Sporočilo za javnost
Podjetja v večjih panogah, kot sta finance in zdravstvo, morajo upoštevati najboljše prakse za spremljanje vhodnih podatkov za kibernetske napade. Najnovejši internetni varnostni protokol, znan kot TLS 1.3, zagotavlja najsodobnejšo zaščito, vendar otežuje izvedbo teh zahtevanih revizij podatkov. Nacionalni inštitut za standarde in tehnologijo (NIST) je izdal praktični vodnik, ki opisuje metode, ki naj bi tem industrijam pomagale implementirati TLS 1.3 in izvesti zahtevano spremljanje in revizijo omrežja na varen, zanesljiv in učinkovit način.
Novi osnutek praktičnega vodnika, Reševanje izzivov vidnosti s TLS 1.3 znotraj podjetja (Posebna publikacija NIST (SP) 1800-37), je bil v zadnjih nekaj letih razvit v Nacionalnem centru odličnosti za kibernetsko varnost (NCCoE) NIST z obsežno udeležbo prodajalcev tehnologije, industrijskih organizacij in drugih zainteresiranih strani, ki sodelujejo pri Internet Engineering Task Force (IETF). Smernice ponujajo tehnične metode za pomoč podjetjem pri zagotavljanju skladnosti z najsodobnejšimi načini varovanja podatkov, ki potujejo prek javnega interneta do njihovih notranjih strežnikov, ob hkratnem upoštevanju predpisov finančne industrije in drugih predpisov, ki zahtevajo stalno spremljanje in revizijo teh podatkov. za dokaz zlonamerne programske opreme in drugih kibernetskih napadov.
"TLS 1.3 je pomembno šifrirno orodje, ki prinaša večjo varnost in bo lahko podpiralo postkvantno kriptografijo," je povedala Cherilyn Pascoe, direktorica NCCoE. "Ta projekt sodelovanja se osredotoča na zagotavljanje, da lahko organizacije uporabljajo TLS 1.3 za zaščito svojih podatkov, hkrati pa izpolnjujejo zahteve glede revizije in kibernetske varnosti."
NIST zahteva javne komentarje o osnutku praktičnega vodnika do 1. aprila 2024.
Protokol TLS, ki ga je leta 1996 razvil IETF, je bistvena komponenta internetne varnosti: kadar koli v spletni povezavi vidite »s« na koncu »https«, kar pomeni, da je spletno mesto varno, to pomeni, da TLS opravlja svoje služba. TLS nam omogoča pošiljanje podatkov prek velike zbirke javno vidnih omrežij, ki jih imenujemo internet, z zaupanjem, da nihče ne more videti naših zasebnih podatkov, kot je geslo ali številka kreditne kartice, ko jih posredujemo spletnemu mestu.
TLS ohranja spletno varnost z zaščito kriptografskih ključev, ki pooblaščenim uporabnikom omogočajo šifriranje in dešifriranje teh zasebnih podatkov za varne izmenjave, hkrati pa nepooblaščenim posameznikom preprečujejo uporabo ključev. TLS je bil zelo uspešen pri vzdrževanju internetne varnosti in njegove prejšnje posodobitve do TLS 1.2 so organizacijam omogočile, da so imeli te ključe pri roki dovolj dolgo, da so podpirali nadzor dohodnega spletnega prometa glede zlonamerne programske opreme in drugih poskusov kibernetskih napadov.
Vendar pa najnovejša ponovitev – TLS 1.3, izdan leta 2018 — je izzval podmnožico podjetij, ki morajo po zakonu izvajati te revizije, ker posodobitev 1.3 ne podpira orodij, ki jih organizacije uporabljajo za dostop do ključev za namene spremljanja in revizije. Posledično so podjetja sprožila vprašanja o tem, kako izpolniti varnostne, operativne in regulativne zahteve podjetja za ključne storitve med uporabo TLS 1.3. Tu nastopi nov praktični vodnik NIST.
Priročnik ponuja šest tehnik, ki organizacijam ponujajo metodo za dostop do ključev, hkrati pa zaščitijo podatke pred nepooblaščenim dostopom. TLS 1.3 odpravlja ključe, ki se uporabljajo za zaščito internetnih izmenjav, ko so podatki prejeti, vendar pristopi vodnika za uporabo v bistvu omogočajo organizaciji, da obdrži neobdelane prejete podatke in podatke v dešifrirani obliki dovolj dolgo, da izvaja varnostni nadzor. Te informacije se hranijo v varnem notranjem strežniku za namene revizije in forenzike in se uničijo, ko je varnostna obdelava končana.
Medtem ko obstajajo tveganja, povezana s shranjevanjem ključev tudi v tem zaprtem okolju, je NIST razvil priročnik za uporabo, da bi prikazal več varnih alternativ domačim pristopom, ki bi lahko povečali ta tveganja.
»NIST ne spreminja TLS 1.3. Če pa bodo organizacije našle način, kako obdržati te ključe, jim želimo zagotoviti varne metode,« je dejal Murugiah Souppaya iz NCCoE, eden od avtorjev vodnika. »Organizacijam, ki imajo ta primer uporabe, prikazujemo, kako to storiti na varen način. Pojasnjujemo tveganje shranjevanja in ponovne uporabe ključev in ljudem pokažemo, kako jih varno uporabljati, hkrati pa ostajamo na tekočem z najnovejšim protokolom.«
NCCoE razvija nekaj, kar bo sčasoma petdelni praktični vodnik. Trenutno sta na voljo prva dva zvezka — povzetek (SP 1800-37A) in opis implementacije rešitve (SP 1800-37B). Od treh načrtovanih zvezkov bosta dva (SP 1800-37C in D) namenjena strokovnjakom za IT, ki potrebujejo navodila in predstavitve rešitve, medtem ko se bo tretji (SP 1800-37E) osredotočal na upravljanje tveganj in skladnosti. , preslikavo komponent arhitekture vidnosti TLS 1.3 v varnostne značilnosti v dobro znanih smernicah za kibernetsko varnost.
Na voljo so pogosta vprašanja za odgovore na pogosta vprašanja. Če želite predložiti pripombe na osnutek ali druga vprašanja, se obrnite na avtorje priročnika za uporabo na . Pripombe lahko oddate do 1. aprila 2024.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :ima
- : je
- :ne
- :kje
- $GOR
- 1
- 1.3
- 1996
- 2024
- a
- Sposobna
- O meni
- dostop
- doseganje
- spoštovanje
- vsi
- omogočajo
- omogoča
- alternative
- an
- in
- odgovor
- pristopi
- april
- Arhitektura
- SE
- AS
- povezan
- At
- poskus
- Revizija
- revidiranje
- revizije
- pooblaščeni
- Avtorji
- Na voljo
- BE
- ker
- bilo
- BEST
- najboljše prakse
- Prinaša
- podjetja
- vendar
- by
- klic
- CAN
- kartice
- ki
- primeru
- center
- Center odličnosti
- izpodbijano
- izzivi
- spreminjanje
- lastnosti
- sodelovanje
- zbirka
- prihaja
- komentarji
- Skupno
- Končana
- skladnost
- izpolnjujejo
- komponenta
- deli
- zaupanje
- Posledično
- kontakt
- vseboval
- neprekinjeno
- kredit
- kreditne kartice
- kritično
- kriptografijo
- kriptografija
- Trenutno
- kibernetski napadi
- Cybersecurity
- datum
- Datum
- Dešifriraj
- izkazati
- dokazuje
- Opisuje
- opis
- uničeni
- razvili
- razvoju
- Direktor
- do
- ne
- tem
- Osnutek
- Učinkovito
- odpravlja
- omogočena
- šifriranje
- šifriranje
- konec
- Inženiring
- dovolj
- zagotoviti
- Podjetje
- varnost podjetja
- okolje
- bistvena
- v bistvu
- Tudi
- sčasoma
- dokazi
- Odličnost
- Izmenjave
- izvršni
- Pojasnite
- obsežen
- FAQ
- Moda
- financiranje
- finančna
- Najdi
- prva
- Osredotočite
- Osredotoča
- sledi
- za
- forenzike
- obrazec
- iz
- usmerjena
- dogaja
- Navodila
- vodi
- Smernice
- strani
- Imajo
- Zdravje
- Health Care
- pomoč
- Pomaga
- zelo
- Kako
- Kako
- HTTPS
- if
- izvajati
- Izvajanje
- Pomembno
- in
- Dohodni
- povečal
- posamezniki
- industrij
- Industrija
- Podatki
- Inštitut
- namenjen
- notranji
- Internet
- Internet Security
- sodelovanje
- IT
- ponovitev
- ITS
- Job
- Imejte
- tipke
- znano
- Zadnji
- zakon
- LINK
- Long
- vzdrževanje
- vzdržuje
- velika
- zlonamerna programska oprema
- upravljanje
- Način
- kartiranje
- Maj ..
- pomeni
- Srečati
- srečanja
- Metoda
- Metode
- morda
- spremljanje
- Najbolj
- morajo
- nacionalni
- Nimate
- mreža
- omrežij
- Novo
- nst
- št
- Številka
- opazujejo
- of
- ponudba
- Ponudbe
- on
- ONE
- operativno
- or
- Organizacija
- organizacije
- Ostalo
- naši
- več
- sodelovanje
- Geslo
- preteklosti
- ljudje
- Izvedite
- performance
- načrtovano
- platon
- Platonova podatkovna inteligenca
- PlatoData
- praksa
- vaje
- preprečevanje
- prejšnja
- zasebna
- zasebnih podatkov
- obravnavati
- strokovnjaki
- Projekt
- zaščito
- zaščiteni
- zaščito
- zaščita
- protokol
- zagotavljajo
- zagotavlja
- javnega
- Objava
- javno
- namene
- vprašanja
- postavljeno
- Surovi
- prejetih
- nedavno
- predpisi
- regulatorni
- sprosti
- zahtevajo
- zahteva
- obvezna
- Zahteve
- ohranijo
- Tveganje
- tveganja
- varna
- varno
- Je dejal
- zavarovanje
- zavarovanje
- varnost
- glej
- pošljite
- strežnik
- Strežniki
- Storitve
- več
- Prikaži
- hkrati
- spletna stran
- SIX
- Rešitev
- posebna
- Sponzorirane
- interesne skupine
- standardi
- state-of-the-art
- ostati
- Še vedno
- shranjevanje
- predloži
- predložen
- uspešno
- taka
- POVZETEK
- podpora
- Naloga
- tehnični
- tehnike
- Tehnologija
- da
- O
- njihove
- Njih
- Tukaj.
- te
- tretja
- ta
- 3
- skozi
- do
- orodje
- orodja
- proti
- Prometa
- potovanja
- dva
- nepooblaščeno
- dokler
- up-to-date
- Nadgradnja
- posodobitve
- us
- uporaba
- primeru uporabe
- Rabljeni
- Uporabniki
- uporabo
- Popravljeno
- prodajalci
- vidljivost
- vidna
- prostornine
- želeli
- je
- način..
- načini
- we
- web
- Spletna varnost
- Spletni promet
- Spletna stran
- dobro znana
- Kaj
- kdaj
- kadar koli
- medtem
- WHO
- bo
- z
- v
- let
- Vi
- zefirnet