PRESSEMELDING
Bedrifter i store bransjer som finans og helsevesen må følge beste praksis for å overvåke innkommende data for nettangrep. Den nyeste internettsikkerhetsprotokollen, kjent som TLS 1.3, gir toppmoderne beskyttelse, men kompliserer gjennomføringen av disse nødvendige datarevisjonene. National Institute of Standards and Technology (NIST) har gitt ut en praksisguide som beskriver metoder som er ment å hjelpe disse bransjene med å implementere TLS 1.3 og utføre nødvendig nettverksovervåking og revisjon på en trygg, sikker og effektiv måte.
Det nye utkastet til praksisveiledning, Ta tak i synlighetsutfordringer med TLS 1.3 i bedriften (NIST Spesialpublikasjon (SP) 1800-37), ble utviklet i løpet av de siste årene ved NIST National Cybersecurity Center of Excellence (NCCoE) med omfattende involvering av teknologileverandører, bransjeorganisasjoner og andre interessenter som deltar i Internet Engineering Task Force (IETF). Veiledningen tilbyr tekniske metoder for å hjelpe virksomheter med å overholde de mest oppdaterte måtene å sikre data som går over det offentlige internett til deres interne servere, samtidig som de overholder finansnæringen og andre forskrifter som krever kontinuerlig overvåking og revisjon av disse dataene. for bevis på skadelig programvare og andre nettangrep.
"TLS 1.3 er et viktig krypteringsverktøy som gir økt sikkerhet og vil kunne støtte post-kvantekryptografi," sa Cherilyn Pascoe, direktør for NCCoE. "Dette samarbeidsprosjektet fokuserer på å sikre at organisasjoner kan bruke TLS 1.3 for å beskytte dataene sine samtidig som de oppfyller krav til revisjon og cybersikkerhet."
NIST ber om offentlige kommentarer til utkastet til praksisveiledning innen 1. april 2024.
TLS-protokollen, utviklet av IETF i 1996, er en viktig komponent i internettsikkerhet: I en nettlenke, når du ser "s" på slutten av "https" som indikerer at nettstedet er sikkert, betyr det at TLS gjør sitt jobb. TLS lar oss sende data over den enorme samlingen av offentlig synlige nettverk vi kaller internett med tillit til at ingen kan se vår private informasjon, for eksempel et passord eller kredittkortnummer, når vi gir den til et nettsted.
TLS opprettholder nettsikkerhet ved å beskytte de kryptografiske nøklene som lar autoriserte brukere kryptere og dekryptere denne private informasjonen for sikre utvekslinger, samtidig som det hindrer uautoriserte personer i å bruke nøklene. TLS har vært svært vellykket med å opprettholde internettsikkerhet, og tidligere oppdateringer opp gjennom TLS 1.2 gjorde det mulig for organisasjoner å holde disse nøklene for hånden lenge nok til å støtte revisjon av innkommende nettrafikk for skadelig programvare og andre forsøk på nettangrep.
Imidlertid, den siste iterasjonen - TLS 1.3, utgitt i 2018 — har utfordret undergruppen av virksomheter som er lovpålagt å utføre disse revisjonene, fordi 1.3-oppdateringen ikke støtter verktøyene organisasjonene bruker for å få tilgang til nøklene for overvåkings- og revisjonsformål. Følgelig har bedrifter reist spørsmål om hvordan de kan møte bedriftssikkerhet, operasjonelle og regulatoriske krav for kritiske tjenester mens de bruker TLS 1.3. Det er her NISTs nye praksisguide kommer inn.
Veiledningen tilbyr seks teknikker som tilbyr organisasjoner en metode for å få tilgang til nøklene samtidig som de beskytter dataene mot uautorisert tilgang. TLS 1.3 eliminerer nøkler som brukes til å beskytte Internett-utvekslinger etter hvert som dataene mottas, men praksisveiledningens tilnærminger lar i hovedsak en organisasjon beholde de mottatte rådataene og dataene i dekryptert form lenge nok til å utføre sikkerhetsovervåking. Denne informasjonen oppbevares på en sikker intern server for revisjons- og etterforskningsformål og blir ødelagt når sikkerhetsbehandlingen er fullført.
Selv om det er risiko forbundet med å lagre nøklene selv i dette innesluttede miljøet, utviklet NIST praksisguiden for å demonstrere flere sikre alternativer til hjemmelagde tilnærminger som kan øke disse risikoene.
"NIST endrer ikke TLS 1.3. Men hvis organisasjoner skal finne en måte å beholde disse nøklene på, ønsker vi å gi dem trygge metoder,” sa NCCoEs Murugiah Souppaya, en av guidens forfattere. "Vi demonstrerer for organisasjoner som har denne brukssaken hvordan de kan gjøre det på en sikker måte. Vi forklarer risikoen ved å lagre og gjenbruke nøklene, og viser folk hvordan de bruker dem trygt, samtidig som vi holder oss oppdatert med den nyeste protokollen.»
NCCoE utvikler det som til slutt vil bli en fem-binders praksisguide. For øyeblikket er de to første bindene tilgjengelige – sammendraget (SP 1800-37A) og en beskrivelse av løsningens implementering (SP 1800-37B). Av de tre planlagte volumene vil to (SP 1800-37C og D) være rettet mot IT-fagfolk som trenger en veiledning og demonstrasjoner av løsningen, mens det tredje (SP 1800-37E) vil fokusere på risiko- og samsvarsstyring , kartlegge komponenter i TLS 1.3-synlighetsarkitekturen til sikkerhetsegenskaper i kjente retningslinjer for nettsikkerhet.
En FAQ er tilgjengelig å svare på vanlige spørsmål. For å sende inn kommentarer til utkastet eller andre spørsmål, kontakt praksisguidens forfattere på . Kommentarer kan sendes frem til 1. april 2024.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- : har
- :er
- :ikke
- :hvor
- $OPP
- 1
- 1.3
- 1996
- 2024
- a
- I stand
- Om oss
- adgang
- utrette
- fester seg
- Alle
- tillate
- tillater
- alternativer
- an
- og
- besvare
- tilnærminger
- April
- arkitektur
- ER
- AS
- assosiert
- At
- forsøkt
- revisjon
- revisjon
- revisjoner
- autorisert
- forfattere
- tilgjengelig
- BE
- fordi
- vært
- BEST
- beste praksis
- Bringer
- bedrifter
- men
- by
- ring
- CAN
- kort
- hvilken
- saken
- sentrum
- Center of Excellence
- utfordret
- utfordringer
- endring
- egenskaper
- samarbeids
- samling
- kommer
- kommentarer
- Felles
- Terminado
- samsvar
- overholde
- komponent
- komponenter
- selvtillit
- Følgelig
- kontakt
- inneholdt
- kontinuerlig
- kreditt
- kredittkort
- kritisk
- kryptografisk
- kryptografi
- I dag
- cyberattacks
- Cybersecurity
- dato
- Dato
- dekryptere
- demonstrere
- demonstrere
- beskrive
- beskrivelse
- ødelagt
- utviklet
- utvikle
- Regissør
- do
- gjør
- gjør
- Utkast
- Effektiv
- eliminerer
- aktivert
- kryptere
- kryptering
- slutt
- Ingeniørarbeid
- nok
- sikrer
- Enterprise
- virksomhetssikkerhet
- Miljø
- avgjørende
- hovedsak
- Selv
- etter hvert
- bevis
- Excellence
- Børser
- utøvende
- Forklar
- omfattende
- FAQ
- Mote
- finansiere
- finansiell
- Finn
- Først
- Fokus
- fokuserer
- følge
- Til
- etterforskning
- skjema
- fra
- rettet
- skal
- veiledning
- veilede
- retningslinjer
- hånd
- Ha
- Helse
- Health Care
- hjelpe
- hjelper
- svært
- Hvordan
- Hvordan
- HTTPS
- if
- iverksette
- gjennomføring
- viktig
- in
- Innkommende
- økt
- individer
- bransjer
- industri
- informasjon
- Institute
- tiltenkt
- intern
- Internet
- Internet Security
- engasjement
- IT
- køyring
- DET ER
- Jobb
- Hold
- nøkler
- kjent
- siste
- Law
- LINK
- Lang
- Vedlike
- opprettholder
- større
- malware
- ledelse
- måte
- kartlegging
- Kan..
- midler
- Møt
- møte
- metode
- metoder
- kunne
- overvåking
- mest
- må
- nasjonal
- Trenger
- nettverk
- nettverk
- Ny
- nst
- Nei.
- Antall
- observere
- of
- tilby
- Tilbud
- on
- ONE
- operasjonell
- or
- organisasjon
- organisasjoner
- Annen
- vår
- enn
- delta
- Passord
- Past
- Ansatte
- Utfør
- ytelse
- planlagt
- plato
- Platon Data Intelligence
- PlatonData
- praksis
- praksis
- hindre
- forrige
- privat
- privat informasjon
- prosessering
- fagfolk
- prosjekt
- beskytte
- beskyttet
- beskytte
- beskyttelse
- protokollen
- gi
- gir
- offentlig
- Utgivelse
- offentlig
- formål
- spørsmål
- hevet
- Raw
- mottatt
- nylig
- forskrifter
- regulatorer
- utgitt
- ber om
- krever
- påkrevd
- Krav
- beholde
- Risiko
- risikoer
- trygge
- trygt
- Sa
- sikre
- sikring
- sikkerhet
- se
- send
- server
- Servere
- Tjenester
- flere
- Vis
- samtidig
- nettstedet
- SIX
- løsning
- spesiell
- Sponset
- interessenter
- standarder
- state-of-the-art
- blir
- Still
- lagring
- send
- innsendt
- vellykket
- slik
- SAMMENDRAG
- støtte
- Oppgave
- Teknisk
- teknikker
- Teknologi
- Det
- De
- deres
- Dem
- Der.
- Disse
- Tredje
- denne
- tre
- Gjennom
- til
- verktøy
- verktøy
- mot
- trafikk
- reiser
- to
- uautorisert
- til
- up-to-date
- Oppdater
- oppdateringer
- us
- bruke
- bruk sak
- brukt
- Brukere
- ved hjelp av
- enorme
- leverandører
- synlighet
- synlig
- volumer
- ønsker
- var
- Vei..
- måter
- we
- web
- Web Security
- Nettrafikk
- Nettsted
- velkjent
- Hva
- når
- når som helst
- mens
- HVEM
- vil
- med
- innenfor
- år
- Du
- zephyrnet