COMUNICAT DE PRESĂ
Companiile din industriile majore, cum ar fi finanțele și asistența medicală, trebuie să urmeze cele mai bune practici pentru monitorizarea datelor primite pentru atacuri cibernetice. Cel mai recent protocol de securitate pe internet, cunoscut sub numele de TLS 1.3, oferă protecție de ultimă generație, dar complică efectuarea acestor auditări de date necesare. Institutul Național de Standarde și Tehnologie (NIST) a lansat un ghid de practică care descrie metode care sunt menite să ajute aceste industrii să implementeze TLS 1.3 și să realizeze monitorizarea și auditul rețelei necesare într-un mod sigur, sigur și eficient.
Noul ghid de practică, Abordarea provocărilor de vizibilitate cu TLS 1.3 în cadrul întreprinderii (Publicație specială NIST (SP) 1800-37), a fost dezvoltat în ultimii câțiva ani la Centrul Național de Excelență pentru Securitate Cibernetică NIST (NCCoE) cu implicarea extinsă a furnizorilor de tehnologie, a organizațiilor din industrie și a altor părți interesate care participă la Task Force inginerie Internet (IETF). Ghidul oferă metode tehnice pentru a ajuta companiile să se conformeze cu cele mai recente modalități de securizare a datelor care circulă pe internetul public către serverele lor interne, respectând în același timp industria financiară și alte reglementări care necesită monitorizarea și auditarea continuă a acestor date. pentru dovezi de malware și alte atacuri cibernetice.
„TLS 1.3 este un instrument de criptare important care aduce o securitate sporită și va fi capabil să susțină criptografia post-cuantică”, a declarat Cherilyn Pascoe, directorul NCCoE. „Acest proiect de colaborare se concentrează pe asigurarea faptului că organizațiile pot folosi TLS 1.3 pentru a-și proteja datele în timp ce îndeplinesc cerințele pentru audit și securitate cibernetică.”
NIST solicită comentarii publice cu privire la proiectul ghidului de practică până la 1 aprilie 2024.
Protocolul TLS, dezvoltat de IETF în 1996, este o componentă esențială a securității internetului: într-un link web, de fiecare dată când vedeți „s” la sfârșitul lui „https” care indică că site-ul web este securizat, înseamnă că TLS își face loc de munca. TLS ne permite să trimitem date prin vasta colecție de rețele vizibile public pe care le numim internet, cu încrederea că nimeni nu poate vedea informațiile noastre private, cum ar fi o parolă sau un număr de card de credit, atunci când le furnizăm unui site.
TLS menține securitatea web prin protejarea cheilor criptografice care permit utilizatorilor autorizați să cripteze și să decripteze aceste informații private pentru schimburi securizate, toate în timp ce împiedică persoanele neautorizate să folosească cheile. TLS a avut un mare succes în menținerea securității pe internet, iar actualizările sale anterioare prin TLS 1.2 au permis organizațiilor să păstreze aceste chei la îndemână suficient de mult pentru a susține auditarea traficului web de intrare pentru malware și alte tentative de atac cibernetic.
Cu toate acestea, cea mai recentă iterație - TLS 1.3, lansat în 2018 — a contestat subgrupul de întreprinderi care sunt obligate prin lege să efectueze aceste audituri, deoarece actualizarea 1.3 nu acceptă instrumentele pe care organizațiile le folosesc pentru a accesa cheile în scopuri de monitorizare și audit. În consecință, companiile și-au ridicat întrebări despre cum să îndeplinească cerințele de securitate, operaționale și de reglementare ale întreprinderii pentru serviciile critice în timp ce folosesc TLS 1.3. Aici intervine noul ghid de practică al NIST.
Ghidul oferă șase tehnici care oferă organizațiilor o metodă de a accesa cheile, protejând în același timp datele de accesul neautorizat. TLS 1.3 elimină cheile folosite pentru a proteja schimburile de internet pe măsură ce datele sunt primite, dar abordările ghidului de practică permit în esență unei organizații să păstreze datele brute primite și datele în formă decriptată suficient de mult pentru a efectua monitorizarea securității. Aceste informații sunt păstrate într-un server intern securizat în scopuri de audit și criminalistică și sunt distruse atunci când procesarea de securitate este finalizată.
Deși există riscuri asociate cu stocarea cheilor chiar și în acest mediu conținut, NIST a dezvoltat ghidul de practică pentru a demonstra mai multe alternative sigure la abordările locale care ar putea spori aceste riscuri.
„NIST nu schimbă TLS 1.3. Dar dacă organizațiile vor găsi o modalitate de a păstra aceste chei, vrem să le oferim metode sigure”, a spus Murugiah Souppaya de la NCCoE, unul dintre autorii ghidului. „Demonstrăm organizațiilor care au acest caz de utilizare cum să o facă într-o manieră sigură. Le explicăm riscul stocării și reutilizarii cheilor și le arătăm oamenilor cum să le folosească în siguranță, rămânând în același timp la curent cu cel mai recent protocol.”
NCCoE dezvoltă ceea ce va fi în cele din urmă un ghid de practică în cinci volume. În prezent sunt disponibile primele două volume — rezumatul executiv (SP 1800-37A) și o descriere a implementării soluției (SP 1800-37B). Dintre cele trei volume planificate, două (SP 1800-37C și D) vor fi orientate către profesioniștii IT care au nevoie de un ghid și demonstrații ale soluției, în timp ce al treilea (SP 1800-37E) se va concentra pe managementul riscului și al conformității. , maparea componentelor arhitecturii de vizibilitate TLS 1.3 la caracteristicile de securitate în ghidurile de securitate cibernetică bine-cunoscute.
Este disponibilă o întrebare frecventă pentru a răspunde la întrebări obișnuite. Pentru a trimite comentarii la proiect sau alte întrebări, contactați autorii ghidului de practică la . Comentariile pot fi trimise până la 1 aprilie 2024.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :are
- :este
- :nu
- :Unde
- $UP
- 1
- 1.3
- 1996
- 2024
- a
- Capabil
- Despre Noi
- acces
- realiza
- aderare
- TOATE
- permite
- permite
- alternative
- an
- și
- răspunde
- abordari
- Aprilie
- arhitectură
- SUNT
- AS
- asociate
- At
- a încercat să
- de audit
- audit
- audituri
- autorizat
- Autorii
- disponibil
- BE
- deoarece
- fost
- CEL MAI BUN
- Cele mai bune practici
- Aduce
- întreprinderi
- dar
- by
- apel
- CAN
- card
- pasă
- caz
- Centru
- Centrul de excelență
- contestate
- provocări
- schimbarea
- Caracteristici
- colaborativ
- colectare
- vine
- comentarii
- Comun
- Terminat
- conformitate
- se conforma
- component
- componente
- încredere
- prin urmare
- contactați-ne
- conținute
- continuu
- credit
- card de credit
- critic
- criptografic
- criptografie
- În prezent
- atacuri cibernetice
- Securitate cibernetică
- de date
- Data
- decriptaţi
- demonstra
- demonstrând
- descriind
- descriere
- distrus
- dezvoltat
- în curs de dezvoltare
- Director
- do
- face
- face
- proiect
- Eficace
- elimină
- activat
- criptați
- criptare
- capăt
- Inginerie
- suficient de
- asigurare
- Afacere
- securitatea întreprinderii
- Mediu inconjurator
- esenţial
- În esență,
- Chiar
- în cele din urmă
- dovadă
- Excelență
- Platforme de tranzacţionare
- executiv
- Explica
- extensiv
- FAQ
- Modă
- finanţa
- financiar
- Găsi
- First
- Concentra
- se concentrează
- urma
- Pentru
- criminalistica
- formă
- din
- orientat
- merge
- îndrumare
- ghida
- orientări
- mână
- Avea
- Sănătate
- Sănătate
- ajutor
- ajută
- extrem de
- Cum
- Cum Pentru a
- HTTPS
- if
- punerea în aplicare a
- implementarea
- important
- in
- Intrare
- a crescut
- persoane fizice
- industrii
- industrie
- informații
- Institut
- destinate
- intern
- Internet
- Internet Security
- implicare
- IT
- repetare
- ESTE
- Loc de munca
- A pastra
- chei
- cunoscut
- Ultimele
- Drept
- LINK
- Lung
- Mentine
- susține
- major
- malware
- administrare
- manieră
- cartografiere
- Mai..
- mijloace
- Întâlni
- Reuniunea
- metodă
- Metode
- ar putea
- Monitorizarea
- cele mai multe
- trebuie sa
- național
- Nevoie
- reţea
- rețele
- Nou
- nist
- Nu.
- număr
- observa
- of
- oferi
- promoții
- on
- ONE
- operațional
- or
- organizație
- organizații
- Altele
- al nostru
- peste
- participa
- Parolă
- trecut
- oameni
- Efectua
- performanță
- planificat
- Plato
- Informații despre date Platon
- PlatoData
- practică
- practicile
- prevenirea
- precedent
- privat
- informații private
- prelucrare
- profesioniști
- proiect
- proteja
- protejat
- protectoare
- protecţie
- protocol
- furniza
- furnizează
- public
- Publicare
- public
- scopuri
- Întrebări
- ridicat
- Crud
- primit
- recent
- regulament
- autoritățile de reglementare
- eliberat
- solicitând
- necesita
- necesar
- Cerinţe
- reține
- Risc
- Riscurile
- sigur
- în siguranță
- Said
- sigur
- asigurarea
- securitate
- vedea
- trimite
- serverul
- Servere
- Servicii
- câteva
- Arăta
- simultan
- teren
- SIX
- soluţie
- special
- Sponsorizat
- părțile interesate
- standarde
- de ultimă oră
- ședere
- Încă
- stocarea
- prezenta
- prezentat
- de succes
- astfel de
- REZUMAT
- a sustine
- Sarcină
- Tehnic
- tehnici de
- Tehnologia
- acea
- lor
- Lor
- Acolo.
- Acestea
- Al treilea
- acest
- trei
- Prin
- la
- instrument
- Unelte
- spre
- trafic
- CĂLĂTORII
- Două
- neautorizat
- până la
- up-to-data
- Actualizează
- actualizări
- us
- utilizare
- carcasa de utilizare
- utilizat
- utilizatorii
- folosind
- Fixă
- furnizori
- vizibilitate
- vizibil
- volume
- vrea
- a fost
- Cale..
- modalități de
- we
- web
- Securitate Web
- Trafic web
- website
- bine cunoscut
- Ce
- cand
- oricând
- în timp ce
- OMS
- voi
- cu
- în
- ani
- Tu
- zephyrnet