Komunikat prasowy
Firmy z głównych branż, takich jak finanse i opieka zdrowotna, muszą przestrzegać najlepszych praktyk w zakresie monitorowania przychodzących danych pod kątem cyberataków. Najnowszy protokół bezpieczeństwa internetowego, znany jako TLS 1.3, zapewnia najnowocześniejszą ochronę, ale komplikuje przeprowadzanie wymaganych audytów danych. Narodowy Instytut Standardów i Technologii (NIST) opublikował praktyczny przewodnik opisujący metody, które mają pomóc tym branżom wdrożyć TLS 1.3 i przeprowadzić wymagane monitorowanie i audytowanie sieci w bezpieczny i skuteczny sposób.
Nowy projekt poradnika praktycznego, Rozwiązanie problemów związanych z widocznością dzięki TLS 1.3 w przedsiębiorstwie (Publikacja specjalna NIST (SP) 1800-37), został opracowany w ciągu ostatnich kilku lat w Narodowym Centrum Doskonałości Cyberbezpieczeństwa NIST (NCCoE) przy szerokim zaangażowaniu dostawców technologii, organizacji branżowych i innych interesariuszy uczestniczących w projekcie Internet Engineering Task Force (IETF). W wytycznych przedstawiono metody techniczne, które mogą pomóc przedsiębiorstwom w przestrzeganiu najnowocześniejszych sposobów zabezpieczania danych przesyłanych przez publiczny Internet na ich wewnętrzne serwery, przy jednoczesnym przestrzeganiu przepisów branży finansowej i innych przepisów wymagających ciągłego monitorowania i audytu tych danych w celu uzyskania dowodów na obecność złośliwego oprogramowania i innych cyberataków.
„TLS 1.3 to ważne narzędzie szyfrujące, które zapewnia większe bezpieczeństwo i będzie w stanie obsługiwać kryptografię postkwantową” – powiedziała Cherilyn Pascoe, dyrektor NCCoE. „Ten wspólny projekt koncentruje się na zapewnieniu organizacjom możliwości korzystania z protokołu TLS 1.3 w celu ochrony swoich danych, przy jednoczesnym spełnieniu wymagań w zakresie audytu i cyberbezpieczeństwa”.
NIST prosi o publiczne komentarze na temat projektu przewodnika po praktykach do 1 kwietnia 2024 r.
Protokół TLS, opracowany przez IETF w 1996 r., jest istotnym elementem bezpieczeństwa Internetu: w łączu internetowym, jeśli na końcu „https” widzisz literę „s”, wskazującą, że witryna jest bezpieczna, oznacza to, że TLS wykonuje swoje stanowisko. TLS umożliwia nam przesyłanie danych za pośrednictwem ogromnej kolekcji publicznie widocznych sieci, które nazywamy Internetem, mając pewność, że nikt nie zobaczy naszych prywatnych informacji, takich jak hasło czy numer karty kredytowej, gdy podajemy je w witrynie.
TLS utrzymuje bezpieczeństwo sieci, chroniąc klucze kryptograficzne, które umożliwiają autoryzowanym użytkownikom szyfrowanie i deszyfrowanie prywatnych informacji w celu bezpiecznej wymiany danych, a wszystko to przy jednoczesnym zapobieganiu korzystaniu z kluczy przez osoby nieupoważnione. Protokół TLS odniósł duży sukces w utrzymywaniu bezpieczeństwa w Internecie, a jego poprzednie aktualizacje, aż do wersji TLS 1.2, umożliwiły organizacjom przechowywanie tych kluczy pod ręką wystarczająco długo, aby umożliwić kontrolę przychodzącego ruchu sieciowego pod kątem złośliwego oprogramowania i innych prób cyberataków.
Jednak najnowsza iteracja — TLS 1.3, wydany w 2018 roku — zakwestionował podzbiór przedsiębiorstw, które są prawnie zobowiązane do przeprowadzania takich audytów, ponieważ aktualizacja 1.3 nie obsługuje narzędzi używanych przez organizacje w celu uzyskania dostępu do kluczy do celów monitorowania i audytu. W związku z tym firmy zadawały pytania dotyczące spełnienia wymagań korporacyjnych dotyczących bezpieczeństwa, operacyjnych i regulacyjnych w zakresie usług krytycznych podczas korzystania z protokołu TLS 1.3. W tym miejscu pojawia się nowy przewodnik praktyczny NIST.
W przewodniku przedstawiono sześć technik oferujących organizacjom metodę dostępu do kluczy przy jednoczesnej ochronie danych przed nieautoryzowanym dostępem. TLS 1.3 eliminuje klucze używane do ochrony wymiany danych w Internecie podczas odbierania danych, ale podejścia zawarte w tym przewodniku zasadniczo pozwalają organizacji zachować surowe otrzymane dane i dane w formie odszyfrowanej wystarczająco długo, aby przeprowadzić monitorowanie bezpieczeństwa. Informacje te są przechowywane na bezpiecznym serwerze wewnętrznym do celów audytu i kryminalistyki i są niszczone po zakończeniu przetwarzania zabezpieczającego.
Chociaż istnieje ryzyko związane z przechowywaniem kluczy nawet w tak zamkniętym środowisku, NIST opracował praktyczny przewodnik, aby zademonstrować kilka bezpiecznych alternatyw dla domowych podejść, które mogą zwiększyć to ryzyko.
„NIST nie zmienia protokołu TLS 1.3. Jeśli jednak organizacje mają znaleźć sposób na zachowanie tych kluczy, chcemy zapewnić im bezpieczne metody” – powiedział Murugiah Souppaya z NCCoE, jeden z autorów przewodnika. „Pokazujemy organizacjom, które mają ten przypadek użycia, jak zrobić to w bezpieczny sposób. Wyjaśniamy ryzyko przechowywania i ponownego użycia kluczy oraz pokazujemy, jak bezpiecznie z nich korzystać, pozostając jednocześnie na bieżąco z najnowszym protokołem.”
NCCoE opracowuje pięciotomowy przewodnik praktyczny. Obecnie dostępne są dwa pierwsze tomy – streszczenie (SP 1800-37A) i opis wdrożenia rozwiązania (SP 1800-37B). Z trzech planowanych tomów dwa (SP 1800-37C i D) będą skierowane do specjalistów IT, którzy potrzebują przewodnika i demonstracji rozwiązania, natomiast trzeci (SP 1800-37E) będzie skupiał się na zarządzaniu ryzykiem i zgodnością , mapowanie komponentów architektury widoczności TLS 1.3 na cechy bezpieczeństwa w dobrze znanych wytycznych dotyczących cyberbezpieczeństwa.
Często zadawane pytania są dostępne aby odpowiedzieć na często zadawane pytania. Aby zgłosić uwagi do wersji roboczej lub inne pytania, skontaktuj się z autorami poradnika pod adresem: . Uwagi można zgłaszać do 1 kwietnia 2024 r.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 1
- 1.3
- 1996
- 2024
- a
- Zdolny
- O nas
- dostęp
- wykonać
- przylegający
- Wszystkie kategorie
- dopuszczać
- pozwala
- alternatywy
- an
- i
- odpowiedź
- awanse
- kwiecień
- architektura
- SĄ
- AS
- powiązany
- At
- próbę
- Audyt
- audytu
- kontrole
- upoważniony
- Autorzy
- dostępny
- BE
- bo
- być
- BEST
- Najlepsze praktyki
- Przynosi
- biznes
- ale
- by
- wezwanie
- CAN
- karta
- który
- walizka
- Centrum
- Centrum Doskonałości
- zakwestionowany
- wyzwania
- wymiana pieniędzy
- Charakterystyka
- współpracy
- kolekcja
- byliśmy spójni, od początku
- komentarze
- wspólny
- Zakończony
- spełnienie
- wykonania
- składnik
- składniki
- pewność siebie
- w konsekwencji
- skontaktuj się
- zawarte
- ciągły
- kredyt
- Karta kredytowa
- krytyczny
- kryptograficzny
- kryptografia
- Obecnie
- cyberataki
- Bezpieczeństwo cybernetyczne
- dane
- Data
- Odszyfruj
- wykazać
- demonstrowanie
- Opisujące
- opis
- zniszczony
- rozwinięty
- rozwijanie
- Dyrektor
- do
- robi
- robi
- projekt
- Efektywne
- eliminuje
- włączony
- Szyfrowanie
- szyfrowanie
- zakończenia
- Inżynieria
- dość
- zapewnienie
- Enterprise
- bezpieczeństwo przedsiębiorstwa
- Środowisko
- niezbędny
- istotnie
- Parzyste
- ostatecznie
- dowód
- Doskonałość
- Wymiana
- wykonawczy
- Wyjaśniać
- rozległy
- FAQ
- Moda
- finansować
- budżetowy
- Znajdź
- i terminów, a
- Skupiać
- koncentruje
- obserwuj
- W razie zamówieenia projektu
- kryminalistyki
- Nasz formularz
- od
- nastawiony
- będzie
- poradnictwo
- poprowadzi
- wytyczne
- ręka
- Have
- Zdrowie
- Opieka zdrowotna
- pomoc
- pomaga
- wysoko
- W jaki sposób
- How To
- HTTPS
- if
- wdrożenia
- realizacja
- ważny
- in
- Przybywający
- wzrosła
- osób
- przemysłowa
- przemysł
- Informacja
- Instytut
- zamierzony
- wewnętrzny
- Internet
- Internet Security
- Zaangażowanie
- IT
- iteracja
- JEGO
- Praca
- Trzymać
- Klawisze
- znany
- firmy
- Prawo
- LINK
- długo
- Utrzymywanie
- utrzymuje
- poważny
- malware
- i konserwacjami
- sposób
- mapowanie
- Może..
- znaczy
- Poznaj nasz
- Spotkanie
- metoda
- metody
- może
- monitorowanie
- większość
- musi
- narodowy
- Potrzebować
- sieć
- sieci
- Nowości
- nist
- Nie
- numer
- obserwować
- of
- oferta
- Oferty
- on
- ONE
- operacyjny
- or
- organizacja
- organizacji
- Inne
- ludzkiej,
- koniec
- uczestniczyć
- Hasło
- Przeszłość
- Ludzie
- wykonać
- jest gwarancją najlepszej jakości, które mogą dostarczyć Ci Twoje monitory,
- planowany
- plato
- Analiza danych Platona
- PlatoDane
- praktyka
- praktyki
- zapobieganie
- poprzedni
- prywatny
- prywatna informacja
- przetwarzanie
- specjalistów
- projekt
- chronić
- chroniony
- ochrony
- ochrona
- protokół
- zapewniać
- zapewnia
- publiczny
- Publikacja
- publicznie
- cele
- pytania
- Surowy
- Odebrane
- niedawny
- regulamin
- regulacyjne
- wydany
- z prośbą
- wymagać
- wymagany
- wymagania
- zachować
- Ryzyko
- ryzyko
- "bezpiecznym"
- bezpiecznie
- Powiedział
- bezpieczne
- zabezpieczenia
- bezpieczeństwo
- widzieć
- wysłać
- serwer
- Serwery
- Usługi
- kilka
- pokazać
- jednocześnie
- witryna internetowa
- SIX
- rozwiązanie
- specjalny
- Łącza
- interesariusze
- standardy
- state-of-the-art
- przebywający
- Nadal
- przechowywania
- Zatwierdź
- składane
- udany
- taki
- PODSUMOWANIE
- wsparcie
- Zadanie
- Techniczny
- Techniki
- Technologia
- że
- Połączenia
- ich
- Im
- Tam.
- Te
- Trzeci
- to
- trzy
- Przez
- do
- narzędzie
- narzędzia
- w kierunku
- ruch drogowy
- podróże
- drugiej
- Nieupoważniony
- aż do
- nowomodny
- Aktualizacja
- Nowości
- us
- posługiwać się
- przypadek użycia
- używany
- Użytkownicy
- za pomocą
- Naprawiono
- sprzedawców
- widoczność
- widoczny
- kłęby
- chcieć
- była
- Droga..
- sposoby
- we
- sieć
- Bezpieczeństwo sieci
- Ruch internetowy
- Strona internetowa
- znane
- Co
- jeśli chodzi o komunikację i motywację
- ilekroć
- Podczas
- KIM
- będzie
- w
- w ciągu
- lat
- You
- zefirnet