Il nuovo progetto di guida pratica può aiutare le aziende nei settori chiave a utilizzare TLS 1.3 mentre effettuano le necessarie verifiche sul traffico internet in arrivo.
30 gennaio 2024 - Le aziende nei settori principali come finanza e assistenza sanitaria devono seguire le migliori pratiche per monitorare i dati in arrivo per gli attacchi informatici. Il più recente protocollo di sicurezza internet, noto come TLS 1.3, fornisce protezione all'avanguardia, ma complica l'esecuzione di queste necessarie verifiche sui dati. Il National Institute of Standards and Technology (NIST) ha rilasciato una guida pratica descrivendo metodi che mirano ad aiutare queste industrie ad implementare TLS 1.3 e a svolgere i necessari monitoraggi e verifiche di rete in modo sicuro, sicuro ed efficace.
Il nuovo progetto di guida pratica, "Affrontare le Sfide di Visibilità con TLS 1.3 all'interno dell'Impresa" (Pubblicazione Speciale (SP) 1800-37 del NIST), è stato sviluppato nel corso degli ultimi anni presso il National Cybersecurity Center of Excellence (NCCoE) del NIST con il coinvolgimento estensivo di fornitori tecnologici, organizzazioni industriali e altre parti interessate che partecipano al Internet Engineering Task Force (IETF). Il documento offre metodi tecnici per aiutare le imprese a conformarsi alle modalità più aggiornate di sicurezza dei dati che viaggiano su internet pubblico verso i loro server interni, mentre contemporaneamente rispettano le normative dell'industria finanziaria e di altri settori che richiedono un monitoraggio e una verifica continui di questi dati per evidenze di malware e altri attacchi informatici.
"TLS 1.3 è uno strumento di crittografia importante che porta una sicurezza aumentata e sarà in grado di supportare la crittografia post-quantistica," ha detto Cherilyn Pascoe, direttore del NCCoE. "Questo progetto collaborativo si concentra sul garantire che le organizzazioni possano utilizzare TLS 1.3 per proteggere i propri dati rispettando i requisiti per le verifiche e la cybersecurity."
Il NIST richiede commenti pubblici sul progetto di guida pratica entro il 1 aprile 2024.
Il protocollo TLS, sviluppato dall'IETF nel 1996, è un componente essenziale della sicurezza internet: in un link web, ogni volta che si vede la "s" alla fine di "https" indicando che il sito web è sicuro, significa che TLS sta facendo il suo lavoro. TLS ci permette di inviare dati sulla vasta collezione di reti pubblicamente visibili che chiamiamo internet con la sicurezza che nessuno possa vedere le nostre informazioni private, come una password o un numero di carta di credito, quando le forniamo a un sito.
TLS mantiene la sicurezza web proteggendo le chiavi crittografiche che consentono agli utenti autorizzati di crittografare e decrittografare queste informazioni private per scambi sicuri, impedendo contemporaneamente a individui non autorizzati di utilizzare le chiavi. TLS ha avuto un grande successo nel mantenere la sicurezza internet, e i suoi aggiornamenti precedenti fino a TLS 1.2 hanno permesso alle organizzazioni di conservare queste chiavi abbastanza a lungo da supportare la verifica del traffico web in arrivo per malware e altri tentativi di attacco informatico.
Tuttavia, l'iterazione più recente - TLS 1.3, rilasciata nel 2018 - ha sfidato il sottoinsieme di aziende che sono tenute per legge a effettuare queste verifiche, perché l'aggiornamento 1.3 non supporta gli strumenti che le organizzazioni utilizzano per accedere alle chiavi per scopi di monitoraggio e verifica. Di conseguenza, le imprese hanno sollevato domande su come soddisfare i requisiti di sicurezza, operativi e regolamentari per i servizi critici mentre utilizzano TLS 1.3. Ed è qui che entra in gioco la nuova guida pratica del NIST.
La guida offre sei tecniche che offrono alle organizzazioni un metodo per accedere alle chiavi proteggendo i dati dall'accesso non autorizzato. TLS 1.3 elimina le chiavi utilizzate per proteggere gli scambi internet man mano che i dati vengono ricevuti, ma gli approcci della guida pratica consentono sostanzialmente a un'organizzazione di conservare i dati grezzi ricevuti e i dati in forma decriptata abbastanza a lungo per eseguire il monitoraggio della sicurezza. Queste informazioni sono conservate all'interno di un server interno sicuro per scopi di verifica e analisi forense e vengono distrutte quando il processo di sicurezza è completato.
Anche se ci sono rischi associati alla conservazione delle chiavi anche in questo ambiente contenuto, il NIST ha sviluppato la guida pratica per dimostrare diverse alternative sicure agli approcci fatti in casa che potrebbero aumentare questi rischi.
"Il NIST non sta cambiando TLS 1.3. Ma se le organizzazioni devono trovare un modo per conservare queste chiavi, vogliamo fornire loro metodi sicuri," ha detto Murugiah Souppaya del NCCoE, uno degli autori della guida. "Stiamo dimostrando alle organizzazioni che hanno questo caso d'uso come farlo in modo sicuro. Spieghiamo il rischio di conservare e riutilizzare le chiavi e mostriamo alle persone come utilizzarle in modo sicuro, rimanendo comunque aggiornati con l'ultimo protocollo."
Il NCCoE sta sviluppando ciò che alla fine sarà una guida pratica in cinque volumi. Attualmente sono disponibili i primi due volumi - il sommario esecutivo (SP 1800-37A) e una descrizione dell'implementazione della soluzione (SP 1800-37B). Dei tre volumi pianificati, due (SP 1800-37C e D) saranno rivolti ai professionisti IT che hanno bisogno di una guida pratica e dimostrazioni della soluzione, mentre il terzo (SP 1800-37E) si concentrerà sulla gestione del rischio e della conformità, mappando componenti dell'architettura di visibilità di TLS 1.3 a caratteristiche di sicurezza nelle linee guida di sicurezza informatica ben note.
Una FAQ è disponibile per rispondere alle domande comuni. Per inviare commenti sul progetto o altre domande, contattare gli autori della guida pratica all'indirizzo applied-crypto-visibility@nist.gov. I commenti possono essere inviati fino al 1 aprile 2024.
Glossario
- TLS: Transport Layer Security - Protocollo di sicurezza che fornisce comunicazioni sicure su una rete, tipicamente Internet.
- NCCoE: National Cybersecurity Center of Excellence - Centro di eccellenza per la cybersecurity nazionale, un'entità statunitense che si concentra sulla ricerca e lo sviluppo di pratiche e strumenti per migliorare la sicurezza informatica.
- NIST: National Institute of Standards and Technology - Istituto nazionale di standardizzazione e tecnologia, un'agenzia federale degli Stati Uniti che sviluppa e promuove standard e linee guida tecnologiche.
- IETF: Internet Engineering Task Force - Organizzazione che sviluppa e promuove standard per Internet.
- SP: Special Publication - Pubblicazione speciale, utilizzata dal NIST per diffondere informazioni su standard, linee guida e altre informazioni tecniche.
- Cybersecurity: Sicurezza informatica - Protezione dei sistemi informatici da danni, accessi non autorizzati, attacchi informatici e altre minacce alla sicurezza.
- Encryption: Crittografia - Processo di conversione di dati in un formato illeggibile per proteggerli da accessi non autorizzati.
- Data auditing: Verifica dei dati - Processo di monitoraggio e revisione dei dati per garantire l'integrità, la sicurezza e la conformità normativa.
- IT compliance: Conformità IT - Adesione a regolamenti, leggi e standard nel campo dell'informatica e della tecnologia dell'informazione.
- Internet security: Sicurezza Internet - Protezione delle reti e dei sistemi informatici dalle minacce online.
