BASIN BÜLTENİ
Finans ve sağlık hizmetleri gibi büyük sektörlerdeki şirketlerin, siber saldırılara ilişkin gelen verileri izlemeye yönelik en iyi uygulamaları takip etmesi gerekiyor. TLS 1.3 olarak bilinen en yeni internet güvenliği protokolü, en gelişmiş korumayı sağlar ancak gerekli veri denetimlerinin performansını karmaşıklaştırır. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), bu endüstrilerin TLS 1.3’ü uygulamalarına ve gerekli ağ izleme ve denetimini güvenli, emniyetli ve etkili bir şekilde gerçekleştirmelerine yardımcı olmayı amaçlayan yöntemleri açıklayan bir uygulama kılavuzu yayınladı.
Yeni taslak uygulama kılavuzu, Kurum İçi Görünürlük Zorluklarını TLS 1.3 ile Aşmak (NIST Özel Yayını (SP) 1800-37), geçtiğimiz birkaç yılda NIST Ulusal Siber Güvenlik Mükemmeliyet Merkezi’nde (NCCoE) teknoloji satıcılarının, sektör kuruluşlarının ve projeye katılan diğer paydaşların kapsamlı katılımıyla geliştirildi. İnternet Mühendisliği Görev Gücü (IETF). Kılavuz, işletmelerin kamuya açık internet üzerinden dahili sunucularına giden verileri güvence altına almanın en güncel yollarına uymalarına yardımcı olacak teknik yöntemler sunarken, aynı zamanda bu verilerin sürekli izlenmesini ve denetlenmesini gerektiren finans sektörü ve diğer düzenlemelere de bağlı kalıyor. Kötü amaçlı yazılım ve diğer siber saldırılara ilişkin kanıtlar için.
NCCoE direktörü Cherilyn Pascoe, “TLS 1.3, artırılmış güvenlik sağlayan ve kuantum sonrası kriptografiyi destekleyebilecek önemli bir şifreleme aracıdır” dedi. “Bu işbirlikçi proje, kuruluşların denetim ve siber güvenlik gereksinimlerini karşılarken verilerini korumak için TLS 1.3’ü kullanabilmelerini sağlamaya odaklanıyor.”
NIST, 1 Nisan 2024’e kadar taslak uygulama kılavuzu hakkında kamuoyunun yorumlarını talep ediyor.
IETF tarafından 1996 yılında geliştirilen TLS protokolü, internet güvenliğinin önemli bir bileşenidir: Bir web bağlantısında, “https”nin sonunda, web sitesinin güvenli olduğunu gösteren “s” harfini gördüğünüzde, TLS, üzerine düşeni yapıyor demektir. iş. TLS, bir siteye sağladığımızda şifre veya kredi kartı numarası gibi özel bilgilerimizi kimsenin göremeyeceğinden emin olarak, internet dediğimiz, herkes tarafından görülebilen geniş bir ağ koleksiyonu üzerinden veri göndermemize olanak tanır.
TLS, yetkili kullanıcıların bu özel bilgileri güvenli alışveriş için şifrelemesine ve şifresini çözmesine olanak tanıyan şifreleme anahtarlarını koruyarak web güvenliğini korur ve yetkisiz kişilerin anahtarları kullanmasını engeller. TLS, internet güvenliğini sağlamada oldukça başarılıydı ve TLS 1.2 aracılığıyla yapılan önceki güncellemeleri, kuruluşların bu anahtarları kötü amaçlı yazılımlara ve diğer siber saldırı girişimlerine karşı gelen web trafiğini denetlemeyi destekleyecek kadar uzun süre ellerinde tutmalarına olanak tanıdı.
Ancak en son yineleme — TLS 1.3, 2018’de yayınlandı — 1.3 güncellemesi, kuruluşların izleme ve denetim amacıyla anahtarlara erişmek için kullandığı araçları desteklemediğinden, kanunen bu denetimleri gerçekleştirmesi gereken işletme alt kümesine meydan okudu. Sonuç olarak işletmeler, TLS 1.3’ü kullanırken kritik hizmetler için kurumsal güvenlik, operasyonel ve düzenleyici gereksinimlerin nasıl karşılanacağına ilişkin soruları gündeme getirdi. NIST’in yeni uygulama kılavuzunun devreye girdiği yer burasıdır.
Kılavuz, kuruluşlara verileri yetkisiz erişimden korurken anahtarlara erişme yöntemi sunan altı teknik sunuyor. TLS 1.3, veriler alınırken internet alışverişlerini korumak için kullanılan anahtarları ortadan kaldırır, ancak uygulama kılavuzunun yaklaşımları esas olarak bir kuruluşun, alınan ham verileri ve verileri şifresi çözülmüş biçimde, güvenlik izlemesini gerçekleştirecek kadar uzun süre saklamasına olanak tanır. Bu bilgiler, denetim ve adli tıp amacıyla güvenli bir dahili sunucuda tutulur ve güvenlik işlemleri tamamlandığında imha edilir.
Anahtarların bu kapalı ortamda bile saklanmasıyla ilgili riskler mevcut olsa da NIST, bu riskleri artırabilecek yerel yaklaşımlara yönelik çeşitli güvenli alternatifleri göstermek için uygulama kılavuzunu geliştirdi.
“NIST, TLS 1.3’ü değiştirmiyor. Ancak kuruluşlar bu anahtarları saklamanın bir yolunu bulacaksa, onlara güvenli yöntemler sunmak istiyoruz,” dedi kılavuzun yazarlarından biri olan NCCoE’den Murugiah Souppaya. “Bu kullanım senaryosuna sahip kuruluşlara bunun güvenli bir şekilde nasıl yapılacağını gösteriyoruz. Anahtarları saklamanın ve yeniden kullanmanın risklerini açıklıyoruz ve insanlara bunları nasıl güvenli bir şekilde kullanacaklarını gösterirken aynı zamanda en son protokole güncel kalıyoruz.”
NCCoE, sonunda beş ciltlik bir uygulama kılavuzu olacak olanı geliştiriyor. Şu anda mevcut olan ilk iki cilttir: yönetici özeti (SP 1800-37A) ve çözümün uygulanmasına ilişkin bir açıklama (SP 1800-37B). Planlanan üç ciltten ikisi (SP 1800-37C ve D) nasıl yapılır kılavuzuna ve çözüm gösterimlerine ihtiyaç duyan BT profesyonellerine yönelik olacak, üçüncüsü ise (SP 1800-37E) risk ve uyumluluk yönetimine odaklanacak TLS 1.3 görünürlük mimarisinin bileşenlerini, iyi bilinen siber güvenlik yönergelerindeki güvenlik özelliklerine eşleme.
SSS mevcuttur sık sorulan soruları yanıtlamak için. Taslakla ilgili yorumlarınızı veya diğer sorularınızı göndermek için uygulama kılavuzunun yazarlarıyla şu adresten iletişime geçin: [email protected]. Yorumlar 1 Nisan 2024’e kadar gönderilebilir.