PRESSRELEASE
Företag inom stora branscher som finans och hälsovård måste följa bästa praxis för att övervaka inkommande data för cyberattacker. Det senaste internetsäkerhetsprotokollet, känt som TLS 1.3, ger toppmodernt skydd, men komplicerar utförandet av dessa nödvändiga datarevisioner. National Institute of Standards and Technology (NIST) har släppt en övningsguide som beskriver metoder som är avsedda att hjälpa dessa industrier att implementera TLS 1.3 och utföra den nödvändiga nätverksövervakningen och revisionen på ett säkert, säkert och effektivt sätt.
Det nya utkastet till övningsguide, Ta itu med synlighetsutmaningar med TLS 1.3 inom företaget (NIST Special Publication (SP) 1800-37), utvecklades under de senaste åren vid NIST National Cybersecurity Center of Excellence (NCCoE) med omfattande engagemang från teknikleverantörer, branschorganisationer och andra intressenter som deltar i Internet Engineering Task Force (IETF). Vägledningen erbjuder tekniska metoder för att hjälpa företag att följa de mest uppdaterade sätten att säkra data som färdas över det offentliga internet till deras interna servrar, samtidigt som de följer finansbranschen och andra regler som kräver kontinuerlig övervakning och revision av dessa data för bevis på skadlig programvara och andra cyberattacker.
"TLS 1.3 är ett viktigt krypteringsverktyg som ger ökad säkerhet och kommer att kunna stödja post-kvantkryptering", säger Cherilyn Pascoe, chef för NCCoE. "Det här samarbetsprojektet fokuserar på att säkerställa att organisationer kan använda TLS 1.3 för att skydda sina data samtidigt som de uppfyller kraven för revision och cybersäkerhet."
NIST begär offentliga kommentarer till utkastet till övningsguide senast den 1 april 2024.
TLS-protokollet, utvecklat av IETF 1996, är en viktig komponent för internetsäkerhet: I en webblänk, när du ser "s" i slutet av "https" som indikerar att webbplatsen är säker, betyder det att TLS gör sin jobb. TLS tillåter oss att skicka data över den stora samlingen av offentligt synliga nätverk som vi kallar internet med förtroende för att ingen kan se vår privata information, såsom ett lösenord eller kreditkortsnummer, när vi tillhandahåller den till en webbplats.
TLS upprätthåller webbsäkerhet genom att skydda de kryptografiska nycklarna som gör det möjligt för behöriga användare att kryptera och dekryptera denna privata information för säkra utbyten, allt samtidigt som det förhindrar obehöriga personer från att använda nycklarna. TLS har varit mycket framgångsrika med att upprätthålla internetsäkerhet, och dess tidigare uppdateringar upp genom TLS 1.2 gjorde det möjligt för organisationer att hålla dessa nycklar till hands tillräckligt länge för att stödja granskning av inkommande webbtrafik för skadlig programvara och andra försök till cyberattacker.
Men den senaste iterationen — TLS 1.3, släppt 2018 — har utmanat den delmängd av företag som enligt lag är skyldiga att utföra dessa revisioner, eftersom 1.3-uppdateringen inte stöder de verktyg som organisationerna använder för att komma åt nycklarna för övervaknings- och revisionsändamål. Följaktligen har företag ställt frågor om hur man uppfyller företagssäkerhets-, drift- och regulatoriska krav för kritiska tjänster när de använder TLS 1.3. Det är där NIST:s nya övningsguide kommer in.
Guiden erbjuder sex tekniker som erbjuder organisationer en metod att komma åt nycklarna och samtidigt skydda data från obehörig åtkomst. TLS 1.3 eliminerar nycklar som används för att skydda internetutbyten när data tas emot, men övningsguidens tillvägagångssätt tillåter i huvudsak en organisation att behålla de mottagna rådata och data i dekrypterad form tillräckligt länge för att utföra säkerhetsövervakning. Denna information bevaras på en säker intern server för revision och kriminaltekniska ändamål och förstörs när säkerhetsbehandlingen är klar.
Även om det finns risker förknippade med att lagra nycklarna även i den här inneslutna miljön, utvecklade NIST övningsguiden för att demonstrera flera säkra alternativ till hemodlade metoder som kan öka dessa risker.
"NIST ändrar inte TLS 1.3. Men om organisationer ska hitta ett sätt att behålla dessa nycklar, vill vi förse dem med säkra metoder, säger NCCoE:s Murugiah Souppaya, en av guidens författare. "Vi visar för organisationer som har det här användningsfallet hur man gör det på ett säkert sätt. Vi förklarar risken med att lagra och återanvända nycklarna, och visar människor hur man använder dem på ett säkert sätt, samtidigt som vi håller oss uppdaterade med det senaste protokollet.”
NCCoE håller på att utveckla vad som så småningom kommer att bli en övningsguide i fem volymer. För närvarande tillgängliga är de två första volymerna — den verkställande sammanfattningen (SP 1800-37A) och en beskrivning av lösningens implementering (SP 1800-37B). Av de tre planerade volymerna kommer två (SP 1800-37C och D) att vara inriktade på IT-proffs som behöver en vägledning och demonstrationer av lösningen, medan den tredje (SP 1800-37E) kommer att fokusera på risk- och efterlevnadshantering , mappar komponenter i TLS 1.3 synlighetsarkitekturen till säkerhetsegenskaper i välkända riktlinjer för cybersäkerhet.
En FAQ finns tillgänglig att svara på vanliga frågor. För att lämna synpunkter på utkastet eller andra frågor, kontakta övningsguidens författare på . Synpunkter kan lämnas fram till den 1 april 2024.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- : har
- :är
- :inte
- :var
- $UPP
- 1
- 1.3
- 1996
- 2024
- a
- Able
- Om oss
- tillgång
- åstadkomma
- vidhäftande
- Alla
- tillåter
- tillåter
- alternativ
- an
- och
- svara
- tillvägagångssätt
- April
- arkitektur
- ÄR
- AS
- associerad
- At
- försökte
- revision
- revision
- revisioner
- tillstånd
- Författarna
- tillgänglig
- BE
- därför att
- varit
- BÄST
- bästa praxis
- Bringar
- företag
- men
- by
- Ring
- KAN
- kortet
- vilken
- Vid
- Centrum
- Kompetenscentrum
- utmanade
- utmaningar
- byte
- egenskaper
- samarbete
- samling
- kommer
- kommentarer
- Gemensam
- Avslutade
- Efterlevnad
- följa
- komponent
- komponenter
- förtroende
- Följaktligen
- kontakta
- innehöll
- kontinuerlig
- kredit
- kreditkort
- kritisk
- kryptografisk
- kryptografi
- För närvarande
- cyberattack
- Cybersäkerhet
- datum
- Datum
- Avkryptera
- demonstrera
- demonstrera
- beskriver
- beskrivning
- förstördes
- utvecklade
- utveckla
- Direktör
- do
- gör
- gör
- utkast
- Effektiv
- eliminerar
- aktiverad
- kryptera
- kryptering
- änden
- Teknik
- tillräckligt
- säkerställa
- Företag
- företagets säkerhet
- Miljö
- väsentlig
- väsentligen
- Även
- så småningom
- bevis
- Excellence
- Utbyten
- verkställande
- Förklara
- omfattande
- FAQ
- Mode
- finansiering
- finansiella
- hitta
- Förnamn
- Fokus
- fokuserar
- följer
- För
- kriminalteknik
- formen
- från
- utrustad
- kommer
- vägleda
- styra
- riktlinjer
- sidan
- Har
- Hälsa
- Hälsovård
- hjälpa
- hjälper
- höggradigt
- Hur ser din drömresa ut
- How To
- HTTPS
- if
- genomföra
- genomförande
- med Esport
- in
- Inkommande
- ökat
- individer
- industrier
- industrin
- informationen
- Institute
- avsedd
- inre
- Internet
- Internet Security
- inblandning
- IT
- iteration
- DESS
- Jobb
- Ha kvar
- nycklar
- känd
- senaste
- Lag
- LINK
- Lång
- upprätthålla
- upprätthåller
- större
- malware
- ledning
- sätt
- kartläggning
- Maj..
- betyder
- Möt
- möte
- metod
- metoder
- kanske
- övervakning
- mest
- måste
- nationell
- Behöver
- nät
- nätverk
- Nya
- NIST
- Nej
- antal
- observera
- of
- erbjudanden
- Erbjudanden
- on
- ONE
- operativa
- or
- organisation
- organisationer
- Övriga
- vår
- över
- delta
- Lösenord
- Tidigare
- Personer
- Utföra
- prestanda
- planeras
- plato
- Platon Data Intelligence
- PlatonData
- praktiken
- praxis
- förebyggande
- föregående
- privat
- privat information
- bearbetning
- yrkesmän/kvinnor
- projektet
- skydda
- skyddad
- skydda
- skydd
- protokoll
- ge
- ger
- allmän
- Offentliggörande
- publicly
- syfte
- frågor
- insamlat
- Raw
- mottagna
- senaste
- föreskrifter
- regulatorer
- frigörs
- begärande
- kräver
- Obligatorisk
- Krav
- behålla
- Risk
- risker
- säker
- på ett säkert sätt
- Nämnda
- säkra
- säkring
- säkerhet
- se
- sända
- server
- Servrar
- Tjänster
- flera
- show
- samtidigt
- webbplats
- SEX
- lösning
- speciell
- Sponsrade
- intressenter
- standarder
- state-of-the-art
- vistas
- Fortfarande
- misslyckande
- skicka
- lämnats
- framgångsrik
- sådana
- SAMMANFATTNING
- stödja
- uppgift
- Teknisk
- tekniker
- Teknologi
- den där
- Smakämnen
- deras
- Dem
- Där.
- Dessa
- Tredje
- detta
- tre
- Genom
- till
- verktyg
- verktyg
- mot
- trafik
- reser
- två
- obehörig
- tills
- TIDSENLIG
- Uppdatering
- Uppdateringar
- us
- användning
- användningsfall
- Begagnade
- användare
- med hjälp av
- Omfattande
- försäljare
- synlighet
- synlig
- volymer
- vill
- var
- Sätt..
- sätt
- we
- webb
- Webbsäkerhet
- Webbtrafik
- Webbplats
- ALLBEKANT
- Vad
- när
- närhelst
- medan
- VEM
- kommer
- med
- inom
- år
- Om er
- zephyrnet