הודעה לעיתונות
חברות בתעשיות מרכזיות כמו פיננסים ובריאות חייבות לפעול לפי שיטות עבודה מומלצות לניטור נתונים נכנסים למתקפות סייבר. פרוטוקול אבטחת האינטרנט העדכני ביותר, המכונה TLS 1.3, מספק הגנה מתקדמת, אך מסבך את הביצוע של ביקורת הנתונים הנדרשים הללו. המכון הלאומי לתקנים וטכנולוגיה (NIST) פרסם מדריך תרגול המתאר שיטות שנועדו לסייע לתעשיות אלו ליישם TLS 1.3 ולהשיג את הניטור והביקורת הנדרשים ברשת בצורה בטוחה, מאובטחת ויעילה.
טיוטת מדריך התרגול החדש, התמודדות עם אתגרי נראות עם TLS 1.3 בתוך הארגון (NIST פרסום מיוחד (SP) 1800-37), פותחה במהלך השנים האחרונות ב-NIST National Cybersecurity Center of Excellence (NCCoE) תוך מעורבות נרחבת של ספקי טכנולוגיה, ארגוני תעשייה ובעלי עניין אחרים המשתתפים ב- כוח משימה להנדסת אינטרנט (IETF). ההנחיה מציעה שיטות טכניות לסייע לעסקים לעמוד בדרכים העדכניות ביותר לאבטחת נתונים העוברים דרך האינטרנט הציבורי אל השרתים הפנימיים שלהם, תוך הקפדה על התעשייה הפיננסית ותקנות אחרות הדורשות ניטור וביקורת מתמשכים של נתונים אלה. לראיות לתוכנות זדוניות והתקפות סייבר אחרות.
"TLS 1.3 הוא כלי הצפנה חשוב שמביא אבטחה מוגברת ויוכל לתמוך בהצפנה פוסט-קוונטית", אמרה Cherilyn Pascoe, מנהלת NCCoE. "פרויקט שיתופי זה מתמקד בהבטחה שארגונים יכולים להשתמש ב-TLS 1.3 כדי להגן על הנתונים שלהם תוך עמידה בדרישות לביקורת ואבטחת סייבר."
NIST מבקשת הערות ציבוריות על טיוטת המדריך לתרגול עד 1 באפריל, 2024.
פרוטוקול TLS, שפותח על ידי IETF בשנת 1996, הוא מרכיב חיוני באבטחת האינטרנט: בקישור אינטרנט, בכל פעם שאתה רואה את ה-s בסוף ה-https המציינים שהאתר מאובטח, זה אומר ש-TLS עושה את שלו עבודה. TLS מאפשרת לנו לשלוח נתונים על האוסף העצום של רשתות גלויות לציבור שאנו מכנים באינטרנט מתוך ביטחון שאף אחד לא יכול לראות את המידע הפרטי שלנו, כגון סיסמה או מספר כרטיס אשראי, כאשר אנו מספקים אותו לאתר.
TLS שומרת על אבטחת אינטרנט על ידי הגנה על מפתחות ההצפנה המאפשרים למשתמשים מורשים להצפין ולפענח מידע פרטי זה לצורך חילופי מידע מאובטחים, כל זאת תוך מניעת שימוש במפתחות מאנשים לא מורשים. TLS הצליחה מאוד בשמירה על אבטחת האינטרנט, והעדכונים הקודמים שלה עד TLS 1.2 אפשרו לארגונים להחזיק את המפתחות הללו בהישג יד מספיק זמן כדי לתמוך בביקורת תעבורת אינטרנט נכנסת לאיתור תוכנות זדוניות וניסיונות התקפות סייבר אחרים.
עם זאת, האיטרציה האחרונה - TLS 1.3, שוחרר ב-2018 - קרא תיגר על תת-קבוצת העסקים הנדרשים על פי חוק לבצע את הביקורות הללו, מכיוון שעדכון 1.3 אינו תומך בכלים שבהם משתמשים הארגונים כדי לגשת למפתחות למטרות ניטור וביקורת. כתוצאה מכך, עסקים העלו שאלות לגבי איך לעמוד בדרישות האבטחה, התפעול והרגולציה של שירותים קריטיים תוך שימוש ב-TLS 1.3. כאן נכנס לתמונה מדריך התרגול החדש של NIST.
המדריך מציע שש טכניקות המציעות לארגונים שיטה לגשת למפתחות תוך הגנה על הנתונים מפני גישה לא מורשית. TLS 1.3 מבטל מפתחות המשמשים להגנה על חילופי אינטרנט עם קבלת הנתונים, אך הגישות של מדריך התרגול מאפשרות למעשה לארגון לשמור את הנתונים הגולמיים שהתקבלו ואת הנתונים בצורה מפוענחת מספיק זמן כדי לבצע ניטור אבטחה. מידע זה נשמר בתוך שרת פנימי מאובטח למטרות ביקורת וזיהוי פלילי והוא מושמד עם השלמת עיבוד האבטחה.
למרות שיש סיכונים הקשורים לאחסון המפתחות אפילו בסביבה מכילה זו, NIST פיתחה את מדריך התרגול כדי להדגים מספר חלופות בטוחות לגישות תוצרת בית שעשויות להגביר את הסיכונים הללו.
"NIST לא משנה את TLS 1.3. אבל אם ארגונים הולכים למצוא דרך לשמור את המפתחות האלה, אנחנו רוצים לספק להם שיטות בטוחות", אמר Murugiah Souppaya של NCCoE, אחד ממחברי המדריך. "אנחנו מדגימים לארגונים שיש להם את מקרה השימוש הזה איך לעשות את זה בצורה מאובטחת. אנו מסבירים את הסיכון של אחסון ושימוש חוזר במפתחות, ומראים לאנשים כיצד להשתמש בהם בבטחה, תוך הישארות מעודכנת בפרוטוקול העדכני ביותר".
ה-NCCoE מפתח את מה שבסופו של דבר יהיה מדריך תרגול בן חמישה כרכים. זמינים כעת שני הכרכים הראשונים - תקציר המנהלים (SP 1800-37A) ותיאור של יישום הפתרון (SP 1800-37B). מתוך שלושת הכרכים המתוכננים, שניים (SP 1800-37C ו-D) יהיו מיועדים למומחי IT הזקוקים למדריך והדגמות של הפתרון, בעוד שהשלישי (SP 1800-37E) יתמקד בניהול סיכונים ותאימות , מיפוי רכיבים של ארכיטקטורת הנראות TLS 1.3 למאפייני אבטחה בהנחיות ידועות לאבטחת סייבר.
זמין שאלות נפוצות כדי לענות על שאלות נפוצות. להגשת הערות על הטיוטה או שאלות אחרות, צור קשר עם מחברי המדריך לתרגול בכתובת . ניתן להגיש הערות עד 1 באפריל 2024.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 1
- 1.3
- 1996
- 2024
- a
- יכול
- אודות
- גישה
- להשיג
- דבקות
- תעשיות
- להתיר
- מאפשר
- חלופות
- an
- ו
- לענות
- גישות
- אַפּרִיל
- ארכיטקטורה
- ARE
- AS
- המשויך
- At
- ניסיתי
- בדיקה
- ביקורת
- ביקורת
- מורשה
- מחברים
- זמין
- BE
- כי
- היה
- הטוב ביותר
- שיטות עבודה מומלצות
- מביא
- עסקים
- אבל
- by
- שיחה
- CAN
- כרטיס
- אשר
- מקרה
- מרכז
- מרכז המצוינות
- תיגר
- האתגרים
- משתנה
- מאפיינים
- שיתוף פעולה
- אוסף
- מגיע
- הערות
- Common
- השלמת
- הענות
- להיענות
- רְכִיב
- רכיבים
- אמון
- כתוצאה מכך
- צור קשר
- הכלול
- רציף
- אשראי
- כרטיס אשראי
- קריטי
- קריפטוגרפי
- קריפטוגרפיה
- כיום
- התקפות רשת
- אבטחת סייבר
- נתונים
- תַאֲרִיך
- פענוח
- להפגין
- הפגנה
- המתאר
- תיאור
- הרוס
- מפותח
- מתפתח
- מְנַהֵל
- do
- עושה
- עושה
- טיוטה
- אפקטיבי
- מבטל
- מופעל
- להצפין
- הצף
- סוף
- הנדסה
- מספיק
- הבטחתי
- מִפְעָל
- אבטחה ארגונית
- סביבה
- חיוני
- למעשה
- אֲפִילוּ
- בסופו של דבר
- עדות
- אקסלנס
- בורסות
- מנהלים
- להסביר
- נרחב
- שאלות נפוצות
- אופנה
- לממן
- כספי
- ראשון
- להתמקד
- מתמקד
- לעקוב
- בעד
- זיהוי פלילי
- טופס
- החל מ-
- מכוונת
- הולך
- הדרכה
- מדריך
- הנחיות
- יד
- יש
- בְּרִיאוּת
- בריאות הציבור
- לעזור
- עוזר
- מאוד
- איך
- איך
- HTTPS
- if
- ליישם
- הפעלה
- חשוב
- in
- נכנס
- גדל
- אנשים
- תעשיות
- תעשייה
- מידע
- מכון
- התכוון
- פנימי
- אינטרנט
- Internet Security
- מעורבות
- IT
- איטרציה
- שֶׁלָה
- עבודה
- שמור
- מפתחות
- ידוע
- האחרון
- חוק
- קשר
- ארוך
- שמירה
- שומר
- גדול
- תוכנות זדוניות
- ניהול
- דרך
- מיפוי
- מאי..
- אומר
- לִפְגוֹשׁ
- מפגש
- שיטה
- שיטות
- יכול
- ניטור
- רוב
- צריך
- לאומי
- צורך
- רשת
- רשתות
- חדש
- ניסט
- לא
- מספר
- להתבונן
- of
- הַצָעָה
- המיוחדות שלנו
- on
- ONE
- מבצעי
- or
- ארגון
- ארגונים
- אחר
- שלנו
- יותר
- להשתתף
- סיסמה
- עבר
- אֲנָשִׁים
- לְבַצֵעַ
- ביצועים
- מתוכנן
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- תרגול
- פרקטיקות
- מניעה
- קודם
- פְּרָטִי
- מידע פרטי
- תהליך
- אנשי מקצוע
- פּרוֹיֶקט
- להגן
- מוּגָן
- אבטחה
- .
- פרוטוקול
- לספק
- מספק
- ציבורי
- פרסום
- בפומבי
- למטרות
- שאלות
- מורם
- חי
- קיבלו
- לאחרונה
- תקנון
- רגולטורים
- שוחרר
- המבקש
- לדרוש
- נדרש
- דרישות
- לִשְׁמוֹר
- הסיכון
- סיכונים
- בטוח
- בבטחה
- אמר
- לבטח
- אַבטָחָה
- אבטחה
- לִרְאוֹת
- לשלוח
- שרת
- שרתים
- שירותים
- כמה
- לְהַצִיג
- בו זמנית
- אתר
- שישה
- פִּתָרוֹן
- מיוחד
- ממומן
- בעלי עניין
- תקנים
- מדינה-of-the-art
- להישאר
- עוד
- אחסון
- להגיש
- הוגש
- מוצלח
- כזה
- סיכום
- תמיכה
- המשימות
- טכני
- טכניקות
- טכנולוגיה
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- שם.
- אלה
- שְׁלִישִׁי
- זֶה
- שְׁלוֹשָׁה
- דרך
- ל
- כלי
- כלים
- לקראת
- תְנוּעָה
- נוסע
- שתיים
- לא מורשה
- עד
- עדכן
- עדכון
- עדכונים
- us
- להשתמש
- במקרה להשתמש
- מְשׁוּמָשׁ
- משתמשים
- באמצעות
- Vast
- ספקים
- ראות
- נראה
- כרכים
- רוצה
- היה
- דֶרֶך..
- דרכים
- we
- אינטרנט
- אבטחת רשת
- תנועת רשת
- אתר
- מוכר
- מה
- מתי
- בכל פעם
- בזמן
- מי
- יצטרך
- עם
- בתוך
- שנים
- אתה
- זפירנט