COMUNICADO DE IMPRENSA
As empresas dos principais setores, como finanças e saúde, devem seguir as melhores práticas para monitorar os dados recebidos em busca de ataques cibernéticos. O mais recente protocolo de segurança da Internet, conhecido como TLS 1.3, fornece proteção de última geração, mas complica o desempenho dessas auditorias de dados necessárias. O Instituto Nacional de Padrões e Tecnologia (NIST) lançou um guia prático que descreve métodos destinados a ajudar essas indústrias a implementar o TLS 1.3 e realizar o monitoramento e auditoria de rede necessários de maneira segura e eficaz.
O novo rascunho do guia prático, Enfrentando desafios de visibilidade com TLS 1.3 na empresa (Publicação Especial NIST (SP) 1800-37), foi desenvolvido ao longo dos últimos anos no Centro Nacional de Excelência em Segurança Cibernética do NIST (NCCoE) com o amplo envolvimento de fornecedores de tecnologia, organizações industriais e outras partes interessadas que participam do Internet Engineering Task Force (IETF). A orientação oferece métodos técnicos para ajudar as empresas a cumprir as formas mais atualizadas de proteger os dados que trafegam pela Internet pública para seus servidores internos, ao mesmo tempo em que aderem ao setor financeiro e outras regulamentações que exigem monitoramento e auditoria contínuos desses dados. em busca de evidências de malware e outros ataques cibernéticos.
“TLS 1.3 é uma importante ferramenta de criptografia que traz maior segurança e será capaz de suportar criptografia pós-quântica”, disse Cherilyn Pascoe, diretora do NCCoE. “Este projeto colaborativo se concentra em garantir que as organizações possam usar o TLS 1.3 para proteger seus dados e, ao mesmo tempo, atender aos requisitos de auditoria e segurança cibernética.”
O NIST está solicitando comentários públicos sobre o rascunho do guia prático até 1º de abril de 2024.
O protocolo TLS, desenvolvido pela IETF em 1996, é um componente essencial da segurança da Internet: num link web, sempre que vir o “s” no final de “https” indicando que o site é seguro, significa que o TLS está a fazer o seu trabalho. trabalho. O TLS permite-nos enviar dados através da vasta coleção de redes publicamente visíveis que chamamos de Internet, com a confiança de que ninguém poderá ver as nossas informações privadas, como uma palavra-passe ou número de cartão de crédito, quando as fornecemos a um site.
O TLS mantém a segurança da web protegendo as chaves criptográficas que permitem que usuários autorizados criptografem e descriptografem essas informações privadas para trocas seguras, ao mesmo tempo que evita que indivíduos não autorizados usem as chaves. O TLS tem sido altamente bem-sucedido na manutenção da segurança da Internet, e suas atualizações anteriores por meio do TLS 1.2 permitiram que as organizações mantivessem essas chaves em mãos por tempo suficiente para dar suporte à auditoria do tráfego de entrada da Web em busca de malware e outras tentativas de ataques cibernéticos.
No entanto, a iteração mais recente - TLS 1.3, lançado em 2018 — desafiou o subconjunto de empresas que são obrigadas por lei a realizar essas auditorias, porque a atualização 1.3 não oferece suporte às ferramentas que as organizações usam para acessar as chaves para fins de monitoramento e auditoria. Consequentemente, as empresas levantaram questões sobre como atender aos requisitos regulatórios, operacionais e de segurança empresarial para serviços críticos ao usar o TLS 1.3. É aí que entra o novo guia prático do NIST.
O guia oferece seis técnicas que oferecem às organizações um método para acessar as chaves e, ao mesmo tempo, proteger os dados contra acesso não autorizado. O TLS 1.3 elimina as chaves usadas para proteger as trocas na Internet à medida que os dados são recebidos, mas as abordagens do guia prático permitem essencialmente que uma organização retenha os dados brutos recebidos e os dados descriptografados por tempo suficiente para realizar o monitoramento de segurança. Essas informações são retidas em um servidor interno seguro para fins de auditoria e análise forense e são destruídas quando o processamento de segurança é concluído.
Embora existam riscos associados ao armazenamento das chaves mesmo neste ambiente confinado, o NIST desenvolveu o guia prático para demonstrar várias alternativas seguras às abordagens locais que podem aumentar estes riscos.
“O NIST não está mudando o TLS 1.3. Mas se as organizações quiserem encontrar uma maneira de manter essas chaves, queremos fornecer-lhes métodos seguros”, disse Murugiah Souppaya do NCCoE, um dos autores do guia. “Estamos demonstrando às organizações que possuem esse caso de uso como fazê-lo de maneira segura. Explicamos o risco de armazenar e reutilizar as chaves e mostramos às pessoas como usá-las com segurança, ao mesmo tempo que nos mantemos atualizados com o protocolo mais recente.”
O NCCoE está desenvolvendo o que eventualmente será um guia prático de cinco volumes. Atualmente estão disponíveis os dois primeiros volumes — o resumo executivo (SP 1800-37A) e uma descrição da implementação da solução (SP 1800-37B). Dos três volumes planejados, dois (SP 1800-37C e D) serão voltados para profissionais de TI que precisam de um guia prático e demonstrações da solução, enquanto o terceiro (SP 1800-37E) terá como foco o gerenciamento de riscos e conformidade. , mapeando componentes da arquitetura de visibilidade TLS 1.3 para características de segurança em diretrizes de segurança cibernética bem conhecidas.
Um FAQ está disponível para responder perguntas comuns. Para enviar comentários sobre o rascunho ou outras questões, entre em contato com os autores do guia prático em . Os comentários podem ser enviados até 1º de abril de 2024.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :tem
- :é
- :não
- :onde
- $UP
- 1
- 1.3
- 1996
- 2024
- a
- Capaz
- Sobre
- Acesso
- realizar
- aderente
- Todos os Produtos
- permitir
- permite
- alternativas
- an
- e
- responder
- se aproxima
- Abril
- arquitetura
- SOMOS
- AS
- associado
- At
- tentada
- auditor
- auditoria
- auditorias
- autorizado
- autores
- disponível
- BE
- Porque
- sido
- MELHOR
- melhores práticas
- Traz
- negócios
- mas a
- by
- chamada
- CAN
- cartão
- Cuidado
- casas
- Centralização de
- Centro de Excelência
- desafiado
- desafios
- mudança
- características
- colaborativo
- coleção
- vem
- comentários
- comum
- Efetuado
- compliance
- obedecer
- componente
- componentes
- confiança
- Consequentemente
- Contacto
- contida
- contínuo
- crédito
- cartão de crédito
- crítico
- criptografia
- criptografia
- Atualmente
- ataques cibernéticos
- Cíber segurança
- dados,
- Data
- Descifrar
- demonstrar
- demonstrando
- descrevendo
- descrição
- destruído
- desenvolvido
- em desenvolvimento
- Diretor
- do
- parece
- fazer
- rascunho
- Eficaz
- elimina
- habilitado
- criptografar
- criptografia
- final
- Engenharia
- suficiente
- assegurando
- Empreendimento
- segurança empresarial
- Meio Ambiente
- essencial
- essencialmente
- Mesmo
- eventualmente
- evidência
- Excelência
- Trocas
- executivo
- Explicação
- extenso
- Perguntas frequentes
- Moda
- financiar
- financeiro
- Encontre
- Primeiro nome
- Foco
- concentra-se
- seguir
- Escolha
- forense
- formulário
- da
- engrenado
- vai
- orientações
- guia
- orientações
- mão
- Ter
- Saúde
- Assistência médica
- ajudar
- ajuda
- altamente
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- if
- executar
- implementação
- importante
- in
- Entrada
- aumentou
- indivíduos
- indústrias
- indústria
- INFORMAÇÕES
- Instituto
- Pretendido
- interno
- Internet
- Internet Security
- envolvimento
- IT
- iteração
- ESTÁ
- Trabalho
- Guarda
- chaves
- conhecido
- mais recente
- Escritórios de
- LINK
- longo
- Manter
- mantém
- principal
- malwares
- de grupos
- maneira
- mapeamento
- Posso..
- significa
- Conheça
- reunião
- método
- métodos
- poder
- monitoração
- a maioria
- devo
- Nacional
- você merece...
- rede
- redes
- Novo
- nist
- não
- número
- observar
- of
- oferecer
- Oferece
- on
- ONE
- operacional
- or
- organização
- organizações
- Outros
- A Nossa
- Acima de
- participar
- Senha
- passado
- Pessoas
- Realizar
- atuação
- planejado
- platão
- Inteligência de Dados Platão
- PlatãoData
- prática
- práticas
- impedindo
- anterior
- privado
- informação privada
- em processamento
- projeto
- proteger
- protegido
- proteger
- proteção
- protocolo
- fornecer
- fornece
- público
- Publicação
- publicamente
- fins
- Frequentes
- angariado
- Cru
- recebido
- recentemente
- regulamentos
- reguladores
- liberado
- solicitando
- requerer
- requeridos
- Requisitos
- reter
- Risco
- riscos
- seguro
- seguramente
- Dito
- seguro
- assegurando
- segurança
- Vejo
- enviar
- servidor
- Servidores
- Serviços
- vários
- mostrar
- simultaneamente
- local
- SIX
- solução
- especial
- Patrocinado
- partes interessadas
- padrões
- estado-da-arte
- permanecendo
- Ainda
- armazenar
- enviar
- apresentado
- bem sucedido
- tal
- RESUMO
- ajuda
- Tarefa
- Dados Técnicos:
- técnicas
- Tecnologia
- que
- A
- deles
- Eles
- Lá.
- Este
- Terceiro
- isto
- três
- Através da
- para
- ferramenta
- ferramentas
- para
- tráfego
- viaja
- dois
- não autorizado
- até
- que vai mais à frente
- Atualizar
- Atualizações
- us
- usar
- caso de uso
- usava
- usuários
- utilização
- Grande
- fornecedores
- visibilidade
- visível
- volumes
- queremos
- foi
- Caminho..
- maneiras
- we
- web
- Segurança na Web
- Tráfego na Web
- Site
- bem conhecido
- O Quê
- quando
- sempre que
- enquanto
- QUEM
- precisarão
- de
- dentro
- anos
- Vocês
- zefirnet