PERSBERICHT
Bedrijven in grote sectoren zoals de financiële sector en de gezondheidszorg moeten de beste praktijken volgen voor het monitoren van binnenkomende gegevens op cyberaanvallen. Het nieuwste internetbeveiligingsprotocol, bekend als TLS 1.3, biedt geavanceerde bescherming, maar bemoeilijkt de uitvoering van deze vereiste gegevensaudits. Het National Institute of Standards and Technology (NIST) heeft een praktijkgids uitgebracht waarin methoden worden beschreven die bedoeld zijn om deze industrieën te helpen TLS 1.3 te implementeren en de vereiste netwerkmonitoring en -audit op een veilige, beveiligde en effectieve manier uit te voeren.
De nieuwe conceptpraktijkgids, Zichtbaarheidsuitdagingen aanpakken met TLS 1.3 binnen de onderneming (NIST speciale publicatie (SP) 1800-37), is de afgelopen jaren ontwikkeld door het NIST National Cybersecurity Centre of Excellence (NCCoE) met uitgebreide betrokkenheid van technologieleveranciers, brancheorganisaties en andere belanghebbenden die deelnemen aan het Internet Engineering Task Force (IETF). De richtlijnen bieden technische methoden om bedrijven te helpen voldoen aan de meest actuele manieren om gegevens te beveiligen die via het openbare internet naar hun interne servers worden verzonden, terwijl ze tegelijkertijd voldoen aan de financiële sector en andere regelgeving die voortdurende monitoring en auditing van deze gegevens vereist. voor bewijs van malware en andere cyberaanvallen.
“TLS 1.3 is een belangrijk encryptiehulpmiddel dat zorgt voor meer veiligheid en post-kwantumcryptografie kan ondersteunen”, zegt Cherilyn Pascoe, directeur van de NCCoE. “Dit samenwerkingsproject is erop gericht ervoor te zorgen dat organisaties TLS 1.3 kunnen gebruiken om hun gegevens te beschermen en tegelijkertijd te voldoen aan de vereisten voor auditing en cyberbeveiliging.”
NIST vraagt vóór 1 april 2024 om publiek commentaar op de conceptpraktijkgids.
Het TLS-protocol, ontwikkeld door de IETF in 1996, is een essentieel onderdeel van internetbeveiliging: wanneer u in een weblink de “s” aan het einde van “https” ziet, wat aangeeft dat de website veilig is, betekent dit dat TLS zijn werk doet. functie. Met TLS kunnen we gegevens verzenden via de enorme verzameling openbaar zichtbare netwerken die we internet noemen, in het vertrouwen dat niemand onze privégegevens, zoals een wachtwoord of creditcardnummer, kan zien wanneer we deze aan een site verstrekken.
TLS handhaaft de webbeveiliging door de cryptografische sleutels te beschermen waarmee geautoriseerde gebruikers deze privégegevens kunnen coderen en decoderen voor veilige uitwisseling, terwijl wordt voorkomen dat ongeautoriseerde personen de sleutels gebruiken. TLS is zeer succesvol geweest in het handhaven van de internetbeveiliging, en de eerdere updates tot en met TLS 1.2 hebben organisaties in staat gesteld deze sleutels lang genoeg bij de hand te houden om inkomend webverkeer te kunnen controleren op malware en andere pogingen tot cyberaanvallen.
De meest recente iteratie – TLS 1.3, uitgebracht in 2018 – heeft de subgroep van bedrijven uitgedaagd die wettelijk verplicht zijn om deze audits uit te voeren, omdat update 1.3 geen ondersteuning biedt voor de tools die de organisaties gebruiken om toegang te krijgen tot de sleutels voor monitoring- en auditdoeleinden. Als gevolg hiervan hebben bedrijven vragen gesteld over hoe ze kunnen voldoen aan de beveiligings-, operationele en wettelijke vereisten voor kritieke services tijdens het gebruik van TLS 1.3. Dat is waar de nieuwe praktijkgids van NIST in beeld komt.
De gids biedt zes technieken die organisaties een methode bieden om toegang te krijgen tot de sleutels en tegelijkertijd de gegevens te beschermen tegen ongeautoriseerde toegang. TLS 1.3 elimineert sleutels die worden gebruikt om internetuitwisselingen te beschermen wanneer de gegevens worden ontvangen, maar de aanpak van de praktijkgids stelt een organisatie in wezen in staat de onbewerkte ontvangen gegevens en de gegevens in gedecodeerde vorm lang genoeg te bewaren om beveiligingscontroles uit te voeren. Deze informatie wordt bewaard op een beveiligde interne server voor audit- en forensische doeleinden en wordt vernietigd wanneer de beveiligingsverwerking is voltooid.
Hoewel er risico's verbonden zijn aan het opslaan van de sleutels, zelfs in deze besloten omgeving, heeft NIST de praktijkgids ontwikkeld om verschillende veilige alternatieven voor eigen benaderingen te demonstreren die deze risico's zouden kunnen vergroten.
“NIST verandert TLS 1.3 niet. Maar als organisaties een manier willen vinden om deze sleutels te bewaren, willen we hen veilige methoden bieden”, zegt Murugiah Souppaya van NCCoE, een van de auteurs van de gids. “We demonstreren organisaties die deze use case hebben, hoe ze dit op een veilige manier kunnen doen. We leggen de risico’s uit van het opslaan en hergebruiken van de sleutels en laten mensen zien hoe ze deze veilig kunnen gebruiken, terwijl ze toch op de hoogte blijven van het nieuwste protocol.”
De NCCoE ontwikkelt wat uiteindelijk een vijfdelige praktijkgids zal worden. Momenteel zijn de eerste twee delen beschikbaar: de samenvatting (SP 1800-37A) en een beschrijving van de implementatie van de oplossing (SP 1800-37B). Van de drie geplande delen zullen er twee (SP 1800-37C en D) gericht zijn op IT-professionals die behoefte hebben aan een handleiding en demonstraties van de oplossing, terwijl de derde (SP 1800-37E) zich zal richten op risico- en compliancebeheer. , waarbij componenten van de TLS 1.3-zichtbaarheidsarchitectuur worden gekoppeld aan beveiligingskenmerken in bekende cyberbeveiligingsrichtlijnen.
Er is een FAQ beschikbaar om veelgestelde vragen te beantwoorden. Als u opmerkingen over het concept of andere vragen wilt indienen, kunt u contact opnemen met de auteurs van de praktijkgids via . Reacties kunnen tot 1 april 2024 worden ingediend.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- : heeft
- :is
- :niet
- :waar
- $UP
- 1
- 1.3
- 1996
- 2024
- a
- in staat
- Over
- toegang
- bereiken
- zich eraan houden
- Alles
- toelaten
- toestaat
- alternatieven
- an
- en
- beantwoorden
- benaderingen
- April
- architectuur
- ZIJN
- AS
- geassocieerd
- At
- gepoogd
- controleren
- auditing
- audits
- bevoegd
- auteurs
- Beschikbaar
- BE
- omdat
- geweest
- BEST
- 'best practices'
- Brengt
- ondernemingen
- maar
- by
- Bellen
- CAN
- kaart
- verzorging
- geval
- Centreren
- Center of Excellence
- uitgedaagd
- uitdagingen
- veranderende
- kenmerken
- samenwerkend
- Collectie
- komt
- opmerkingen
- Gemeen
- Voltooid
- nakoming
- voldoen
- bestanddeel
- componenten
- vertrouwen
- bijgevolg
- contact
- bevatte
- doorlopend
- Credits
- creditkaart
- kritisch
- cryptografische
- geheimschrift
- Op dit moment
- cyberaanvallen
- Cybersecurity
- gegevens
- Datum
- decoderen
- tonen
- demonstrating
- beschrijven
- beschrijving
- vernietigd
- ontwikkelde
- het ontwikkelen van
- Director
- do
- doet
- doen
- draft
- effectief
- elimineert
- ingeschakeld
- encrypt
- encryptie
- einde
- Engineering
- genoeg
- zorgen
- Enterprise
- enterprise beveiliging
- Milieu
- essentieel
- in wezen
- Zelfs
- uiteindelijk
- bewijzen
- Uitmuntendheid
- Exchanges
- uitvoerend
- Verklaren
- uitgebreid
- FAQ
- Mode
- financiën
- financieel
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Voornaam*
- Focus
- richt
- volgen
- Voor
- forensisch onderzoek
- formulier
- oppompen van
- afgestemd
- gaan
- leiding
- gids
- richtlijnen
- hand
- Hebben
- Gezondheid
- Gezondheidszorg
- hulp
- helpt
- zeer
- Hoe
- How To
- HTTPS
- if
- uitvoeren
- uitvoering
- belangrijk
- in
- Inkomend
- meer
- individuen
- industrieën
- -industrie
- informatie
- Instituut
- bestemde
- intern
- Internet
- internet Security
- betrokkenheid
- IT
- herhaling
- HAAR
- Jobomschrijving:
- Houden
- toetsen
- bekend
- laatste
- Wet
- LINK
- lang
- Het handhaven
- onderhoudt
- groot
- malware
- management
- manier
- in kaart brengen
- Mei..
- middel
- Maak kennis met
- vergadering
- methode
- methoden
- macht
- Grensverkeer
- meest
- Dan moet je
- nationaal
- Noodzaak
- netwerk
- netwerken
- New
- NIST
- geen
- aantal
- waarnemen
- of
- bieden
- Aanbod
- on
- EEN
- operationele
- or
- organisatie
- organisaties
- Overige
- onze
- over
- deelnemen
- Wachtwoord
- verleden
- Mensen
- Uitvoeren
- prestatie
- gepland
- Plato
- Plato gegevensintelligentie
- PlatoData
- praktijk
- praktijken
- het voorkomen van
- vorig
- privaat
- prive informatie
- verwerking
- professionals
- project
- beschermen
- beschermd
- beschermen
- bescherming
- protocol
- zorgen voor
- biedt
- publiek
- Publicatie
- in het openbaar
- doeleinden
- Contact
- opgebracht
- Rauw
- ontvangen
- recent
- reglement
- regelgevers
- uitgebracht
- aanvragen
- vereisen
- nodig
- Voorwaarden
- behouden
- Risico
- risico's
- veilig
- veilig
- Zei
- beveiligen
- beveiligen
- veiligheid
- zien
- sturen
- server
- Servers
- Diensten
- verscheidene
- tonen
- gelijktijdig
- website
- ZES
- oplossing
- special
- Gesponsorde
- stakeholders
- normen
- state-of-the-art
- verblijven
- Still
- bewaartemperatuur
- voorleggen
- ingediend
- geslaagd
- dergelijk
- OVERZICHT
- ondersteuning
- Taak
- Technisch
- technieken
- Technologie
- dat
- De
- hun
- Ze
- Er.
- Deze
- Derde
- dit
- drie
- Door
- naar
- tools
- tools
- in de richting van
- verkeer
- reist
- twee
- onbevoegd
- tot
- up-to-date
- bijwerken
- updates
- us
- .
- use case
- gebruikt
- gebruikers
- gebruik
- groot
- vendors
- zichtbaarheid
- zichtbaar
- volumes
- willen
- was
- Manier..
- manieren
- we
- web
- Webbeveiliging
- Verkeer van het web
- Website
- bekend
- Wat
- wanneer
- telkens als
- en
- WIE
- wil
- Met
- binnen
- jaar
- You
- zephyrnet