Il National Institute of Standards and Technology (NIST) ha pubblicato una nuova guida pratica per aiutare le aziende, specialmente nei settori finanziario e sanitario, a implementare il protocollo di sicurezza Internet TLS 1.3 per il monitoraggio dei dati in entrata.
La nuova bozza della guida, denominata Addressing Visibility Challenges with TLS 1.3 within the Enterprise (NIST Special Publication (SP) 1800-37), è stata sviluppata presso il National Cybersecurity Center of Excellence (NCCoE) del NIST in collaborazione con vendor tecnologici, organizzazioni di settore e altri stakeholder che partecipano all’Internet Engineering Task Force (IETF). La guida fornisce approcci tecnici per aiutare le aziende a conformarsi alle modalità più aggiornate di protezione dei dati del traffico Internet in entrata, rispettando contemporaneamente il settore finanziario e altre normative che richiedono monitoraggio e controllo continui di questi dati per prove di malware e altri attacchi informatici.
TLS (Transport Layer Security), sviluppato dall’IETF nel 1996, è un protocollo che assicura la sicurezza delle comunicazioni su Internet proteggendo le chiavi crittografiche che consentono agli utenti autorizzati di crittografare e decrittografare le informazioni private, impedendo alle persone non autorizzate di utilizzare tali chiavi. Le versioni precedenti come TLS 1.2 hanno permesso alle organizzazioni di mantenere queste chiavi per monitorare il traffico web in entrata e proteggersi da malware e altri attacchi informatici.
TLS 1.3, rilasciato nel 2018, offre una protezione avanzata ma ha complicato l’esecuzione dei controlli dei dati richiesti dalle normative settoriali. Con la sua introduzione, molte aziende si sono trovate a dover affrontare sfide nel mantenere la conformità normativa e la sicurezza operativa, poiché questa versione non supporta le chiavi utilizzate per proteggere gli scambi Internet al momento della ricezione dei dati.
Per affrontare queste sfide, il NIST ha sviluppato questa guida pratica che offre sei tecniche per consentire alle organizzazioni di accedere alle chiavi in modo sicuro e proteggendo i dati da accessi non autorizzati, consentendo loro di conservare i dati grezzi e decrittografati abbastanza a lungo da eseguire il monitoraggio della sicurezza. Queste informazioni vengono conservate all’interno di un server interno sicuro per scopi di controllo e analisi forensi e vengono distrutte una volta completata l’elaborazione della sicurezza.
Sebbene esistano rischi associati alla conservazione delle chiavi anche in questo ambiente confinato, il NIST ha sviluppato la guida per dimostrare diverse alternative sicure agli approcci interni che potrebbero aumentare questi rischi.
Attualmente sono disponibili i primi due volumi della guida pratica, con ulteriori volumi in fase di sviluppo. La guida è progettata per supportare i professionisti IT nel comprendere e implementare le soluzioni per il monitoraggio dei dati in entrata, mentre un volume futuro affronterà la gestione del rischio e della conformità. Il NIST accetta commenti sulla bozza della guida pratica fino al 1° aprile 2024.
