Δελτίο τύπου
Companies in major industries such as finance and health care must follow best practices for monitoring incoming data for cyberattacks. The latest internet security protocol, known as TLS 1.3, provides state-of-the-art protection, but complicates the performance of these required data audits. The National Institute of Standards and Technology (NIST) has released a practice guide describing methods that are intended to help these industries implement TLS 1.3 and accomplish the required network monitoring and auditing in a safe, secure and effective fashion.
The new draft practice guide, Addressing Visibility Challenges with TLS 1.3 within the Enterprise (NIST Special Publication (SP) 1800-37), was developed over the past several years at the NIST National Cybersecurity Center of Excellence (NCCoE) with the extensive involvement of technology vendors, industry organizations and other stakeholders who participate in the Τεχνική Δύναμη Μηχανικών Διαδικτύου (IETF). The guidance offers technical methods to help businesses comply with the most up-to-date ways of securing data that travels over the public internet to their internal servers, while simultaneously adhering to financial industry and other regulations that require continuous monitoring and auditing of this data for evidence of malware and other cyberattacks.
“TLS 1.3 is an important encryption tool that brings increased security and will be able to support post-quantum cryptography,” said Cherilyn Pascoe, director of the NCCoE. “This collaborative project focuses on ensuring that organizations can use TLS 1.3 to protect their data while meeting requirements for auditing and cybersecurity.”
NIST is requesting public comments on the draft practice guide by April 1, 2024.
The TLS protocol, developed by the IETF in 1996, is an essential component of internet security: In a web link, whenever you see the “s” at the end of “https” indicating the website is secure, it means TLS is doing its job. TLS allows us to send data over the vast collection of publicly visible networks we call the internet with the confidence that no one can see our private information, such as a password or credit card number, when we provide it to a site.
TLS maintains web security by protecting the cryptographic keys that allow authorized users to encrypt and decrypt this private information for secure exchanges, all while preventing unauthorized individuals from using the keys. TLS has been highly successful at maintaining internet security, and its previous updates up through TLS 1.2 enabled organizations to keep these keys on hand long enough to support auditing incoming web traffic for malware and other attempted cyberattacks.
However, the most recent iteration — TLS 1.3, released in 2018 — has challenged the subset of businesses that are required by law to perform these audits, because the 1.3 update does not support the tools the organizations use to access the keys for monitoring and audit purposes. Consequently, businesses have raised questions about how to meet enterprise security, operational, and regulatory requirements for critical services while using TLS 1.3. That’s where NIST’s new practice guide comes in.
The guide offers six techniques that offer organizations a method to access the keys while protecting the data from unauthorized access. TLS 1.3 eliminates keys used to protect internet exchanges as the data is received, but the practice guide’s approaches essentially allow an organization to retain the raw received data and the data in decrypted form long enough to perform security monitoring. This information is retained within a secure internal server for audit and forensics purposes and is destroyed when the security processing is completed.
While there are risks associated with storing the keys even in this contained environment, NIST developed the practice guide to demonstrate several secure alternatives to homegrown approaches that might heighten these risks.
“NIST is not changing TLS 1.3. But if organizations are going to find a way to keep these keys, we want to provide them with safe methods,” said NCCoE’s Murugiah Souppaya, one of the guide’s authors. “We are demonstrating to organizations who have this use case how to do it in a secure manner. We explain the risk of storing and reusing the keys, and show people how to use them safely, while still staying up to date with the latest protocol.”
The NCCoE is developing what will eventually be a five-volume practice guide. Currently available are the first two volumes — the executive summary (SP 1800-37A) and a description of the solution’s implementation (SP 1800-37B). Of the three planned volumes, two (SP 1800-37C and D) will be geared toward IT professionals who need a how-to guide and demonstrations of the solution, while the third (SP 1800-37E) will focus on risk and compliance management, mapping components of the TLS 1.3 visibility architecture to security characteristics in well-known cybersecurity guidelines.
An FAQ is available to answer common questions. To submit comments on the draft or other questions, contact the practice guide’s authors at . Comments may be submitted until April 1, 2024.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 1
- 1.3
- 1996
- 2024
- a
- Ικανός
- Σχετικα
- πρόσβαση
- ολοκληρώσει
- προσκολλώντας
- Όλα
- επιτρέπουν
- επιτρέπει
- εναλλακτικές λύσεις
- an
- και
- απάντηση
- προσεγγίσεις
- Απρίλιος
- αρχιτεκτονική
- ΕΙΝΑΙ
- AS
- συσχετισμένη
- At
- προσπάθεια
- έλεγχος
- λογιστικού ελέγχου
- έλεγχοι
- εξουσιοδοτημένο
- συγγραφείς
- διαθέσιμος
- BE
- επειδή
- ήταν
- ΚΑΛΎΤΕΡΟΣ
- βέλτιστες πρακτικές
- Φέρνει
- επιχειρήσεις
- αλλά
- by
- κλήση
- CAN
- κάρτα
- ο οποίος
- περίπτωση
- Κέντρο
- Κέντρο Αριστείας
- αμφισβητηθεί
- προκλήσεις
- αλλαγή
- χαρακτηριστικά
- συνεργατική
- συλλογή
- έρχεται
- σχόλια
- Κοινός
- Ολοκληρώθηκε το
- Συμμόρφωση
- συμμορφώνονται
- συστατικό
- εξαρτήματα
- εμπιστοσύνη
- συνεπώς
- επικοινωνήστε μαζί μας
- που περιέχονται
- συνεχής
- μονάδες
- πιστωτική κάρτα
- κρίσιμης
- κρυπτογραφικό
- κρυπτογράφηση
- Τη στιγμή
- cyberattacks
- Κυβερνασφάλεια
- ημερομηνία
- Ημερομηνία
- Αποκρυπτογράφηση
- αποδεικνύουν
- αποδεικνύοντας
- Περιγράφοντας
- περιγραφή
- καταστράφηκαν
- αναπτύχθηκε
- ανάπτυξη
- Διευθυντής
- do
- κάνει
- πράξη
- προσχέδιο
- Αποτελεσματικός
- εξαλείφει
- ενεργοποιημένη
- κρυπτογράφηση
- κρυπτογράφηση
- τέλος
- Μηχανική
- αρκετά
- εξασφαλίζοντας
- Εταιρεία
- επιχειρηματική ασφάλεια
- Περιβάλλον
- ουσιώδης
- κατ 'ουσίαν,
- Even
- τελικά
- απόδειξη
- Υπεροχή
- Χρηματιστήρια
- εκτελεστικός
- Εξηγήστε
- εκτενής
- FAQ
- Μόδα
- χρηματοδότηση
- οικονομικός
- Εύρεση
- Όνομα
- Συγκέντρωση
- εστιάζει
- ακολουθήστε
- Για
- ιατροδικαστική
- μορφή
- από
- προσανατολισμένος
- μετάβαση
- καθοδήγηση
- καθοδηγήσει
- κατευθυντήριων γραμμών
- χέρι
- Έχω
- Υγεία
- Φροντίδα Υγείας
- βοήθεια
- βοηθά
- υψηλά
- Πως
- Πώς να
- HTTPS
- if
- εφαρμογή
- εκτέλεση
- σημαντικό
- in
- Εισερχόμενος
- αυξημένη
- άτομα
- βιομηχανίες
- βιομηχανία
- πληροφορίες
- Ινστιτούτο
- προορίζονται
- εσωτερικός
- Internet
- Ασφάλεια στο Διαδίκτυο
- συμμετοχή
- IT
- επανάληψη
- ΤΟΥ
- Δουλειά
- Διατήρηση
- πλήκτρα
- γνωστός
- αργότερο
- Νόμος
- LINK
- Μακριά
- Η διατήρηση
- διατηρεί
- μεγάλες
- malware
- διαχείριση
- τρόπος
- χαρτης
- Ενδέχεται..
- μέσα
- Γνωρίστε
- συνάντηση
- μέθοδος
- μέθοδοι
- ενδέχεται να
- παρακολούθηση
- πλέον
- πρέπει
- εθνικός
- Ανάγκη
- δίκτυο
- δίκτυα
- Νέα
- nist
- Όχι.
- αριθμός
- παρατηρούμε
- of
- προσφορά
- προσφορές
- on
- ONE
- επιχειρήσεων
- or
- επιχειρήσεις
- οργανώσεις
- ΑΛΛΑ
- δικός μας
- επί
- συμμετέχω
- Κωδικός Πρόσβασης
- Το παρελθόν
- People
- Εκτελέστε
- επίδοση
- προγραμματίζονται
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- πρακτική
- πρακτικές
- πρόληψη
- προηγούμενος
- ιδιωτικός
- ιδιωτικές πληροφορίες
- μεταποίηση
- επαγγελματίες
- σχέδιο
- προστασία
- προστατεύονται
- προστασία
- προστασία
- πρωτόκολλο
- παρέχουν
- παρέχει
- δημόσιο
- Δημοσίευση
- δημοσίως
- σκοποί
- Ερωτήσεις
- εγείρει
- Ακατέργαστος
- έλαβε
- πρόσφατος
- κανονισμοί
- ρυθμιστές
- κυκλοφόρησε
- ζητώντας
- απαιτούν
- απαιτείται
- απαιτήσεις
- διατηρώ
- Κίνδυνος
- κινδύνους
- ένα ασφαλές
- ασφάλεια
- Είπε
- προστατευμένο περιβάλλον
- ασφάλεια
- ασφάλεια
- δείτε
- στείλετε
- διακομιστής
- Διακομιστές
- Υπηρεσίες
- διάφοροι
- δείχνουν
- ταυτοχρόνως
- ιστοσελίδα
- ΕΞΙ
- λύση
- ειδική
- ΧΟΡΗΓΟΥΜΕΝΟΙ
- ενδιαφερόμενα μέρη
- πρότυπα
- state-of-the-art
- διαμονή
- Ακόμη
- εναποθήκευση
- υποβάλουν
- υποβάλλονται
- επιτυχής
- τέτοιος
- ΠΕΡΙΛΗΨΗ
- υποστήριξη
- Έργο
- Τεχνικός
- τεχνικές
- Τεχνολογία
- ότι
- Η
- τους
- Τους
- Εκεί.
- Αυτοί
- Τρίτος
- αυτό
- τρία
- Μέσω
- προς την
- εργαλείο
- εργαλεία
- προς
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- Ταξιδεύει
- δύο
- ανεξουσιοδότητος
- μέχρι
- up-to-ημερομηνία
- Ενημέρωση
- ενημερώσεις
- us
- χρήση
- περίπτωση χρήσης
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιώντας
- Σταθερή
- πωλητές
- ορατότητα
- ορατός
- όγκους
- θέλω
- ήταν
- Τρόπος..
- τρόπους
- we
- ιστός
- Ασφάλεια Ιστού
- Επισκεψιμότητα Ιστοσελίδας
- Ιστοσελίδα : www.example.gr
- πολύ γνωστό
- Τι
- πότε
- οποτεδήποτε
- ενώ
- Ο ΟΠΟΊΟΣ
- θα
- με
- εντός
- χρόνια
- Εσείς
- zephyrnet