THÔNG CÁO BÁO CHÍ
Các công ty trong các ngành công nghiệp chính như tài chính và chăm sóc sức khỏe phải tuân theo các phương pháp hay nhất để giám sát dữ liệu đến trước các cuộc tấn công mạng. Giao thức bảo mật internet mới nhất, được gọi là TLS 1.3, cung cấp khả năng bảo vệ tiên tiến nhưng làm phức tạp hiệu suất của các hoạt động kiểm tra dữ liệu bắt buộc này. Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã phát hành hướng dẫn thực hành mô tả các phương pháp nhằm giúp các ngành này triển khai TLS 1.3 và hoàn thành việc giám sát và kiểm tra mạng cần thiết một cách an toàn, bảo mật và hiệu quả.
Dự thảo hướng dẫn thực hành mới, Giải quyết các thách thức về khả năng hiển thị với TLS 1.3 trong Doanh nghiệp (Ấn phẩm đặc biệt của NIST (SP) 1800-37), được phát triển trong nhiều năm qua tại Trung tâm An ninh mạng Quốc gia Xuất sắc (NCCoE) của NIST với sự tham gia sâu rộng của các nhà cung cấp công nghệ, tổ chức công nghiệp và các bên liên quan khác tham gia vào dự án. Internet Engineering Task Force (IETF). Hướng dẫn này đưa ra các phương pháp kỹ thuật giúp doanh nghiệp tuân thủ các cách bảo mật dữ liệu cập nhật nhất truyền qua internet công cộng đến máy chủ nội bộ của họ, đồng thời tuân thủ ngành tài chính và các quy định khác yêu cầu giám sát và kiểm tra liên tục dữ liệu này để tìm bằng chứng về phần mềm độc hại và các cuộc tấn công mạng khác.
Cherilyn Pascoe, giám đốc NCCoE cho biết: “TLS 1.3 là một công cụ mã hóa quan trọng giúp tăng cường tính bảo mật và có thể hỗ trợ mật mã hậu lượng tử”. “Dự án hợp tác này tập trung vào việc đảm bảo rằng các tổ chức có thể sử dụng TLS 1.3 để bảo vệ dữ liệu của họ đồng thời đáp ứng các yêu cầu về kiểm toán và an ninh mạng.”
NIST đang yêu cầu công chúng lấy ý kiến về dự thảo hướng dẫn thực hành trước ngày 1 tháng 2024 năm XNUMX.
Giao thức TLS, do IETF phát triển năm 1996, là một thành phần thiết yếu của bảo mật Internet: Trong một liên kết web, bất cứ khi nào bạn nhìn thấy “s” ở cuối “https” cho biết trang web đó an toàn, điều đó có nghĩa là TLS đang thực hiện nhiệm vụ của mình. công việc. TLS cho phép chúng tôi gửi dữ liệu qua bộ sưu tập khổng lồ các mạng hiển thị công khai mà chúng tôi gọi là internet với sự tự tin rằng không ai có thể xem thông tin cá nhân của chúng tôi, chẳng hạn như mật khẩu hoặc số thẻ tín dụng, khi chúng tôi cung cấp thông tin đó cho một trang web.
TLS duy trì bảo mật web bằng cách bảo vệ các khóa mật mã cho phép người dùng được ủy quyền mã hóa và giải mã thông tin cá nhân này để trao đổi an toàn, đồng thời ngăn chặn các cá nhân trái phép sử dụng khóa. TLS đã rất thành công trong việc duy trì bảo mật internet và các bản cập nhật trước đó của nó thông qua TLS 1.2 đã cho phép các tổ chức giữ các khóa này đủ lâu để hỗ trợ kiểm tra lưu lượng truy cập web đến để phát hiện phần mềm độc hại và các nỗ lực tấn công mạng khác.
Tuy nhiên, lần lặp lại gần đây nhất - TLS 1.3, phát hành năm 2018 — đã thách thức một nhóm nhỏ các doanh nghiệp được pháp luật yêu cầu thực hiện các cuộc kiểm tra này vì bản cập nhật 1.3 không hỗ trợ các công cụ mà tổ chức sử dụng để truy cập vào khóa cho mục đích giám sát và kiểm tra. Do đó, các doanh nghiệp đã đặt ra câu hỏi về cách đáp ứng các yêu cầu về bảo mật, vận hành và quy định của doanh nghiệp đối với các dịch vụ quan trọng khi sử dụng TLS 1.3. Đó là lúc hướng dẫn thực hành mới của NIST phát huy tác dụng.
Hướng dẫn này cung cấp sáu kỹ thuật cung cấp cho các tổ chức một phương pháp truy cập vào khóa đồng thời bảo vệ dữ liệu khỏi bị truy cập trái phép. TLS 1.3 loại bỏ các khóa được sử dụng để bảo vệ trao đổi qua internet khi nhận được dữ liệu, nhưng các phương pháp tiếp cận của hướng dẫn thực hành về cơ bản cho phép tổ chức giữ lại dữ liệu thô nhận được và dữ liệu ở dạng được giải mã đủ lâu để thực hiện giám sát bảo mật. Thông tin này được lưu giữ trong một máy chủ nội bộ an toàn cho mục đích kiểm tra và điều tra và sẽ bị hủy khi quá trình xử lý bảo mật hoàn tất.
Mặc dù có những rủi ro liên quan đến việc lưu trữ khóa ngay cả trong môi trường khép kín này, NIST đã phát triển hướng dẫn thực hành để chứng minh một số giải pháp thay thế an toàn cho các phương pháp tiếp cận trong nhà có thể làm tăng thêm những rủi ro này.
“NIST không thay đổi TLS 1.3. Nhưng nếu các tổ chức tìm cách giữ những khóa này, chúng tôi muốn cung cấp cho họ những phương pháp an toàn”, Murugiah Souppaya của NCCoE, một trong những tác giả của hướng dẫn cho biết. “Chúng tôi đang chứng minh cho các tổ chức sử dụng trường hợp này cách thực hiện nó một cách an toàn. Chúng tôi giải thích rủi ro khi lưu trữ và sử dụng lại khóa, đồng thời chỉ cho mọi người cách sử dụng chúng một cách an toàn trong khi vẫn cập nhật giao thức mới nhất.”
NCCoE đang phát triển một hướng dẫn thực hành gồm năm tập. Hiện có hai tập đầu tiên — bản tóm tắt điều hành (SP 1800-37A) và mô tả cách triển khai giải pháp (SP 1800-37B). Trong ba tập dự kiến, hai tập (SP 1800-37C và D) sẽ hướng tới các chuyên gia CNTT, những người cần hướng dẫn cách thực hiện và trình diễn giải pháp, trong khi tập thứ ba (SP 1800-37E) sẽ tập trung vào quản lý rủi ro và tuân thủ. , ánh xạ các thành phần của kiến trúc khả năng hiển thị TLS 1.3 tới các đặc điểm bảo mật trong các nguyên tắc an ninh mạng phổ biến.
Câu hỏi thường gặp có sẵn để trả lời các câu hỏi thông thường. Để gửi nhận xét về bản dự thảo hoặc các câu hỏi khác, hãy liên hệ với tác giả của hướng dẫn thực hành tại . Ý kiến có thể được gửi cho đến ngày 1 tháng 2024 năm XNUMX.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 1
- 1.3
- 1996
- 2024
- a
- Có khả năng
- Giới thiệu
- truy cập
- hoàn thành
- tôn trọng
- Tất cả
- cho phép
- cho phép
- lựa chọn thay thế
- an
- và
- trả lời
- cách tiếp cận
- Tháng Tư
- kiến trúc
- LÀ
- AS
- liên kết
- At
- đã cố gắng
- kiểm toán
- kiểm toán
- kiểm toán
- ủy quyền
- tác giả
- có sẵn
- BE
- bởi vì
- được
- BEST
- thực hành tốt nhất
- Mang lại
- các doanh nghiệp
- nhưng
- by
- cuộc gọi
- CAN
- thẻ
- mà
- trường hợp
- Trung tâm
- Trung tâm xuất sắc
- thách thức
- thách thức
- thay đổi
- đặc điểm
- hợp tác
- bộ sưu tập
- đến
- Bình luận
- Chung
- Hoàn thành
- tuân thủ
- tuân theo
- thành phần
- các thành phần
- sự tự tin
- hậu quả là
- liên lạc
- chứa
- liên tục
- tín dụng
- thẻ tín dụng
- quan trọng
- mật mã
- mật mã
- Hiện nay
- Tấn công mạng
- An ninh mạng
- dữ liệu
- Ngày
- Giải mã
- chứng minh
- thể hiện
- miêu tả
- Mô tả
- bị phá hủy
- phát triển
- phát triển
- Giám đốc
- do
- làm
- làm
- dự thảo
- Hiệu quả
- loại trừ hết
- kích hoạt
- mã hóa
- mã hóa
- cuối
- Kỹ Sư
- đủ
- đảm bảo
- Doanh nghiệp
- bảo mật doanh nghiệp
- Môi trường
- thiết yếu
- chủ yếu
- Ngay cả
- cuối cùng
- bằng chứng
- Xuất sắc
- Trao đổi
- điều hành
- Giải thích
- mở rộng
- Câu Hỏi Thường Gặp
- Thời trang
- tài chính
- tài chính
- Tìm kiếm
- Tên
- Tập trung
- tập trung
- theo
- Trong
- pháp y
- hình thức
- từ
- bánh răng
- đi
- hướng dẫn
- hướng dẫn
- hướng dẫn
- tay
- Có
- cho sức khoẻ
- Chăm sóc sức khỏe
- giúp đỡ
- giúp
- cao
- Độ đáng tin của
- Hướng dẫn
- HTTPS
- if
- thực hiện
- thực hiện
- quan trọng
- in
- Incoming
- tăng
- các cá nhân
- các ngành công nghiệp
- ngành công nghiệp
- thông tin
- Viện
- dự định
- nội bộ
- Internet
- Internet Security
- sự tham gia
- IT
- sự lặp lại
- ITS
- Việc làm
- Giữ
- phím
- nổi tiếng
- mới nhất
- Luật
- LINK
- dài
- Duy trì
- duy trì
- chính
- phần mềm độc hại
- quản lý
- cách thức
- lập bản đồ
- Có thể..
- có nghĩa
- Gặp gỡ
- cuộc họp
- phương pháp
- phương pháp
- Might
- giám sát
- hầu hết
- phải
- quốc dân
- Cần
- mạng
- mạng
- Mới
- nắm tay
- Không
- con số
- tuân theo
- of
- cung cấp
- Cung cấp
- on
- ONE
- hoạt động
- or
- cơ quan
- tổ chức
- Nền tảng khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- kết thúc
- tham gia
- Mật khẩu
- qua
- người
- Thực hiện
- hiệu suất
- kế hoạch
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- thực hành
- thực hành
- ngăn chặn
- trước
- riêng
- thông tin cá nhân
- xử lý
- chuyên gia
- dự án
- bảo vệ
- bảo vệ
- bảo vệ
- bảo vệ
- giao thức
- cho
- cung cấp
- công khai
- Xuất bản
- công khai
- mục đích
- Câu hỏi
- nâng lên
- Nguyên
- nhận
- gần đây
- quy định
- nhà quản lý
- phát hành
- yêu cầu
- yêu cầu
- cần phải
- Yêu cầu
- giữ lại
- Nguy cơ
- rủi ro
- an toàn
- một cách an toàn
- Nói
- an toàn
- đảm bảo
- an ninh
- xem
- gửi
- máy chủ
- Các máy chủ
- DỊCH VỤ
- một số
- hiển thị
- đồng thời
- website
- Six
- giải pháp
- đặc biệt
- Được tài trợ
- các bên liên quan
- tiêu chuẩn
- nhà nước-of-the-art
- ở lại
- Vẫn còn
- lưu trữ
- trình
- trình
- thành công
- như vậy
- TÓM TẮT
- hỗ trợ
- Nhiệm vụ
- Kỹ thuật
- kỹ thuật
- Công nghệ
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- Đó
- Kia là
- Thứ ba
- điều này
- số ba
- Thông qua
- đến
- công cụ
- công cụ
- đối với
- giao thông
- chuyến đi
- hai
- không được phép
- cho đến khi
- up-to-date
- Cập nhật
- Cập nhật
- us
- sử dụng
- ca sử dụng
- đã sử dụng
- Người sử dụng
- sử dụng
- Lớn
- nhà cung cấp
- khả năng hiển thị
- có thể nhìn thấy
- khối lượng
- muốn
- là
- Đường..
- cách
- we
- web
- Bảo mật web
- Lưu lượng truy cập web
- Website
- nổi tiếng
- Điều gì
- khi nào
- bất cứ khi nào
- trong khi
- CHÚNG TÔI LÀ
- sẽ
- với
- ở trong
- năm
- Bạn
- zephyrnet