新闻报道
金融和医疗保健等主要行业的公司必须遵循监控传入数据以防止网络攻击的最佳实践。最新的互联网安全协议(称为 TLS 1.3)提供了最先进的保护,但使这些所需数据审核的性能变得复杂。美国国家标准与技术研究院 (NIST) 发布了实践指南,描述了旨在帮助这些行业实施 TLS 1.3 并以安全、可靠和有效的方式完成所需网络监控和审核的方法。
新的实践指南草案, 使用 TLS 1.3 解决企业内的可见性挑战 (NIST特殊出版物(SP)1800-37),是 NIST 国家网络安全卓越中心 (NCCoE) 在过去几年中在技术供应商、行业组织和参与该项目的其他利益相关者的广泛参与下开发的 互联网工程任务组 (互联网工程任务组)。该指南提供了技术方法,帮助企业遵守保护通过公共互联网传输到内部服务器的数据的最新方法,同时遵守金融行业和其他需要持续监控和审计这些数据的法规恶意软件和其他网络攻击的证据。
NCCoE 主任 Cherilyn Pascoe 表示:“TLS 1.3 是一种重要的加密工具,可以提高安全性,并且能够支持后量子加密技术。” “这个合作项目的重点是确保组织可以使用 TLS 1.3 来保护其数据,同时满足审计和网络安全要求。”
NIST 要求在 1 年 2024 月 XNUMX 日之前就该实践指南草案征求公众意见。
TLS 协议由 IETF 于 1996 年开发,是互联网安全的重要组成部分:在 Web 链接中,只要您看到“https”末尾的“s”表明该网站是安全的,就意味着 TLS 正在发挥其作用工作。 TLS 允许我们通过大量公开可见的网络(我们称之为互联网)发送数据,并确信当我们将数据提供给网站时,没有人可以看到我们的私人信息,例如密码或信用卡号。
TLS 通过保护加密密钥来维护网络安全,这些密钥允许授权用户加密和解密此私人信息以进行安全交换,同时防止未经授权的个人使用密钥。 TLS 在维护互联网安全方面非常成功,之前通过 TLS 1.2 进行的更新使组织能够将这些密钥保留足够长的时间,以支持审核传入的 Web 流量是否存在恶意软件和其他企图进行的网络攻击。
然而,最近的迭代—— TLS 1.3,2018 年发布 - 对法律要求执行这些审计的企业子集提出了挑战,因为 1.3 更新不支持组织用于访问密钥以进行监控和审计目的的工具。因此,企业提出了如何在使用 TLS 1.3 时满足企业关键服务的安全、运营和监管要求的问题。这就是 NIST 的新实践指南的用武之地。
该指南提供了六种技术,为组织提供了一种访问密钥的方法,同时保护数据免遭未经授权的访问。 TLS 1.3 消除了在接收数据时用于保护互联网交换的密钥,但实践指南的方法本质上允许组织将原始接收数据和解密形式的数据保留足够长的时间以执行安全监控。此信息保留在安全的内部服务器中,用于审计和取证目的,并在安全处理完成后销毁。
尽管即使在这种封闭的环境中存储密钥也存在风险,但 NIST 开发了实践指南,以演示可能会加剧这些风险的本土方法的几种安全替代方案。
“NIST 不会更改 TLS 1.3。但如果组织想要找到一种方法来保存这些密钥,我们希望为他们提供安全的方法,”该指南的作者之一、NCCoE 的 Murugiah Souppaya 说道。 “我们正在向拥有此用例的组织演示如何以安全的方式进行操作。我们解释了存储和重复使用密钥的风险,并向人们展示如何安全地使用它们,同时仍然了解最新的协议。”
NCCoE 正在开发最终将成为五卷的练习指南。目前可用的是前两卷 - 执行摘要 (SP 1800-37A) 和解决方案实施的描述 (SP 1800-37B)。在计划的三卷中,两卷(SP 1800-37C 和 D)将面向需要解决方案操作指南和演示的 IT 专业人员,而第三卷(SP 1800-37E)将侧重于风险和合规性管理,将 TLS 1.3 可见性架构的组件映射到众所周知的网络安全指南中的安全特征。
提供常见问题解答 回答常见问题。要提交对草稿或其他问题的评论,请联系实践指南的作者: 。意见提交截止日期为 1 年 2024 月 XNUMX 日。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
- 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
- 柏拉图ESG。 碳, 清洁科技, 能源, 环境, 太阳能, 废物管理。 访问这里。
- 柏拉图健康。 生物技术和临床试验情报。 访问这里。
- Sumber: https://www.darkreading.com/application-security/new-nccoe-guide-helps-major-industries-observe-incoming-data-while-using-latest-internet-security-protocol
- :具有
- :是
- :不是
- :在哪里
- $UP
- 1
- 1.3
- 1996
- 2024
- a
- Able
- 关于
- ACCESS
- 完成
- 坚持
- 所有类型
- 让
- 允许
- 替代品
- an
- 和
- 回答
- 方法
- 四月
- 架构
- 保健
- AS
- 相关
- At
- 尝试
- 审计
- 审计
- 审计
- 授权
- 作者
- 可使用
- BE
- 因为
- 很
- 最佳
- 最佳实践
- 带来
- 企业
- 但是
- by
- 呼叫
- CAN
- 卡
- 关心
- 案件
- Center
- 卓越中心
- 挑战
- 挑战
- 改变
- 特点
- 共同
- 采集
- 购买的订单均
- 注释
- 相当常见
- 完成
- 符合
- 执行
- 元件
- 组件
- 信心
- 所以
- CONTACT
- 包含
- 连续
- 信用
- 信用卡
- 危急
- 加密
- 加密技术
- 目前
- 网络攻击
- 网络安全
- data
- 日期
- 解码
- 演示
- 示范
- 描述
- 描述
- 销毁
- 发达
- 发展
- 副总经理
- do
- 不
- 做
- 草案
- 有效
- 消除
- 启用
- 加密
- 加密
- 结束
- 工程师
- 更多
- 保证
- 企业
- 企业安全
- 环境
- 必要
- 本质上
- 甚至
- 终于
- 证据
- 追求卓越
- 换货
- 执行
- 说明
- 广泛
- 常见问题
- 时尚
- 金融
- 金融
- 找到最适合您的地方
- (名字)
- 专注焦点
- 重点
- 遵循
- 针对
- 取证
- 申请
- 止
- 面向
- 去
- 指导
- 指南
- 方针
- 手
- 有
- 健康管理
- 卫生保健
- 帮助
- 帮助
- 高度
- 创新中心
- How To
- HTTPS
- if
- 实施
- 履行
- 重要
- in
- 来电
- 增加
- 个人
- 行业
- 行业中的应用:
- 信息
- 研究所
- 拟
- 内部
- 网络
- 互联网安全
- 参与
- IT
- 迭代
- 它的
- 工作
- 保持
- 键
- 已知
- 最新
- 法律
- 友情链接
- 长
- 维护
- 维护
- 主要
- 恶意软件
- 颠覆性技术
- 方式
- 制图
- 可能..
- 手段
- 满足
- 会议
- 方法
- 方法
- 可能
- 监控
- 最先进的
- 必须
- National
- 需求
- 网络
- 网络
- 全新
- NIST
- 没有
- 数
- 观察
- of
- 提供
- 优惠精选
- on
- 一
- 操作
- or
- 组织
- 组织
- 其他名称
- 我们的
- 超过
- 参加
- 密码
- 过去
- 员工
- 演出
- 性能
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 在练习上
- 做法
- 预防
- 以前
- 私立
- 私人信息
- 处理
- 专业人士
- 项目
- 保护
- 保护
- 保护
- 保护
- 协议
- 提供
- 提供
- 国家
- 出版物
- 公然
- 目的
- 有疑问吗?
- 凸
- 原
- 收到
- 最近
- 法规
- 监管
- 发布
- 请求
- 要求
- 必须
- 岗位要求
- 保留
- 风险
- 风险
- 安全
- 安然
- 说
- 安全
- 保障
- 保安
- 看到
- 提交
- 服务器
- 服务器
- 特色服务
- 几个
- 显示
- 同时
- 网站
- SIX
- 方案,
- 特别
- 赞助商
- 利益相关者
- 标准
- 国家的最先进的
- 住宿
- 仍
- 存储
- 提交
- 提交
- 成功
- 这样
- 概要
- SUPPORT
- 任务
- 文案
- 技术
- 专业技术
- 这
- 其
- 他们
- 那里。
- 博曼
- 第三
- Free Introduction
- 三
- 通过
- 至
- 工具
- 工具
- 对于
- 交通
- 旅行
- 二
- 擅自
- 直到
- 跟上时代的
- 更新
- 最新动态
- us
- 使用
- 用例
- 用过的
- 用户
- 运用
- 广阔
- 厂商
- 能见度
- 可见
- 卷
- 想
- 是
- 方法..
- 方法
- we
- 卷筒纸
- 网络安全
- 网络流量
- 您的网站
- 知名
- 什么是
- ,尤其是
- 每当
- 而
- WHO
- 将
- 中
- 年
- 完全
- 和风网