ПРЕС-РЕЛІЗ
Компанії у таких основних галузях, як фінанси та охорона здоров’я, повинні дотримуватися найкращих практик моніторингу вхідних даних на предмет кібератак. Найновіший протокол безпеки в Інтернеті, відомий як TLS 1.3, забезпечує найсучасніший захист, але ускладнює виконання цих необхідних перевірок даних. Національний інститут стандартів і технологій (NIST) випустив практичний посібник із описом методів, які мають допомогти цим галузям запровадити TLS 1.3 і виконати необхідний моніторинг і аудит мережі безпечним, надійним і ефективним способом.
Новий проект практичного посібника, Вирішення проблем видимості за допомогою TLS 1.3 на підприємстві (Спеціальна публікація NIST (SP) 1800-37), була розроблена протягом останніх кількох років у Національному центрі передового досвіду з кібербезпеки NIST (NCCoE) за участю постачальників технологій, галузевих організацій та інших зацікавлених сторін, які беруть участь у Інженерна робоча група Інтернету (IETF). Керівництво пропонує технічні методи, які допоможуть компаніям дотримуватися найсучасніших способів захисту даних, які передаються через загальнодоступний Інтернет на їхні внутрішні сервери, одночасно дотримуючись норм фінансової індустрії та інших нормативних актів, які вимагають постійного моніторингу та аудиту цих даних. для доказів шкідливого програмного забезпечення та інших кібератак.
«TLS 1.3 — це важливий інструмент шифрування, який забезпечує підвищену безпеку та зможе підтримувати постквантову криптографію», — сказала Шерілін Паскоу, директор NCCoE. «Цей спільний проект спрямований на забезпечення того, щоб організації могли використовувати TLS 1.3 для захисту своїх даних, одночасно відповідаючи вимогам щодо аудиту та кібербезпеки».
NIST просить публічних коментарів щодо проекту практичного посібника до 1 квітня 2024 року.
Протокол TLS, розроблений IETF у 1996 році, є важливим компонентом безпеки в Інтернеті: щоразу, коли у веб-посиланні ви бачите «s» у кінці «https», що вказує на те, що веб-сайт безпечний, це означає, що TLS виконує свої функції. робота. TLS дозволяє нам надсилати дані через величезну колекцію загальнодоступних мереж, які ми називаємо Інтернетом, з упевненістю, що ніхто не зможе побачити нашу особисту інформацію, таку як пароль або номер кредитної картки, коли ми надаємо її сайту.
TLS підтримує веб-безпеку, захищаючи криптографічні ключі, які дозволяють авторизованим користувачам шифрувати та розшифровувати цю особисту інформацію для безпечного обміну, одночасно запобігаючи використанню ключів неавторизованими особами. TLS був дуже успішним у підтримці безпеки в Інтернеті, і його попередні оновлення до TLS 1.2 дозволили організаціям зберігати ці ключі під рукою достатньо довго, щоб підтримувати аудит вхідного веб-трафіку на наявність зловмисного програмного забезпечення та інших спроб кібератак.
Однак остання ітерація — TLS 1.3, випущений у 2018 році — кинув виклик підмножині підприємств, які згідно із законом зобов’язані виконувати ці аудити, оскільки оновлення 1.3 не підтримує інструменти, які організації використовують для доступу до ключів для цілей моніторингу та аудиту. У зв’язку з цим у компаній виникають питання про те, як відповідати корпоративним вимогам щодо безпеки, операційним і нормативним вимогам для критично важливих послуг під час використання TLS 1.3. Саме тут на допомогу приходить новий практичний посібник NIST.
Посібник пропонує шість методів, які пропонують організаціям метод доступу до ключів, одночасно захищаючи дані від несанкціонованого доступу. TLS 1.3 усуває ключі, які використовуються для захисту інтернет-обміну під час отримання даних, але підходи практичного посібника по суті дозволяють організації зберігати необроблені отримані дані та дані в розшифрованому вигляді достатньо довго для здійснення моніторингу безпеки. Ця інформація зберігається на захищеному внутрішньому сервері для цілей аудиту та криміналістики та знищується після завершення обробки безпеки.
Хоча існують ризики, пов’язані зі зберіганням ключів навіть у цьому замкнутому середовищі, NIST розробив практичний посібник, щоб продемонструвати кілька безпечних альтернатив домашнім підходам, які можуть посилити ці ризики.
«NIST не змінює TLS 1.3. Але якщо організації збираються знайти спосіб зберігати ці ключі, ми хочемо надати їм безпечні методи», — сказав Муругія Суппая з NCCoE, один із авторів посібника. «Ми демонструємо організаціям, які мають цей варіант використання, як це зробити безпечним способом. Ми пояснюємо ризики зберігання та повторного використання ключів і показуємо людям, як ними безпечно користуватися, залишаючись при цьому в курсі найновіших протоколів».
NCCoE розробляє те, що з часом стане практичним посібником у п’яти томах. Наразі доступні перші два томи — анотація (СП 1800-37А) та опис реалізації рішення (СП 1800-37Б). З трьох запланованих томів два (SP 1800-37C і D) будуть орієнтовані на ІТ-фахівців, яким потрібні інструкції та демонстрації рішення, тоді як третій (SP 1800-37E) буде зосереджений на управлінні ризиками та відповідністю. , зіставляючи компоненти архітектури видимості TLS 1.3 із характеристиками безпеки у добре відомих рекомендаціях із кібербезпеки.
Доступний FAQ щоб відповісти на типові запитання. Щоб надіслати коментарі до проекту або інші запитання, звертайтеся до авторів практичного посібника за адресою . Зауваження можна подавати до 1 квітня 2024 року.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- : має
- :є
- : ні
- :де
- $UP
- 1
- 1.3
- 1996
- 2024
- a
- Здатний
- МЕНЮ
- доступ
- виконувати
- дотримуючись
- ВСІ
- дозволяти
- дозволяє
- альтернативи
- an
- та
- відповідь
- підходи
- квітня
- архітектура
- ЕСТЬ
- AS
- асоційований
- At
- спробував
- аудит
- аудит
- аудит
- уповноважений
- authors
- доступний
- BE
- оскільки
- було
- КРАЩЕ
- передового досвіду
- Приносить
- підприємства
- але
- by
- call
- CAN
- карта
- який
- випадок
- Центр
- Центр передового досвіду
- виклик
- проблеми
- заміна
- характеристика
- спільний
- збір
- приходить
- коментарі
- загальний
- Зроблено
- дотримання
- дотримуватися
- компонент
- Компоненти
- довіра
- Отже
- контакт
- містяться
- безперервний
- кредит
- кредитна картка
- критичний
- криптографічні
- криптографія
- В даний час
- кібератаки
- Кібербезпека
- дані
- Дата
- Розшифрувати
- демонструвати
- демонстрація
- описують
- description
- зруйнований
- розвиненою
- розвивається
- Директор
- do
- робить
- справи
- проект
- Ефективний
- Усуває
- включений
- шифрувати
- шифрування
- кінець
- Машинобудування
- досить
- забезпечення
- підприємство
- безпека підприємства
- Навколишнє середовище
- істотний
- по суті
- Навіть
- врешті-решт
- докази
- Перевага
- Біржі
- виконавчий
- Пояснювати
- обширний
- FAQ
- мода
- фінансування
- фінансовий
- знайти
- Перший
- Сфокусувати
- фокусується
- стежити
- для
- судово-медичної експертизи
- форма
- від
- орієнтована
- буде
- керівництво
- керівництво
- керівні вказівки
- рука
- Мати
- здоров'я
- Охорона здоров'я
- допомога
- допомагає
- дуже
- Як
- How To
- HTTPS
- if
- здійснювати
- реалізація
- важливо
- in
- Вхідний
- збільшений
- осіб
- промисловості
- промисловість
- інформація
- Інститут
- призначених
- внутрішній
- інтернет
- Internet Security
- участь
- IT
- ітерація
- ЙОГО
- робота
- тримати
- ключі
- відомий
- останній
- закон
- LINK
- Довго
- Підтримка
- підтримує
- основний
- шкідливих програм
- управління
- манера
- відображення
- Може..
- засоби
- Зустрічатися
- засідання
- метод
- методика
- може бути
- моніторинг
- найбільш
- повинен
- National
- Необхідність
- мережу
- мереж
- Нові
- nist
- немає
- номер
- спостерігати
- of
- пропонувати
- Пропозиції
- on
- ONE
- оперативний
- or
- організація
- організації
- Інше
- наші
- над
- брати участь
- Пароль
- Минуле
- Люди
- Виконувати
- продуктивність
- запланований
- plato
- Інформація про дані Платона
- PlatoData
- практика
- практики
- попередження
- попередній
- приватний
- приватна інформація
- обробка
- професіонали
- проект
- захист
- захищений
- захищає
- захист
- протокол
- забезпечувати
- забезпечує
- громадськість
- Публікація
- публічно
- цілей
- питань
- піднятий
- Сировина
- отримано
- останній
- правила
- регуляторні
- випущений
- прохання
- вимагати
- вимагається
- Вимога
- зберігати
- Risk
- ризики
- сейф
- безпечно
- Зазначений
- безпечний
- забезпечення
- безпеку
- побачити
- послати
- сервер
- Сервери
- Послуги
- кілька
- Показувати
- одночасно
- сайт
- SIX
- рішення
- спеціальний
- Рекламні
- зацікавлених сторін
- стандартів
- впроваджений
- перебування
- Як і раніше
- зберігання
- представляти
- представлений
- успішний
- такі
- РЕЗЮМЕ
- підтримка
- Завдання
- технічний
- методи
- Технологія
- Що
- Команда
- їх
- Їх
- Там.
- Ці
- третій
- це
- три
- через
- до
- інструмент
- інструменти
- до
- трафік
- мандри
- два
- несанкціонований
- до
- відповідний сучасним вимогам
- Оновити
- Updates
- us
- використання
- використання випадку
- використовуваний
- користувачі
- використання
- величезний
- постачальники
- видимість
- видимий
- Обсяги
- хотіти
- було
- шлях..
- способи
- we
- Web
- Веб-безпека
- Веб-трафік
- веб-сайт
- добре відомі
- Що
- коли
- коли б ні
- в той час як
- ВООЗ
- волі
- з
- в
- років
- Ти
- зефірнет