보도자료
금융, 의료 등 주요 산업 분야의 기업은 사이버 공격에 대해 수신되는 데이터를 모니터링하기 위한 모범 사례를 따라야 합니다. TLS 1.3으로 알려진 최신 인터넷 보안 프로토콜은 최첨단 보호 기능을 제공하지만 이러한 필수 데이터 감사의 수행을 복잡하게 만듭니다. NIST(National Institute of Standards and Technology)는 이러한 산업이 TLS 1.3을 구현하고 안전하고 효과적인 방식으로 필요한 네트워크 모니터링 및 감사를 수행하는 데 도움이 되는 방법을 설명하는 실무 가이드를 발표했습니다.
새로운 초안 실천 가이드, 기업 내 TLS 1.3으로 가시성 문제 해결 (NIST 특별 간행물 (SP) 1800-37)는 NIST NCCoE(National Cybersecurity Center of Excellence)에서 기술 공급업체, 산업 조직 및 참여하는 기타 이해관계자의 광범위한 참여를 통해 지난 몇 년 동안 개발되었습니다. 인터넷 엔지니어링 태스크 포스 (IETF). 이 지침은 기업이 공용 인터넷을 통해 내부 서버로 이동하는 데이터를 보호하는 최신 방법을 준수하는 동시에 이 데이터에 대한 지속적인 모니터링 및 감사가 필요한 금융 산업 및 기타 규정을 준수하는 데 도움이 되는 기술적 방법을 제공합니다. 맬웨어 및 기타 사이버 공격의 증거를 위해.
NCCoE 이사인 Cherilyn Pascoe는 "TLS 1.3은 보안을 강화하고 포스트 양자 암호화를 지원할 수 있는 중요한 암호화 도구입니다."라고 말했습니다. "이 공동 프로젝트는 조직이 TLS 1.3을 사용하여 감사 및 사이버 보안 요구 사항을 충족하면서 데이터를 보호할 수 있도록 하는 데 중점을 둡니다."
NIST는 1년 2024월 XNUMX일까지 실무 가이드 초안에 대한 공개 의견을 요청하고 있습니다.
1996년 IETF가 개발한 TLS 프로토콜은 인터넷 보안의 필수 구성 요소입니다. 웹 링크에서 웹 사이트가 안전하다는 것을 나타내는 "https" 끝에 "s"가 표시되면 TLS가 해당 작업을 수행하고 있음을 의미합니다. 직업. TLS를 사용하면 비밀번호나 신용 카드 번호와 같은 개인 정보를 사이트에 제공할 때 누구도 볼 수 없다는 확신을 가지고 인터넷이라고 하는 공개적으로 보이는 네트워크의 방대한 집합을 통해 데이터를 보낼 수 있습니다.
TLS는 승인된 사용자가 보안 교환을 위해 개인 정보를 암호화 및 해독할 수 있도록 하는 암호화 키를 보호하는 동시에 승인되지 않은 개인이 키를 사용하는 것을 방지함으로써 웹 보안을 유지합니다. TLS는 인터넷 보안을 유지하는 데 큰 성공을 거두었으며 TLS 1.2를 통한 이전 업데이트를 통해 조직은 들어오는 웹 트래픽에서 맬웨어 및 기타 사이버 공격 시도에 대한 감사를 지원할 수 있을 만큼 오랫동안 이러한 키를 보관할 수 있었습니다.
그러나 가장 최근의 반복은 — TLS 1.3, 2018년 출시 — 1.3 업데이트는 조직이 모니터링 및 감사 목적으로 키에 액세스하는 데 사용하는 도구를 지원하지 않기 때문에 법적으로 이러한 감사를 수행하도록 요구되는 일부 기업에 이의를 제기했습니다. 결과적으로 기업에서는 TLS 1.3을 사용하면서 중요한 서비스에 대한 기업 보안, 운영 및 규제 요구 사항을 충족하는 방법에 대해 의문을 제기해 왔습니다. NIST의 새로운 실습 가이드가 바로 여기에 있습니다.
이 가이드에서는 조직에 무단 액세스로부터 데이터를 보호하면서 키에 액세스할 수 있는 방법을 제공하는 1.3가지 기술을 제공합니다. TLS XNUMX은 데이터가 수신될 때 인터넷 교환을 보호하는 데 사용되는 키를 제거하지만, 실무 가이드의 접근 방식을 사용하면 기본적으로 조직은 보안 모니터링을 수행할 수 있을 만큼 오랫동안 수신된 원시 데이터와 데이터를 해독된 형식으로 유지할 수 있습니다. 이 정보는 감사 및 포렌식 목적으로 안전한 내부 서버에 보관되며, 보안 처리가 완료되면 파기됩니다.
이러한 격리된 환경에서도 키를 저장하는 것과 관련된 위험이 있지만 NIST는 이러한 위험을 높일 수 있는 자체 개발 접근 방식에 대한 몇 가지 안전한 대안을 보여주기 위해 실습 가이드를 개발했습니다.
“NIST는 TLS 1.3을 변경하지 않습니다. 그러나 조직이 이러한 키를 보관할 방법을 찾으려면 안전한 방법을 제공하고 싶습니다.”라고 가이드 작성자 중 한 명인 NCCoE의 Murugiah Souppaya가 말했습니다. “우리는 이러한 사용 사례를 갖고 있는 조직에 안전한 방식으로 수행하는 방법을 시연하고 있습니다. 우리는 키를 보관하고 재사용하는 데 따른 위험을 설명하고 최신 프로토콜을 유지하면서 안전하게 사용하는 방법을 사람들에게 보여줍니다.”
NCCoE는 최종적으로 1800권으로 구성된 실습 가이드를 개발 중입니다. 현재 사용 가능한 책은 처음 두 권, 즉 요약본(SP 37-1800A)과 솔루션 구현에 대한 설명(SP 37-1800B)입니다. 계획된 37권 중 1800권(SP 37-1.3C 및 D)은 솔루션에 대한 방법 안내 및 데모가 필요한 IT 전문가를 대상으로 하며, XNUMX권(SP XNUMX-XNUMXE)은 위험 및 규정 준수 관리에 중점을 둡니다. , 잘 알려진 사이버 보안 지침의 보안 특성에 TLS XNUMX 가시성 아키텍처의 구성 요소를 매핑합니다.
FAQ를 이용할 수 있습니다. 일반적인 질문에 답변합니다. 초안이나 기타 질문에 대한 의견을 제출하려면 연습 가이드 작성자에게 문의하세요. . 의견은 1년 2024월 XNUMX일까지 제출할 수 있습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :있다
- :이다
- :아니
- :어디
- $UP
- 1
- 1.3
- 1996
- 2024
- a
- 할 수 있는
- 소개
- ACCESS
- 달성
- 고착
- All
- 수
- 수
- 대안
- an
- 및
- 답변
- 구혼
- Apr
- 아키텍처
- 있군요
- AS
- 관련
- At
- 시도하다
- 회계 감사
- 감사
- 감사
- 허가
- 작성자
- 가능
- BE
- 때문에
- 된
- BEST
- 모범 사례
- 돋보이게
- 사업
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 전화
- CAN
- 카드
- 한
- 케이스
- 센터
- 우수 센터
- 도전 한
- 과제
- 변화
- 특성
- 협력
- 수집
- 제공
- 댓글
- 공통의
- 진행완료
- compliance
- 준수
- 구성 요소
- 구성 요소들
- 자신
- 따라서
- CONTACT
- 포함
- 끊임없는
- 신용
- 크레디트 카드
- 임계
- cryptographic
- 암호 법
- 현재
- 사이버 공격
- 사이버 보안
- 데이터
- 날짜
- 해독
- 보여
- 시연하는
- 설명
- 설명
- 파괴
- 개발
- 개발
- 책임자
- do
- 하지
- 하기
- 징병
- 유효한
- 거림
- 사용 가능
- 암호화
- 암호화
- end
- 엔지니어링
- 충분히
- 보장
- Enterprise
- 기업 보안
- 환경
- 필수
- 본질적으로
- 조차
- 있을뿐만 아니라
- 증거
- 탁월함 <br>(Excellence)
- 교환
- 행정부
- 설명
- 광대 한
- 자주하는 질문
- 패션
- 재원
- 금융
- Find
- 먼저,
- 초점
- 집중
- 따라
- 럭셔리
- 법의학
- 형태
- 에
- 기어드가 된
- 가는
- 지도
- 안내
- 가이드 라인
- 손
- 있다
- 건강
- 건강
- 도움
- 도움이
- 고도로
- 방법
- How To
- HTTPS
- if
- 구현
- 이행
- 중대한
- in
- 들어오는
- 증가
- 개인
- 산업
- 산업
- 정보
- 학회
- 예정된
- 내부의
- 인터넷
- 인터넷 보안
- 참여
- IT
- 되풀이
- 그
- 일
- 유지
- 키
- 알려진
- 최근
- 법
- LINK
- 긴
- 유지 보수
- 유지
- 주요한
- 악성 코드
- 구축
- 태도
- 매핑
- XNUMX월..
- 방법
- 소개
- 회의
- 방법
- 방법
- 수도
- 모니터링
- 가장
- 절대로 필요한 것
- 국가의
- 필요
- 네트워크
- 네트워크
- 신제품
- nist
- 아니
- 번호
- 관찰
- of
- 제공
- 제공
- on
- ONE
- 운영
- or
- 조직
- 조직
- 기타
- 우리의
- 위에
- 참여
- 비밀번호
- 과거
- 사람들
- 수행
- 성능
- 계획
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 연습
- 사례
- 방지
- 너무 이른
- 사설
- 개인 정보
- 처리
- 전문가
- 프로젝트
- 보호
- 보호
- 보호
- 보호
- 프로토콜
- 제공
- 제공
- 공개
- 출판기획 & 편집
- 공개적으로
- 목적
- 문의
- 높인
- 살갗이 벗어 진
- 접수
- 최근
- 규정
- 규정하는
- 출시
- 요청하는
- 필요
- 필수
- 요구조건 니즈
- 유지
- 위험
- 위험
- 가장 안전한 따뜻함
- 안전하게
- 말했다
- 안전해야합니다.
- 확보
- 보안
- 참조
- 보내다
- 섬기는 사람
- 서버
- 서비스
- 몇몇의
- 표시
- 동시에
- 대지
- SIX
- 해결책
- 특별한
- 후원
- 이해 관계자
- 기준
- 최첨단
- 숙박
- 아직도
- 저장
- 제출
- 제출
- 성공한
- 이러한
- 개요
- SUPPORT
- 태스크
- 테크니컬
- 기법
- Technology
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 그곳에.
- Bowman의
- 제삼
- 이
- 세
- 을 통하여
- 에
- 수단
- 검색을
- 방향
- 교통
- 여행기
- 두
- 무단의
- 까지
- 최신의
- 업데이트
- 업데이트
- us
- 사용
- 유스 케이스
- 익숙한
- 사용자
- 사용
- 거대한
- 공급 업체
- 가시성
- 눈에 보이는
- 볼륨
- 필요
- 였다
- 방법..
- 방법
- we
- 웹
- 웹 보안
- 웹 트래픽
- 웹 사이트
- 잘 알려진
- 뭐
- 언제
- 때마다
- 동안
- 누구
- 의지
- 과
- 이내
- 년
- 자신의
- 제퍼 넷