COMMUNIQUÉ DE PRESSE
Les entreprises des principaux secteurs tels que la finance et la santé doivent suivre les meilleures pratiques en matière de surveillance des données entrantes pour détecter les cyberattaques. Le dernier protocole de sécurité Internet, connu sous le nom de TLS 1.3, offre une protection de pointe, mais complique la réalisation de ces audits de données requis. Le National Institute of Standards and Technology (NIST) a publié un guide pratique décrivant les méthodes destinées à aider ces industries à mettre en œuvre TLS 1.3 et à réaliser la surveillance et l'audit du réseau requis de manière sûre, sécurisée et efficace.
Le nouveau projet de guide pratique, Relever les défis de visibilité avec TLS 1.3 au sein de l'entreprise (Publication spéciale du NIST (SP) 1800-37), a été développé au cours des dernières années au Centre national d'excellence en cybersécurité (NCCoE) du NIST avec la large participation de fournisseurs de technologies, d'organisations industrielles et d'autres parties prenantes qui participent au Internet Engineering Task Force (IETF). Le guide propose des méthodes techniques pour aider les entreprises à se conformer aux moyens les plus récents de sécurisation des données qui transitent sur l'Internet public vers leurs serveurs internes, tout en adhérant simultanément aux réglementations du secteur financier et aux autres réglementations qui exigent une surveillance et un audit continus de ces données. pour des preuves de logiciels malveillants et d’autres cyberattaques.
« TLS 1.3 est un outil de chiffrement important qui apporte une sécurité accrue et sera capable de prendre en charge la cryptographie post-quantique », a déclaré Cherilyn Pascoe, directrice du NCCoE. « Ce projet collaboratif vise à garantir que les organisations puissent utiliser TLS 1.3 pour protéger leurs données tout en répondant aux exigences d'audit et de cybersécurité.
Le NIST sollicite les commentaires du public sur le projet de guide de pratique d’ici le 1er avril 2024.
Le protocole TLS, développé par l'IETF en 1996, est un composant essentiel de la sécurité Internet : dans un lien web, chaque fois que vous voyez le « s » à la fin de « https » indiquant que le site web est sécurisé, cela signifie que TLS fait son travail. emploi. TLS nous permet d'envoyer des données sur la vaste collection de réseaux publiquement visibles que nous appelons Internet, avec la certitude que personne ne peut voir nos informations privées, telles qu'un mot de passe ou un numéro de carte de crédit, lorsque nous les fournissons à un site.
TLS maintient la sécurité Web en protégeant les clés cryptographiques qui permettent aux utilisateurs autorisés de crypter et déchiffrer ces informations privées pour des échanges sécurisés, tout en empêchant les personnes non autorisées d'utiliser les clés. TLS a très bien réussi à maintenir la sécurité Internet, et ses mises à jour précédentes jusqu'à TLS 1.2 ont permis aux organisations de conserver ces clés à portée de main suffisamment longtemps pour prendre en charge l'audit du trafic Web entrant à la recherche de logiciels malveillants et d'autres tentatives de cyberattaques.
Cependant, la version la plus récente... TLS 1.3, sorti en 2018 — a remis en question le sous-ensemble d'entreprises qui sont tenues par la loi d'effectuer ces audits, car la mise à jour 1.3 ne prend pas en charge les outils que les organisations utilisent pour accéder aux clés à des fins de surveillance et d'audit. Par conséquent, les entreprises se demandent comment répondre aux exigences de sécurité, opérationnelles et réglementaires pour les services critiques tout en utilisant TLS 1.3. C'est là qu'intervient le nouveau guide pratique du NIST.
Le guide propose six techniques qui offrent aux organisations une méthode pour accéder aux clés tout en protégeant les données contre tout accès non autorisé. TLS 1.3 élimine les clés utilisées pour protéger les échanges Internet lors de la réception des données, mais les approches du guide pratique permettent essentiellement à une organisation de conserver les données brutes reçues et les données sous forme décryptée suffisamment longtemps pour effectuer une surveillance de sécurité. Ces informations sont conservées sur un serveur interne sécurisé à des fins d'audit et d'investigation et sont détruites une fois le traitement de sécurité terminé.
Bien qu'il existe des risques associés au stockage des clés même dans cet environnement confiné, le NIST a développé le guide pratique pour démontrer plusieurs alternatives sécurisées aux approches locales qui pourraient augmenter ces risques.
« Le NIST ne modifie pas TLS 1.3. Mais si les organisations veulent trouver un moyen de conserver ces clés, nous voulons leur fournir des méthodes sûres », a déclaré Murugiah Souppaya du NCCoE, l'un des auteurs du guide. « Nous montrons aux organisations qui ont ce cas d'utilisation comment le faire de manière sécurisée. Nous expliquons les risques liés au stockage et à la réutilisation des clés, et montrons aux gens comment les utiliser en toute sécurité, tout en restant à jour avec le dernier protocole.
Le NCCoE élabore actuellement ce qui sera à terme un guide pratique en cinq volumes. Les deux premiers volumes sont actuellement disponibles : le résumé (SP 1800-37A) et une description de la mise en œuvre de la solution (SP 1800-37B). Sur les trois volumes prévus, deux (SP 1800-37C et D) seront destinés aux professionnels de l'informatique qui ont besoin d'un guide pratique et de démonstrations de la solution, tandis que le troisième (SP 1800-37E) se concentrera sur la gestion des risques et de la conformité. , mappant les composants de l'architecture de visibilité TLS 1.3 aux caractéristiques de sécurité des directives de cybersécurité bien connues.
Une FAQ est disponible pour répondre aux questions courantes. Pour soumettre des commentaires sur l'ébauche ou d'autres questions, contactez les auteurs du guide de pratique à . Les commentaires peuvent être soumis jusqu’au 1er avril 2024.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :possède
- :est
- :ne pas
- :où
- $UP
- 1
- 1.3
- 1996
- 2024
- a
- Capable
- A Propos
- accès
- accomplir
- adhérant
- Tous
- permettre
- permet
- des alternatives
- an
- ainsi que
- répondre
- approches
- Avril
- architecture
- SONT
- AS
- associé
- At
- tentative
- audit
- audit
- audits
- autorisé
- auteurs
- disponibles
- BE
- car
- était
- LES MEILLEURS
- les meilleures pratiques
- Apportez le
- entreprises
- mais
- by
- Appelez-nous
- CAN
- carte
- les soins
- maisons
- Canaux centraux
- Centre d'excellence
- contesté
- globaux
- en changeant
- caractéristiques
- collaborative
- collection
- vient
- commentaires
- Commun
- Complété
- conformité
- se conformer
- composant
- composants électriques
- confiance
- par conséquent
- contact
- contenu
- continu
- crédit
- carte de crédit
- critique
- cryptographique
- de la cryptographie
- Lecture
- cyber-attaques
- Cybersécurité
- données
- Date
- Décrypter
- démontrer
- démontrer
- décrivant
- la description
- détruit
- développé
- développement
- Directeur
- do
- faire
- avant-projet
- Efficace
- élimine
- activé
- crypter
- chiffrement
- fin
- ENGINEERING
- assez
- assurer
- Entreprise
- sécurité d'entreprise
- Environment
- essential
- essentiellement
- Pourtant, la
- faire une éventuelle
- preuve
- Excellence
- Échanges
- exécutif
- Expliquer
- les
- QFP
- Mode
- finance
- la traduction de documents financiers
- Trouvez
- Prénom
- Focus
- se concentre
- suivre
- Pour
- forensics
- formulaire
- De
- adapté
- aller
- l'orientation
- guide
- lignes directrices
- main
- Vous avez
- Santé
- Soins de santé
- vous aider
- aide
- très
- Comment
- How To
- HTTPS
- if
- Mettre en oeuvre
- la mise en oeuvre
- important
- in
- Nouveau
- increased
- individus
- secteurs
- industrie
- d'information
- Institut
- prévu
- interne
- Internet
- Internet Security
- participation
- IT
- itération
- SES
- Emploi
- XNUMX éléments à
- clés
- connu
- Nouveautés
- Droit applicable et juridiction compétente
- LINK
- Location
- Maintenir
- maintient
- majeur
- malware
- gestion
- manière
- cartographie
- Mai..
- veux dire
- Découvrez
- réunion
- méthode
- méthodes
- pourrait
- Stack monitoring
- (en fait, presque toutes)
- must
- Nationales
- Besoin
- réseau et
- réseaux
- Nouveauté
- nist
- aucune
- nombre
- observer
- of
- code
- Offres Speciales
- on
- ONE
- opérationnel
- or
- organisation
- organisations
- Autre
- nos
- plus de
- participer
- Mot de Passe
- passé
- Personnes
- Effectuer
- performant
- prévu
- Platon
- Intelligence des données Platon
- PlatonDonnées
- pratique
- pratiques
- prévention
- précédent
- Privé
- information privée
- traitement
- ,une équipe de professionnels qualifiés
- Projet
- protéger
- protégé
- L'utilisation de sélénite dans un espace est un excellent moyen de neutraliser l'énergie instable ou négative.
- protection
- protocole
- fournir
- fournit
- public
- Publication
- publiquement
- des fins
- fréquemment posées
- collectés
- raw
- reçu
- récent
- règlements
- régulateurs
- libéré
- demandant
- exigent
- conditions
- Exigences
- conserver
- Analyse
- risques
- des
- en toute sécurité
- Saïd
- sécurisé
- sécurisation
- sécurité
- sur le lien
- envoyer
- serveur
- Serveurs
- Services
- plusieurs
- montrer
- simultanément
- site
- SIX
- sur mesure
- spécial
- Sponsorisé
- parties prenantes
- Normes
- state-of-the-art
- rester
- Encore
- stockage
- soumettre
- soumis
- réussi
- tel
- RÉSUMÉ
- Support
- Tâche
- Technique
- techniques
- Technologie
- qui
- La
- leur
- Les
- Là.
- Ces
- Troisièmement
- this
- trois
- Avec
- à
- outil
- les outils
- vers
- circulation
- voyage
- deux
- non autorisé
- jusqu'à
- mise à jour
- Mises à jour
- Actualités
- us
- utilisé
- cas d'utilisation
- d'utiliser
- utilisateurs
- en utilisant
- Vaste
- fournisseurs
- définition
- visible
- volumes
- souhaitez
- était
- Façon..
- façons
- we
- web
- Sécurité Web
- Trafic Web
- Site Web
- bien connu
- Quoi
- quand
- chaque fois que
- tout en
- WHO
- sera
- comprenant
- dans les
- années
- Vous n'avez
- zéphyrnet