll ist ein wesentlicher Bestandteil der Internetsicherheit: Wenn Sie in einem Weblink das „s“ am Ende von „https“ sehen, das anzeigt, dass die Website sicher ist, bedeutet dies, dass TLS seine Aufgabe erfüllt Arbeit. TLS ermöglicht es uns, Daten über die riesige Sammlung öffentlich sichtbarer Netzwerke, die wir Internet nennen, zu senden, mit der Gewissheit, dass niemand unsere privaten Informationen, wie etwa ein Passwort oder eine Kreditkartennummer, sehen kann, wenn wir sie einer Website zur Verfügung stellen.
TLS gewährleistet die Websicherheit, indem es die kryptografischen Schlüssel schützt, die es autorisierten Benutzern ermöglichen, diese privaten Informationen für einen sicheren Austausch zu verschlüsseln und zu entschlüsseln, und gleichzeitig verhindert, dass unbefugte Personen die Schlüssel verwenden. TLS hat sich bei der Aufrechterhaltung der Internetsicherheit als äußerst erfolgreich erwiesen, und die vorherigen Aktualisierungen bis hin zu TLS 1.2 ermöglichten es Unternehmen, diese Schlüssel lange genug zur Hand zu haben, um die Prüfung des eingehenden Webverkehrs auf Malware und andere versuchte Cyberangriffe zu unterstützen.
Allerdings ist die neueste Iteration – TLS 1.3, veröffentlicht im Jahr 2018 – hat die Untergruppe der Unternehmen, die gesetzlich zur Durchführung dieser Audits verpflichtet sind, in Frage gestellt, da das Update 1.3 die Tools, die die Organisationen verwenden, um zu Überwachungs- und Auditzwecken auf die Schlüssel zuzugreifen, nicht unterstützt. Infolgedessen haben Unternehmen Fragen dazu aufgeworfen, wie sie bei der Verwendung von TLS 1.3 Unternehmenssicherheits-, Betriebs- und Regulierungsanforderungen für kritische Dienste erfüllen können. Hier kommt der neue Praxisleitfaden des NIST ins Spiel.
Der Leitfaden bietet sechs Techniken, die Unternehmen eine Methode bieten, auf die Schlüssel zuzugreifen und gleichzeitig die Daten vor unbefugtem Zugriff zu schützen. TLS 1.3 eliminiert Schlüssel, die zum Schutz des Internetaustauschs beim Empfang der Daten verwendet werden, aber die Ansätze des Praxisleitfadens ermöglichen es einer Organisation im Wesentlichen, die empfangenen Rohdaten und die Daten in entschlüsselter Form lange genug aufzubewahren, um eine Sicherheitsüberwachung durchzuführen. Diese Informationen werden zu Prüfungs- und forensischen Zwecken auf einem sicheren internen Server gespeichert und nach Abschluss der Sicherheitsverarbeitung vernichtet.
Auch wenn die Speicherung der Schlüssel auch in dieser geschlossenen Umgebung mit Risiken verbunden ist, hat NIST den Praxisleitfaden entwickelt, um mehrere sichere Alternativen zu selbst entwickelten Ansätzen aufzuzeigen, die diese Risiken erhöhen könnten.
„NIST ändert TLS 1.3 nicht. Aber wenn Organisationen einen Weg finden, diese Schlüssel aufzubewahren, möchten wir ihnen sichere Methoden zur Verfügung stellen“, sagte Murugiah Souppaya vom NCCoE, einer der Autoren des Leitfadens. „Wir demonstrieren Organisationen, die diesen Anwendungsfall haben, wie sie dies auf sichere Weise tun können. Wir erläutern die Risiken der Aufbewahrung und Wiederverwendung der Schlüssel und zeigen den Menschen, wie sie sie sicher verwenden und gleichzeitig über das neueste Protokoll auf dem Laufenden bleiben.“
Das NCCoE entwickelt derzeit einen fünfbändigen Praxisleitfaden. Derzeit verfügbar sind die ersten beiden Bände – die Zusammenfassung (SP 1800-37A) und eine Beschreibung der Implementierung der Lösung (SP 1800-37B). Von den drei geplanten Bänden richten sich zwei (SP 1800-37C und D) an IT-Experten, die eine Anleitung und Demonstrationen der Lösung benötigen, während sich der dritte (SP 1800-37E) auf Risiko- und Compliance-Management konzentriert , Zuordnung von Komponenten der TLS 1.3-Sichtbarkeitsarchitektur zu Sicherheitsmerkmalen in bekannten Cybersicherheitsrichtlinien.
Eine FAQ ist verfügbar um häufige Fragen zu beantworten. Um Kommentare zum Entwurf einzureichen oder andere Fragen zu stellen, wenden Sie sich an die Autoren des Praxisleitfadens unter . Kommentare können bis zum 1. April 2024 eingereicht werden.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 1
- 1.3
- 1996
- 2024
- a
- Fähig
- Über Uns
- Zugang
- erreichen
- haften
- Alle
- erlauben
- erlaubt
- Alternativen
- an
- und
- beantworten
- Ansätze
- April
- Architektur
- SIND
- AS
- damit verbundenen
- At
- Versuche
- Prüfung
- Wirtschaftsprüfung
- Audits
- zugelassen
- Autoren
- verfügbar
- BE
- weil
- war
- BESTE
- Best Practices
- Brings
- Unternehmen
- aber
- by
- rufen Sie uns an!
- CAN
- Karte
- österreichische Unternehmen
- Häuser
- Center
- Kompetenzzentrum
- herausgefordert
- Herausforderungen
- Ändern
- Charakteristik
- kollaborative
- Sammlung
- kommt
- Bemerkungen
- gemeinsam
- Abgeschlossene Verkäufe
- Compliance
- entsprechen
- Komponente
- Komponenten
- Vertrauen
- Folglich
- Kontakt
- enthalten
- kontinuierlich
- Kredit
- Kreditkarte
- kritischem
- kryptographisch
- Geheimschrift
- Zur Zeit
- Cyber-Angriffe
- Internet-Sicherheit
- technische Daten
- Datum
- Entschlüsseln
- zeigen
- demonstrieren
- Beschreibung
- Beschreibung
- zerstört
- entwickelt
- Entwicklung
- Direktor
- do
- die
- Dabei
- Lüftung
- Effektiv
- eliminiert
- freigegeben
- verschlüsseln
- Verschlüsselung
- Ende
- Entwicklung
- genug
- Gewährleistung
- Unternehmen
- Unternehmenssicherheit
- Arbeitsumfeld
- essential
- im Wesentlichen
- Sogar
- schließlich
- Beweis
- Exzellenz
- Warenumtausch
- Exekutive
- Erklären
- umfangreiche
- FAQ
- Fashion
- Finanzen
- Revolution
- Finden Sie
- Vorname
- Setzen Sie mit Achtsamkeit
- konzentriert
- folgen
- Aussichten für
- Forensik
- unten stehende Formular
- für
- ausgerichtet
- gehen
- die Vermittlung von Kompetenzen,
- Guide
- Richtlinien
- Pflege
- Haben
- Gesundheit
- Gesundheitspflege
- Hilfe
- hilft
- hoch
- Ultraschall
- Hilfe
- HTTPS
- if
- implementieren
- Implementierung
- wichtig
- in
- Eingehende
- hat
- Einzelpersonen
- Branchen
- Energiegewinnung
- Information
- Institut
- beabsichtigt
- intern
- Internet
- Internet Security
- Beteiligung
- IT
- Iteration
- SEINE
- Job
- Behalten
- Tasten
- bekannt
- neueste
- Recht
- LINK
- Lang
- Aufrechterhaltung
- unterhält
- Dur
- Malware
- Management
- Weise
- Mapping
- Kann..
- Mittel
- Triff
- Treffen
- Methode
- Methoden
- könnte
- Überwachung
- vor allem warme
- sollen
- National
- Need
- Netzwerk
- Netzwerke
- Neu
- nist
- nicht
- Anzahl
- beobachten
- of
- bieten
- Angebote
- on
- EINEM
- Betriebs-
- or
- Organisation
- Organisationen
- Andere
- UNSERE
- übrig
- teilnehmen
- Passwort
- passt
- Personen
- Ausführen
- Leistung
- geplant
- Plato
- Datenintelligenz von Plato
- PlatoData
- Praxis
- Praktiken
- Verhütung
- früher
- privat
- private Informationen
- Verarbeitung
- Profis
- Projekt
- Risiken zu minimieren
- geschützt
- Schutz
- Sicherheit
- Protokoll
- die
- bietet
- Öffentlichkeit
- Publikationen
- öffentlich
- Zwecke
- Fragen
- geschafft
- Roh
- Received
- kürzlich
- Vorschriften
- Regulierungsbehörden
- freigegeben
- anfragen
- erfordern
- falls angefordert
- Voraussetzungen:
- behalten
- Risiko
- Risiken
- Safe
- sicher
- Said
- Verbindung
- Sicherung
- Sicherheitdienst
- sehen
- senden
- Server
- Fertige Server
- Lösungen
- mehrere
- erklären
- gleichzeitig
- am Standort
- SIX
- Lösung
- besondere
- Sponsored
- Stakeholder
- Normen
- State-of-the-art
- bleiben
- Immer noch
- Speicherung
- abschicken
- eingereicht
- erfolgreich
- so
- ZUSAMMENFASSUNG
- Support
- Aufgabe
- Technische
- Techniken
- Technologie
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- Dort.
- Diese
- Dritte
- fehlen uns die Worte.
- nach drei
- Durch
- zu
- Werkzeug
- Werkzeuge
- gegenüber
- der Verkehr
- Reisen
- XNUMX
- unbefugt
- bis
- auf dem neusten Stand
- Aktualisierung
- Updates
- us
- -
- Anwendungsfall
- benutzt
- Nutzer
- Verwendung von
- riesig
- Anbieter
- Sichtbarkeit
- sichtbar
- Volumen
- wollen
- wurde
- Weg..
- Wege
- we
- Netz
- Websicherheit
- Web-Verkehr
- Webseite
- bekannt
- Was
- wann
- sobald
- während
- WHO
- werden wir
- mit
- .
- Jahr
- Du
- Zephyrnet