สำนักงานความมั่นคงแห่งชาติสหรัฐฯ (NSA) เผยแพร่หลักการ Zero-Trust Framework เพื่อช่วยให้องค์กรต่าง ๆ สามารถจำกัดการโจมตีภายในเครือข่ายขององค์กร

Zero-Trust เป็น Framework ด้านความปลอดภัย ที่มีความเข้มงวดในการตรวจสอบการเข้าถึงทรัพยากรบนเครือข่ายจากทั้งภายใน และภายนอก เพื่อลดผลกระทบจากการโจมตีให้มากที่สุด โดยเมื่อเปรียบเทียบกับรูปแบบการรักษาความปลอดภัยด้านไอทีแบบดั้งเดิมที่จะเชื่อถือผู้ที่อยู่ในระบบเครือข่าย ซึ่งจะแตกต่างจากรูปแบบ Zero-Trust ที่จะไม่เชื่อถือการกระทำใด ๆ แม้ว่าจะอยู่ในระบบก็ตาม โดยจำเป็นต้องทำการตรวจสอบทุกครั้งที่ทำการเชื่อมต่อหรือกระทำการใด ๆ ในเครือข่าย (more…)

NSA ให้คำแนะนำวิธีตรวจจับและเปิดตัวเครื่องมือการตรวจสอบโปรโตคอลการเข้ารหัส TLS เวอร์ชันเก่า

หน่วยงาน National Security Agency (NSA) ได้ให้แนะนำเกี่ยวกับวิธีตรวจจับ พร้อมทั้งเปิดตัวเครื่องมือที่ใช้ในการตรวจสอบและอัปเกรดเวอร์ชันโปรโตคอล Transport Layer Security (TLS) ที่เป็นเวอร์ชันเก่าซึ่งอาจมีความเสี่ยงด้านความปลอดภัย

ในคำแนะนำของ NSA นั้น NSA ได้แนะนำให้ใช้โปรโตคอลเฉพาะ TLS 1.2 หรือ TLS 1.3 และห้ามใช้ SSL 2.0, SSL 3.0, TLS 1.0 และ TLS 1.1 เนื่องจากโปรโตคอลการเข้ารหัสดังกล่าวมีความล้าสมัยและไม่ปลอดภัยจากการเข้ารหัส ซึ่งการอัปเดตโปรโตคอล TLS จะช่วยให้องค์กรของรัฐและองค์กรที่มีการเข้ารหัสและการตรวจสอบสิทธิ์มีความแข็งแกร่งขึ้น ความเคลื่อนไหวนี้สอดคล้องกับความเคลื่อนไหวจาก Microsoft, Google, Apple และ Mozilla ที่ได้ทำการประกาศแต่เดือนตุลาคม 2018 ว่าจะเลิกใช้โปรโตคอล TLS 1.0 และ TLS 1.1 ที่ไม่ปลอดภัยซึ่งจะเริ่มตั้งแต่ครึ่งแรกของปี 2020

ทั้งนี้ผู้ที่สนใจเครื่องมือการตรวจสอบและอัปเกรดเวอร์ชันโปรโตคอล TLS สามารถเข้าไปอ่านรายละเอียดได้ที่นี่: https://github.