COMUNICATI STAMPA
Le aziende dei principali settori come quello finanziario e sanitario devono seguire le migliori pratiche per monitorare i dati in arrivo per gli attacchi informatici. L’ultimo protocollo di sicurezza Internet, noto come TLS 1.3, fornisce una protezione all’avanguardia, ma complica l’esecuzione di questi controlli dei dati richiesti. Il National Institute of Standards and Technology (NIST) ha pubblicato una guida pratica che descrive i metodi destinati ad aiutare queste industrie a implementare TLS 1.3 e realizzare il monitoraggio e il controllo della rete richiesti in modo sicuro ed efficace.
La nuova bozza di guida pratica, Affrontare le sfide di visibilità con TLS 1.3 all'interno dell'azienda (Pubblicazione speciale NIST (SP) 1800-37), è stato sviluppato negli ultimi anni presso il Centro nazionale di eccellenza per la sicurezza informatica (NCCoE) del NIST con l'ampio coinvolgimento di fornitori di tecnologia, organizzazioni di settore e altre parti interessate che partecipano al progetto Task Force di Ingegneria Internet (IETF). La guida offre metodi tecnici per aiutare le aziende a conformarsi alle modalità più aggiornate di protezione dei dati che viaggiano sull'Internet pubblica verso i propri server interni, rispettando contemporaneamente il settore finanziario e altre normative che richiedono monitoraggio e controllo continui di questi dati per prove di malware e altri attacchi informatici.
"TLS 1.3 è un importante strumento di crittografia che offre maggiore sicurezza e sarà in grado di supportare la crittografia post-quantistica", ha affermato Cherilyn Pascoe, direttrice dell'NCCoE. “Questo progetto collaborativo mira a garantire che le organizzazioni possano utilizzare TLS 1.3 per proteggere i propri dati soddisfacendo al tempo stesso i requisiti di auditing e sicurezza informatica”.
Il NIST richiede commenti pubblici sulla bozza della guida pratica entro il 1 aprile 2024.
Il protocollo TLS, sviluppato dall'IETF nel 1996, è un componente essenziale della sicurezza Internet: in un collegamento Web, ogni volta che vedi la "s" alla fine di "https" che indica che il sito Web è sicuro, significa che TLS sta facendo il suo lavoro. lavoro. TLS ci consente di inviare dati sulla vasta raccolta di reti visibili pubblicamente che chiamiamo Internet con la certezza che nessuno possa vedere le nostre informazioni private, come una password o un numero di carta di credito, quando le forniamo a un sito.
TLS mantiene la sicurezza web proteggendo le chiavi crittografiche che consentono agli utenti autorizzati di crittografare e decrittografare queste informazioni private per scambi sicuri, il tutto impedendo a persone non autorizzate di utilizzare le chiavi. TLS ha avuto molto successo nel mantenere la sicurezza Internet e i suoi precedenti aggiornamenti fino a TLS 1.2 hanno consentito alle organizzazioni di tenere queste chiavi a portata di mano abbastanza a lungo da supportare il controllo del traffico web in entrata per malware e altri tentativi di attacchi informatici.
Tuttavia, l’iterazione più recente – TLS 1.3, rilasciato nel 2018 — ha contestato il sottoinsieme di aziende obbligate per legge a eseguire questi audit, perché l'aggiornamento 1.3 non supporta gli strumenti utilizzati dalle organizzazioni per accedere alle chiavi a fini di monitoraggio e audit. Di conseguenza, le aziende hanno sollevato dubbi su come soddisfare i requisiti normativi, operativi e di sicurezza aziendale per i servizi critici durante l'utilizzo di TLS 1.3. È qui che entra in gioco la nuova guida pratica del NIST.
La guida offre sei tecniche che offrono alle organizzazioni un metodo per accedere alle chiavi proteggendo i dati da accessi non autorizzati. TLS 1.3 elimina le chiavi utilizzate per proteggere gli scambi Internet quando i dati vengono ricevuti, ma gli approcci della guida pratica consentono essenzialmente a un'organizzazione di conservare i dati grezzi ricevuti e i dati in forma decrittografata abbastanza a lungo da eseguire il monitoraggio della sicurezza. Queste informazioni vengono conservate all'interno di un server interno sicuro per scopi di controllo e analisi forensi e vengono distrutte una volta completata l'elaborazione della sicurezza.
Sebbene esistano rischi associati alla conservazione delle chiavi anche in questo ambiente confinato, il NIST ha sviluppato la guida pratica per dimostrare diverse alternative sicure agli approcci interni che potrebbero aumentare questi rischi.
“Il NIST non cambierà TLS 1.3. Ma se le organizzazioni vogliono trovare un modo per conservare queste chiavi, vogliamo fornire loro metodi sicuri”, ha affermato Murugiah Souppaya di NCCoE, uno degli autori della guida. “Stiamo dimostrando alle organizzazioni che hanno questo caso d’uso come farlo in modo sicuro. Spieghiamo il rischio legato alla conservazione e al riutilizzo delle chiavi e mostriamo alle persone come usarle in sicurezza, pur rimanendo aggiornati con il protocollo più recente."
L'NCCoE sta sviluppando quella che alla fine sarà una guida pratica in cinque volumi. Attualmente sono disponibili i primi due volumi: il riepilogo esecutivo (SP 1800-37A) e una descrizione dell'implementazione della soluzione (SP 1800-37B). Dei tre volumi previsti, due (SP 1800-37C e D) saranno rivolti ai professionisti IT che necessitano di una guida pratica e di dimostrazioni della soluzione, mentre il terzo (SP 1800-37E) si concentrerà sulla gestione del rischio e della conformità , mappando i componenti dell'architettura di visibilità TLS 1.3 alle caratteristiche di sicurezza presenti in note linee guida sulla sicurezza informatica.
È disponibile una domanda frequente per rispondere alle domande più comuni. Per inviare commenti sulla bozza o altre domande, contattare gli autori della guida pratica all'indirizzo . I commenti possono essere inviati fino al 1 aprile 2024.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :ha
- :È
- :non
- :Dove
- $ SU
- 1
- 1.3
- 1996
- 2024
- a
- capace
- WRI
- accesso
- realizzare
- aderendo
- Tutti
- consentire
- consente
- alternative
- an
- ed
- rispondere
- approcci
- Aprile
- architettura
- SONO
- AS
- associato
- At
- tentato
- revisione
- revisione
- audit
- autorizzato
- gli autori
- disponibile
- BE
- perché
- stato
- MIGLIORE
- best practice
- Porta
- aziende
- ma
- by
- chiamata
- Materiale
- carta
- che
- Custodie
- centro
- Centro di eccellenza
- sfidato
- sfide
- cambiando
- caratteristiche
- collaborativo
- collezione
- viene
- Commenti
- Uncommon
- Completato
- conformità
- ottemperare
- componente
- componenti
- fiducia
- conseguentemente
- contatti
- contenute
- continuo
- credito
- carta di credito
- critico
- crittografico
- crittografia
- Attualmente
- attacchi informatici
- Cybersecurity
- dati
- Data
- decrypt
- dimostrare
- dimostrando
- descrivendo
- descrizione
- distrutto
- sviluppato
- in via di sviluppo
- Direttore
- do
- effettua
- fare
- bozza
- Efficace
- elimina
- abilitato
- cifrare
- crittografia
- fine
- Ingegneria
- abbastanza
- assicurando
- Impresa
- sicurezza aziendale
- Ambiente
- essential
- essenzialmente
- Anche
- alla fine
- prova
- Eccellenza
- Cambi Merce
- esecutivo
- Spiegare
- estensivo
- FAQ
- Moda
- finanziare
- finanziario
- Trovate
- Nome
- Focus
- si concentra
- seguire
- Nel
- forense
- modulo
- da
- orientata
- andando
- guida
- guida
- linee guida
- cura
- Avere
- Salute e benessere
- Assistenza sanitaria
- Aiuto
- aiuta
- vivamente
- Come
- Tutorial
- HTTPS
- if
- realizzare
- implementazione
- importante
- in
- In arrivo
- è aumentato
- individui
- industrie
- industria
- informazioni
- Istituto
- destinato
- interno
- Internet
- Internet Security
- coinvolgimento
- IT
- iterazione
- SUO
- Lavoro
- mantenere
- Tasti
- conosciuto
- con i più recenti
- Legge
- LINK
- Lunghi
- Mantenere
- mantiene
- maggiore
- il malware
- gestione
- modo
- mappatura
- Maggio..
- si intende
- Soddisfare
- incontro
- metodo
- metodi
- forza
- monitoraggio
- maggior parte
- devono obbligatoriamente:
- il
- Bisogno
- Rete
- reti
- New
- nista
- no
- numero
- osservare
- of
- offrire
- Offerte
- on
- ONE
- operativa
- or
- organizzazione
- organizzazioni
- Altro
- nostro
- ancora
- partecipare
- Password
- passato
- Persone
- Eseguire
- performance
- previsto
- Platone
- Platone Data Intelligence
- PlatoneDati
- pratica
- pratiche
- prevenzione
- precedente
- un bagno
- informazioni riservate
- lavorazione
- Scelto dai professionisti
- progetto
- protegge
- protetta
- proteggere
- protezione
- protocollo
- fornire
- fornisce
- la percezione
- Pubblicazione
- pubblicamente
- fini
- Domande
- sollevato
- Crudo
- ricevuto
- recente
- normativa
- normativo
- rilasciato
- richiedendo
- richiedere
- necessario
- Requisiti
- conservare
- Rischio
- rischi
- sicura
- tranquillamente
- Suddetto
- sicuro
- fissaggio
- problemi di
- vedere
- inviare
- server
- Server
- Servizi
- alcuni
- mostrare attraverso le sue creazioni
- contemporaneamente
- site
- SIX
- soluzione
- la nostra speciale
- Sponsored
- stakeholder
- standard
- state-of-the-art
- soggiorno
- Ancora
- memorizzare
- inviare
- presentata
- di successo
- tale
- SOMMARIO
- supporto
- Task
- Consulenza
- tecniche
- Tecnologia
- che
- Il
- loro
- Li
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- Terza
- questo
- tre
- Attraverso
- a
- strumenti
- verso
- traffico
- viaggia
- seconda
- non autorizzato
- fino a quando
- up-to-date
- Aggiornanento
- Aggiornamenti
- us
- uso
- caso d'uso
- utilizzato
- utenti
- utilizzando
- Fisso
- fornitori
- visibilità
- visibile
- volumi
- volere
- Prima
- Modo..
- modi
- we
- sito web
- Sicurezza Web
- Traffico Web
- Sito web
- noto
- Che
- quando
- ogni volta che
- while
- OMS
- volere
- con
- entro
- anni
- Tu
- zefiro