プレスリリース
金融やヘルスケアなどの主要業界の企業は、サイバー攻撃がないか受信データを監視するためのベスト プラクティスに従う必要があります。 TLS 1.3 として知られる最新のインターネット セキュリティ プロトコルは、最先端の保護を提供しますが、これらの必要なデータ監査のパフォーマンスは複雑になります。米国国立標準技術研究所 (NIST) は、これらの業界が TLS 1.3 を実装し、必要なネットワークの監視と監査を安全、確実、効果的な方法で実行できるように支援する方法を説明した実践ガイドをリリースしました。
新しいドラフト練習ガイド、 企業内の TLS 1.3 による可視性の課題への対処 (NIST Special Publication(SP)1800-37) は、NIST 国家サイバーセキュリティ センター オブ エクセレンス (NCCoE) で、テクノロジー ベンダー、業界団体、および インターネット・エンジニアリング・タスク・フォース (IETF)。このガイダンスは、企業がパブリック インターネットを介して内部サーバーに送信されるデータを保護する最新の方法を遵守しながら、同時にこのデータの継続的な監視と監査を必要とする金融業界やその他の規制を順守するのに役立つ技術的方法を提供します。マルウェアやその他のサイバー攻撃の証拠。
「TLS 1.3 はセキュリティの向上をもたらす重要な暗号化ツールであり、ポスト量子暗号をサポートできるようになります」と NCCoE ディレクターの Cherilyn Pascoe 氏は述べています。 「この共同プロジェクトは、組織が監査とサイバーセキュリティの要件を満たしながら、TLS 1.3 を使用してデータを保護できるようにすることに重点を置いています。」
NISTは、1年2024月XNUMX日までに実践ガイド草案に対するパブリックコメントを求めている。
1996 年に IETF によって開発された TLS プロトコルは、インターネット セキュリティの重要なコンポーネントです。Web リンクで、Web サイトが安全であることを示す「https」の末尾に「s」が表示される場合は、TLS がセキュリティ保護を行っていることを意味します。仕事。 TLS を使用すると、パスワードやクレジット カード番号などの個人情報をサイトに提供するときに、誰にも見られることがないという安心感を持って、インターネットと呼ばれる公的に公開されたネットワークの膨大なコレクションを介してデータを送信できるようになります。
TLS は、許可されたユーザーがこの個人情報を暗号化および復号化して安全に交換できるようにする暗号鍵を保護することによって Web セキュリティを維持し、同時に許可されていない個人による鍵の使用を防ぎます。 TLS はインターネット セキュリティの維持に大きな成功を収めており、TLS 1.2 までの以前のアップデートにより、組織はこれらのキーを十分な期間手元に保持し、マルウェアやその他のサイバー攻撃の試みに対する受信 Web トラフィックの監査をサポートできるようになりました。
ただし、最新の反復では — TLS 1.3、2018 年リリース — 1.3 アップデートは、組織が監視と監査の目的でキーにアクセスするために使用するツールをサポートしていないため、これらの監査を実行することが法律で義務付けられている一部の企業に異議を唱えています。その結果、企業は、TLS 1.3 を使用しながら、重要なサービスに対する企業のセキュリティ、運用、および規制要件を満たす方法について疑問を提起しています。そこで NIST の新しい実践ガイドが登場します。
このガイドでは、組織が不正アクセスからデータを保護しながらキーにアクセスする方法を提供する 1.3 つのテクニックを紹介しています。 TLS XNUMX では、データの受信時にインターネット交換を保護するために使用されるキーが不要になりますが、実践ガイドのアプローチにより、組織は基本的に、受信した生のデータと復号化された形式のデータを、セキュリティ監視を実行するのに十分な期間保持できるようになります。この情報は、監査およびフォレンジックの目的で安全な内部サーバー内に保持され、セキュリティ処理が完了すると破棄されます。
このような封じ込められた環境であってもキーの保管にはリスクが伴いますが、NIST は、これらのリスクを高める可能性がある独自のアプローチに代わるいくつかの安全な代替案を示す実践ガイドを開発しました。
「NIST は TLS 1.3 を変更しません。しかし、組織がこれらの鍵を保管する方法を見つけようとしているのであれば、私たちは安全な方法を提供したいと考えています」と、このガイドの著者の一人である NCCoE の Murugiah Souppaya 氏は述べています。 「私たちは、このユースケースを持つ組織に対して、安全な方法でそれを行う方法を実証しています。私たちはキーの保管と再利用のリスクを説明し、最新のプロトコルを常に最新の状態に保ちながらキーを安全に使用する方法を人々に示します。」
NCCoE は、最終的に 1800 巻になる実践ガイドを開発中です。現在入手できるのは、最初の 37 巻、要旨 (SP 1800-37A) とソリューションの実装の説明 (SP 1800-37B) です。計画されている 1800 冊のうち、37 冊 (SP 1.3-XNUMXC および D) は、ソリューションのハウツー ガイドとデモンストレーションを必要とする IT プロフェッショナルを対象とし、XNUMX 冊目 (SP XNUMX-XNUMXE) はリスクとコンプライアンスの管理に焦点を当てます。 、TLS XNUMX 可視性アーキテクチャのコンポーネントを、よく知られたサイバーセキュリティ ガイドラインのセキュリティ特性にマッピングします。
FAQが用意されています よくある質問に答えます。ドラフトに関するコメントやその他の質問を送信するには、実践ガイドの著者に次のアドレスにお問い合わせください。 。コメントは 1 年 2024 月 XNUMX 日まで提出できます。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :持っている
- :は
- :not
- :どこ
- $UP
- 1
- 1.3
- 1996
- 2024
- a
- できる
- 私たちについて
- アクセス
- こちらからお申し込みください。
- 付着
- すべて
- 許す
- ことができます
- 選択肢
- an
- および
- 回答
- アプローチ
- 4月
- 建築
- です
- AS
- 関連する
- At
- 試みた
- 監査
- 監査
- 監査
- 許可
- 著者
- 利用できます
- BE
- なぜなら
- き
- BEST
- ベストプラクティス
- もたらす
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- コール
- 缶
- カード
- これ
- 場合
- センター
- 中核的研究拠点
- 挑戦した
- 課題
- 変化
- 特性
- 共同
- コレクション
- comes
- 注釈
- コマンドと
- 記入済みの
- コンプライアンス
- 従う
- コンポーネント
- コンポーネント
- 信頼
- その結果
- 接触
- 含まれている
- 連続的な
- クレジット
- クレジットカード
- 重大な
- 暗号
- 暗号
- 現在
- サイバー攻撃
- サイバーセキュリティ
- データ
- 日付
- 解読する
- 実証します
- デモ
- 記述
- 説明
- 破壊された
- 発展した
- 開発
- 取締役
- do
- ありません
- すること
- ドラフト
- 効果的な
- 排除
- 使用可能
- 暗号化する
- 暗号化
- end
- エンジニアリング
- 十分な
- 確保する
- Enterprise
- エンタープライズセキュリティ
- 環境
- 本質的な
- 本質的に
- さらに
- 最終的に
- 証拠
- 優秀
- 交換について
- エグゼクティブ
- 説明する
- 広範囲
- よくある質問
- ファッション
- ファイナンス
- ファイナンシャル
- もう完成させ、ワークスペースに掲示しましたか?
- 名
- フォーカス
- 焦点を当てて
- フォレンジック
- フォーム
- から
- 連動
- 行く
- ガイダンス
- ガイド
- ガイドライン
- ハンド
- 持ってる
- 健康
- ヘルスケア
- 助けます
- ことができます
- 非常に
- 認定条件
- How To
- HTTPS
- if
- 実装する
- 実装
- 重要
- in
- 入ってくる
- 増加した
- 個人
- 産業
- 産業を変えます
- 情報
- 機関
- 意図された
- 内部
- インターネット
- インターネットセキュリティー
- 関与
- IT
- 繰り返し
- ITS
- ジョブ
- キープ
- キー
- 既知の
- 最新の
- 法律
- LINK
- 長い
- 保守
- 維持
- 主要な
- マルウェア
- 管理
- 方法
- マッピング
- 五月..
- 手段
- 大会
- ご相談
- 方法
- メソッド
- かもしれない
- モニタリング
- 最も
- しなければなりません
- 国民
- 必要
- ネットワーク
- ネットワーク
- 新作
- ニスト
- いいえ
- 数
- 観察する
- of
- 提供
- オファー
- on
- ONE
- オペレーショナル
- or
- 組織
- 組織
- その他
- 私たちの
- が
- 参加する
- パスワード
- 過去
- のワークプ
- 実行する
- パフォーマンス
- 計画されました
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 練習
- プラクティス
- 予防
- 前
- プライベート
- 個人情報
- 処理
- 専門家
- プロジェクト
- 守る
- 保護された
- 保護
- 保護
- 提供します
- は、大阪で
- 公共
- 出版
- 公然と
- 目的
- 質問
- 隆起した
- Raw
- 受け
- 最近
- 規制
- レギュレータ
- リリース
- 要求
- 必要とする
- の提出が必要です
- 要件
- リテンションを維持
- リスク
- リスク
- 安全な
- 安全に
- 前記
- 安全に
- 確保する
- セキュリティ
- 送信
- サーバー
- サービス
- いくつかの
- 表示する
- 同時に
- ウェブサイト
- SIX
- 溶液
- 特別
- スポンサー
- ステークホルダー
- 規格
- 最先端の
- 滞在
- まだ
- 保存
- 提出する
- 提出された
- 成功した
- そのような
- 概要
- サポート
- 仕事
- 技術的
- テクニック
- テクノロジー
- それ
- アプリ環境に合わせて
- それら
- そこ。
- ボーマン
- 三番
- この
- 三
- 介して
- 〜へ
- ツール
- 豊富なツール群
- に向かって
- トラフィック
- 旅行
- 2
- 無許可
- まで
- 最新
- アップデイト
- 更新版
- us
- つかいます
- 使用事例
- 中古
- users
- 広大な
- ベンダー
- 視認性
- 目に見える
- ボリューム
- 欲しいです
- ました
- 仕方..
- 方法
- we
- ウェブ
- Webセキュリティ
- Webトラフィック
- ウェブサイト
- 周知
- この試験は
- いつ
- たびに
- while
- 誰
- 意志
- 以内
- 年
- You
- ゼファーネット