ПРЕСС-РЕЛИЗ
Компании в крупных отраслях, таких как финансы и здравоохранение, должны следовать передовым методам мониторинга входящих данных на предмет кибератак. Новейший протокол интернет-безопасности, известный как TLS 1.3, обеспечивает современную защиту, но усложняет выполнение необходимых проверок данных. Национальный институт стандартов и технологий (NIST) выпустил практическое руководство, описывающее методы, которые призваны помочь этим отраслям внедрить TLS 1.3 и выполнить необходимый сетевой мониторинг и аудит безопасным, надежным и эффективным способом.
Новый проект практического руководства, Решение проблем видимости с помощью TLS 1.3 на предприятии (Специальная публикация NIST (SP) 1800-37), была разработана в течение последних нескольких лет в Национальном центре передового опыта в области кибербезопасности NIST (NCCoE) при активном участии поставщиков технологий, отраслевых организаций и других заинтересованных сторон, которые участвуют в Целевая группа Internet Engineering (IETF). В руководстве предлагаются технические методы, которые помогут предприятиям соблюдать самые современные способы защиты данных, которые передаются через общедоступный Интернет на их внутренние серверы, одновременно соблюдая правила финансовой отрасли и другие правила, которые требуют постоянного мониторинга и аудита этих данных. для доказательства наличия вредоносного ПО и других кибератак.
«TLS 1.3 — это важный инструмент шифрования, который обеспечивает повышенную безопасность и сможет поддерживать постквантовую криптографию», — сказала Шерилин Паско, директор NCCoE. «Этот совместный проект направлен на то, чтобы организации могли использовать TLS 1.3 для защиты своих данных, одновременно соблюдая требования аудита и кибербезопасности».
NIST запрашивает общественное мнение по проекту практического руководства до 1 апреля 2024 года.
Протокол TLS, разработанный IETF в 1996 году, является важным компонентом интернет-безопасности: всякий раз, когда в веб-ссылке вы видите букву «s» в конце «https», указывающую, что веб-сайт защищен, это означает, что TLS выполняет свою функцию. работа. TLS позволяет нам отправлять данные через обширную коллекцию общедоступных сетей, которые мы называем Интернетом, с уверенностью в том, что никто не сможет увидеть нашу личную информацию, такую как пароль или номер кредитной карты, когда мы предоставляем ее сайту.
TLS обеспечивает веб-безопасность, защищая криптографические ключи, которые позволяют авторизованным пользователям шифровать и расшифровывать эту личную информацию для безопасного обмена, при этом предотвращая использование ключей неавторизованными лицами. TLS очень успешно обеспечивает безопасность в Интернете, а его предыдущие обновления, вплоть до TLS 1.2, позволяли организациям хранить эти ключи под рукой достаточно долго, чтобы поддерживать аудит входящего веб-трафика на наличие вредоносных программ и других попыток кибератак.
Однако самая последняя итерация — TLS 1.3, выпущенный в 2018 г. — бросил вызов подмножеству предприятий, которые по закону обязаны проводить такие аудиты, поскольку обновление 1.3 не поддерживает инструменты, которые организации используют для доступа к ключам для целей мониторинга и аудита. Следовательно, у предприятий возникают вопросы о том, как удовлетворить требования корпоративной безопасности, эксплуатации и нормативные требования для критически важных сервисов при использовании TLS 1.3. Именно здесь на помощь приходит новое практическое руководство NIST.
Руководство предлагает шесть методов, которые предлагают организациям способ доступа к ключам, одновременно защищая данные от несанкционированного доступа. TLS 1.3 исключает ключи, используемые для защиты интернет-обмена при получении данных, но подходы практического руководства, по сути, позволяют организации сохранять необработанные полученные данные и данные в расшифрованной форме достаточно долго для осуществления мониторинга безопасности. Эта информация хранится на защищенном внутреннем сервере для целей аудита и криминалистики и уничтожается после завершения обработки безопасности.
Хотя существуют риски, связанные с хранением ключей даже в такой изолированной среде, NIST разработал практическое руководство, чтобы продемонстрировать несколько безопасных альтернатив отечественным подходам, которые могут повысить эти риски.
«NIST не меняет TLS 1.3. Но если организации собираются найти способ сохранить эти ключи, мы хотим предоставить им безопасные методы», — сказал Муругия Суппайя из NCCoE, один из авторов руководства. «Мы демонстрируем организациям, у которых есть этот вариант использования, как сделать это безопасным образом. Мы объясняем риск хранения и повторного использования ключей и показываем людям, как их безопасно использовать, сохраняя при этом новейший протокол».
NCCoE разрабатывает то, что в конечном итоге станет пятитомным практическим руководством. На данный момент доступны первые два тома — краткое изложение (SP 1800-37A) и описание реализации решения (SP 1800-37B). Из трех запланированных томов два (SP 1800-37C и D) будут ориентированы на ИТ-специалистов, которым необходимо практическое руководство и демонстрация решения, а третий (SP 1800-37E) будет посвящен управлению рисками и обеспечению соответствия требованиям. , сопоставляя компоненты архитектуры видимости TLS 1.3 с характеристиками безопасности в известных руководствах по кибербезопасности.
Доступен FAQ чтобы ответить на распространенные вопросы. Чтобы оставить комментарии к проекту или задать другие вопросы, свяжитесь с авторами практического руководства по адресу: . Комментарии можно подавать до 1 апреля 2024 г.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :имеет
- :является
- :нет
- :куда
- $UP
- 1
- 1.3
- 1996
- 2024
- a
- в состоянии
- О нас
- доступ
- выполнять
- придерживаясь
- Все
- позволять
- позволяет
- альтернативы
- an
- и
- ответ
- подходы
- апрель
- архитектура
- МЫ
- AS
- связанный
- At
- попытка
- аудит
- аудит
- аудит
- уполномоченный
- Авторы
- доступен
- BE
- , так как:
- было
- ЛУЧШЕЕ
- лучшие практики
- Приносит
- бизнес
- но
- by
- призывают
- CAN
- карта
- заботится
- случаев
- Центр
- Центр Совершенства
- вызов
- проблемы
- изменения
- характеристика
- совместный
- лыжных шлемов
- выходит
- Комментарии
- Общий
- Заполненная
- Соответствие закону
- соблюдать
- компонент
- компоненты
- доверие
- вследствие этого
- обращайтесь
- содержащегося
- (CIJ)
- кредит
- кредитная карта
- критической
- криптографический
- криптография
- В настоящее время
- кибератаки
- Информационная безопасность
- данным
- Время
- Decrypt
- демонстрировать
- демонстрирующий
- описывающих
- описание
- уничтожили
- развитый
- развивающийся
- директор
- do
- приносит
- дело
- проект
- Эффективный
- ликвидирует
- включен
- шифровать
- шифрование
- конец
- Проект и
- достаточно
- обеспечение
- Предприятие
- безопасность предприятия
- Окружающая среда
- существенный
- по существу
- Даже
- со временем
- , поскольку большинство сенаторов
- Превосходство
- Биржи
- исполнительный
- Объяснять
- обширный
- FAQ
- Фэшн
- финансы
- финансовый
- Найдите
- Во-первых,
- Фокус
- фокусируется
- следовать
- Что касается
- судебно-медицинская экспертиза
- форма
- от
- направленных
- будет
- руководство
- инструкция
- методические рекомендации
- рука
- Есть
- Медицина
- Товары для здоровья
- помощь
- помогает
- очень
- Как
- How To
- HTTPS
- if
- осуществлять
- реализация
- важную
- in
- Входящий
- расширились
- лиц
- промышленности
- промышленность
- информация
- Институт
- предназначенных
- в нашей внутренней среде,
- Интернет
- Internet Security
- участие
- IT
- итерация
- ЕГО
- работа
- Сохранить
- ключи
- известный
- последний
- закон
- LINK
- Длинное
- Сохранение
- поддерживает
- основной
- вредоносных программ
- управление
- способ
- отображение
- Май..
- означает
- Встречайте
- заседания
- метод
- методы
- может быть
- Мониторинг
- самых
- должен
- национальный
- Необходимость
- сеть
- сетей
- Новые
- NIST
- нет
- номер
- наблюдать
- of
- предлагают
- Предложения
- on
- ONE
- оперативный
- or
- организация
- организации
- Другое
- наши
- за
- участвовать
- Пароль
- мимо
- Люди
- Выполнять
- производительность
- запланированный
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- практика
- практиками
- предупреждение
- предыдущий
- частная
- личная информация
- обработка
- профессионалы
- Проект
- для защиты
- защищенный
- защищающий
- защиту
- протокол
- обеспечивать
- приводит
- что такое варган?
- Публикация
- публично
- целей
- Вопросы
- поднятый
- Сырье
- получила
- последний
- правила
- регуляторы
- выпустил
- запрашивающий
- требовать
- обязательный
- Требования
- сохранять
- Снижение
- рисках,
- безопасный
- безопасно
- Сказал
- безопасный
- обеспечение
- безопасность
- посмотреть
- Отправить
- сервер
- Серверы
- Услуги
- несколько
- показывать
- одновременно
- сайте
- ШЕСТЬ
- Решение
- особый
- Спонсоров
- заинтересованных сторон
- стандартов
- современное состояние
- пребывание
- По-прежнему
- хранение
- отправить
- представленный
- успешный
- такие
- РЕЗЮМЕ
- поддержка
- Сложность задачи
- Технический
- снижения вреда
- Технологии
- который
- Ассоциация
- их
- Их
- Там.
- Эти
- В третьих
- этой
- три
- Через
- в
- инструментом
- инструменты
- к
- трафик
- путешествия
- два
- неразрешенный
- до
- новейший
- Обновление ПО
- Updates
- us
- использование
- прецедент
- используемый
- пользователей
- через
- Огромная
- поставщики
- видимость
- видимый
- тома
- хотеть
- законопроект
- Путь..
- способы
- we
- Web
- Веб-безопасность
- Интернет-трафик
- Вебсайт
- известный
- Что
- когда
- когда бы ни
- в то время как
- КТО
- будете
- в
- лет
- Ты
- зефирнет