Ordet "protokol" dukker op overalt i IT og beskriver normalt detaljerne om, hvordan man udveksler data mellem rekvirenten og svareren.
Derfor har vi HTTP, en forkortelse for protokol til hypertekstoverførsel, som forklarer, hvordan man kommunikerer med en webserver; SMTP, eller enkel mailoverførselsprotokol, som styrer afsendelse og modtagelse af e-mail; og BGP, den grænse gateway protokol, ved hjælp af hvilke internetudbydere fortæller hinanden, hvilke internetdestinationer de kan hjælpe med at levere data til, og hvor hurtigt.
Men der er også en vigtig protokol, der hjælper mennesker inden for IT, herunder forskere, respondenter, sysadmins, ledere og brugere, til at være omhyggelige med, hvordan de håndterer information om cybersikkerhedstrusler.
Den protokol er kendt som TLP, kort for Trafiklys protokol, udtænkt som en virkelig enkel måde at mærke cybersikkerhedsoplysninger på, så modtageren nemt kan finde ud af, hvor følsom den er, og hvor bredt den kan deles uden at gøre en dårlig ting værre.
Interessant nok er det ikke alle, der tilslutter sig tanken om, at udbredelsen af cybersikkerhedsoplysninger nogensinde bør begrænses, selv frivilligt.
Entusiaster af såkaldte fuld åbenhed insistere på, at offentliggørelse af så meget information som muligt, så bredt som muligt, så hurtigt som muligt, faktisk er den bedste måde at håndtere sårbarheder, udnyttelser, cyberangreb og lignende på.
Fortalere for fuld afsløring vil frit indrømme, at dette nogle gange spiller i hænderne på cyberkriminelle ved klart at identificere den information, de har brug for (og give viden væk, de måske ikke tidligere havde haft) for at igangsætte angreb med det samme, før nogen er klar.
Fuld afsløring kan også forstyrre cyberforsvar ved at tvinge sysadmins overalt til at stoppe, hvad end de laver, og aflede deres opmærksomhed med det samme til noget, der ellers sikkert kunne have været planlagt til opmærksomhed lidt senere, hvis bare det ikke var blevet råbt fra hustagene.
Enkelt, nemt og retfærdigt
Ikke desto mindre vil tilhængere af fuld afsløring fortælle dig, at intet kunne være enklere, nemmere eller mere retfærdigt end bare at fortælle det til alle på samme tid.
Når alt kommer til alt, hvis du fortæller nogle mennesker, men ikke andre, så de kan begynde at forberede potentielle forsvar i komparativ hemmelighed og derfor måske kommer foran de cyberkriminelle, kan du faktisk gøre tingene værre for verden som helhed.
Hvis selv en af personerne i inderkredsen viser sig at være en slyngel, eller utilsigtet afslører hemmeligheden blot på grund af arten af, hvordan de reagerer, eller af de planer, de pludselig beslutter sig for at sætte i værk, så kan skurkene meget vel reverse engineer de hemmelige oplysninger for dem selv alligevel...
…og så vil alle andre, der ikke er en del af inderkredsen, blive kastet for ulvene.
I hvert fald, hvem bestemmer, hvilke personer eller organisationer der bliver optaget i inderkredsen (eller "Old Boy's Club", hvis du vil være nedsættende over det)?
Derudover sikrer den fulde oplysningsdoktrin, at virksomheder ikke kan slippe af sted med at feje problemer under gulvtæppet og ikke gøre noget ved dem.
Med ordene fra den berygtede (og problematiske, men det er et argument for en anden dag) fra 1992 hackerfilm Sneakers: "Ingen flere hemmeligheder, Marty."
Ansvarlig videregivelse
Fuld afsløring er imidlertid ikke, hvordan cybersikkerhedsrespons normalt udføres i disse dage.
Faktisk kan nogle typer af cybertrusler-relaterede data simpelthen ikke deles etisk eller lovligt, hvis det kan skade nogens privatliv eller sætte modtagerne selv i strid med databeskyttelses- eller databesiddelsesregler.
I stedet har cybersikkerhedsindustrien stort set slået sig på en slags mellemvej for rapportering af cybersikkerhedsoplysninger, kendt uformelt som ansvarlig offentliggørelse.
Denne proces er baseret på ideen om, at den sikreste og mest retfærdige måde at få løst cybersikkerhedsproblemer på uden at udslette dem til hele verden med det samme, er at give de mennesker, der har skabt problemerne, "første trin" til at løse dem.
For eksempel, hvis du finder et hul i et fjernadgangsprodukt, der kan føre til en sikkerhedsomgåelse, eller hvis du finder en fejl i en server, der kan føre til fjernudførelse af kode, rapporterer du det privat til leverandøren af produktet (eller holdet, der passer på det, hvis det er open source).
Du aftaler derefter med dem en tavshedsperiode, der typisk varer fra et par dage til et par måneder, hvor de kan ordne det i hemmelighed, hvis de vil, og først afsløre de blodige detaljer, når deres rettelser er klar.
Men hvis den aftalte periode udløber uden resultat, skifter du til fuld afsløringstilstand og afslører detaljerne for alle alligevel, og sikrer dermed, at problemet ikke bare kan fejes under gulvtæppet og ignoreres i det uendelige.
Kontrolleret deling
Selvfølgelig betyder ansvarlig videregivelse ikke, at den organisation, der modtog den første rapport, er tvunget til at holde oplysningerne for sig selv
De første modtagere af en privat rapport kan beslutte, at de vil eller skal dele nyhederne alligevel, måske på en begrænset måde.
For eksempel, hvis du har en kritisk patch, der vil kræve, at flere dele af din organisation samarbejder, har du ikke meget andet valg end at dele oplysningerne internt.
Og hvis du har en patch på vej, som du ved vil rette et nyligt opdaget sikkerhedshul, men kun hvis dine kunder foretager nogle konfigurationsændringer, før de ruller den ud, vil du måske give dem en tidlig advarsel, så de kan blive klar.
Samtidig vil du måske bede dem pænt om ikke at fortælle resten af verden alt om problemet lige foreløbig.
Eller du efterforsker måske et igangværende cyberangreb, og du vil måske afsløre forskellige mængder af detaljer til forskellige målgrupper, efterhånden som efterforskningen udfolder sig.
Du har måske generelle råd, som sikkert og nyttigt kan deles med hele verden lige nu.
Du kan have specifikke data (såsom IP-blokeringslister eller andre indikatorer på kompromis), som du ønsker at dele med kun én virksomhed, fordi oplysningerne uundgåeligt afslører dem som et offer.
Og du vil måske afsløre alt, hvad du ved, så snart du ved det, til individuelle retshåndhævende efterforskere, som du stoler på vil gå efter de involverede kriminelle.
Hvordan mærkes informationen?
Hvordan mærker man disse forskellige niveauer af cybersikkerhedsinformation utvetydigt?
Retshåndhævelse, sikkerhedstjenester, militære og officielle internationale organer har typisk deres egen jargon, kendt som beskyttende mærkning, for den slags ting, med etiketter, som vi alle kender fra spionfilm, som f.eks SECRET, TOP SECRET, FOR YOUR EYES ONLY, NO FOREIGN NATIONALS, og så videre.
Men forskellige etiketter betyder forskellige ting i forskellige dele af verden, så denne form for beskyttende mærkning oversættes ikke godt til offentlig brug på mange forskellige sprog, regioner og cybersikkerhedskulturer.
(Nogle gange kan disse etiketter være sprogligt udfordrende. Skulle et fortroligt dokument fremstillet af De Forenede Nationer f.eks. UN - CLASSIFIED? Eller vil det blive misfortolket som UNCLASSIFIED og blive delt bredt?)
Hvad med et mærkningssystem, der bruger simple ord og en åbenlys global metafor?
Det er her Trafiklys protokol kommer i.
Metaforen, som du vil have gættet, er det ydmyge trafiksignal, som bruger de samme farver, med stort set de samme betydninger, i næsten alle lande i verden.
RØD betyder stop, og intet andet end stop; RUL betyder stop, medmindre det i sig selv ville være farligt at gøre det; og GRØN betyder, at du har lov til at gå, forudsat at det er sikkert at gøre det.
Moderne trafiksignaler, som bruger LED'er til at producere specifikke lysfrekvenser, i stedet for filtre til at fjerne uønskede farvebånd fra glødelamper, er så klare og præcist målrettede, at nogle jurisdiktioner ikke længere gider at teste potentielle bilister for såkaldt farveblindhed, fordi tre udsendte frekvensbånd er så smalle, at det næsten er umuligt at blande sammen, og deres betydninger er så veletablerede.
Selvom du bor i et land, hvor trafiklys har yderligere "imellem"-signaler, såsom grøn+rav sammen, rød+rav sammen eller én farve, der blinker uafbrudt af sig selv, forstår stort set alle i verden trafiklysmetaforer baseret på netop disse tre hovedfarver.
Faktisk, selvom du er vant til at kalde det midterste lys GUL i stedet for RAV, som nogle lande gør, er det indlysende, hvad RAV refererer til, om ikke andet fordi det er det i midten, der ikke er RØD eller GRØN.
TLP version 2.0
Trafiklys protokol blev først introduceret i 1999, og ved at følge princippet om Hold det enkelt og ligetil (KISS), er blevet et nyttigt mærkningssystem til cyubersikkerhedsrapporter.
I sidste ende krævede TLP fire niveauer, ikke tre, så farven WHITE blev tilføjet for at betyde "du kan dele dette med hvem som helst", og betegnelserne blev defineret meget specifikt som tekststrengene TLP:RED (alle versaler, ingen mellemrum), TLP:AMBER, TLP:GREEN , TLP:WHITE.
Ved at holde mellemrum ude af etiketterne og tvinge dem med store bogstaver, skiller de sig tydeligt ud i e-mailens emnelinjer, er nemme at bruge, når de sorterer og søger og bliver ikke delt mellem linjer ved en fejltagelse.
Nå, efter mere end 20 års service har TLP gennemgået en mindre opdatering, så vi fra august 2022 har Traffic Light Protocol 2.0.
For det første er farven WHITE blevet udskiftet med CLEAR.
Hvid har ikke kun racemæssige og etniske overtoner, som almindelig anstændighed inviterer os til at undgå, men repræsenterer også til forveksling alle de andre farver blandet sammen, som om det kunne betyde gå-og-stop-på-samtidig-tid.
Så CLEAR er ikke kun et ord, der passer mere komfortabelt i samfundet i dag, men også et, der passer til dets tilsigtede formål mere (ahem) klart.
Og der er tilføjet en femte markør, nemlig TLP:AMBER+STRICT.
Niveauerne fortolkes som følger:
TLP:RED |
"Kun for individuelle modtageres øjne og ører." Dette er ret nemt at fortolke: Hvis du modtager et TLP:RED cybersikkerhedsdokument, kan du handle på det, men du må ikke videresende det til andre. Derfor er der ingen grund til, at du forsøger at finde ud af, om du skal fortælle venner, kolleger eller forskerkolleger. Dette niveau er reserveret til information, der kan forårsage "betydelig risiko for privatlivets fred, omdømme eller drift af de involverede organisationer." |
TLP:AMBER+STRICT |
Du må dele disse oplysninger, men kun med andre personer i din organisation. Så du kan diskutere det med programmeringsteams eller med IT-afdelingen. Men du skal holde det "i huset". Især må du ikke videresende den til dine kunder, forretningspartnere eller leverandører. Desværre forsøger TLP-dokumentationen ikke at definere, om en entreprenør eller en tjenesteudbyder er intern eller ekstern. Vi foreslår, at du behandler sætningen "begrænse deling til organisationen kun" så strengt som du overhovedet kan, som navnet på dette sikkerhedsniveau antyder, men vi formoder, at nogle virksomheder vil ende med en mere liberal fortolkning af denne regel. |
TLP:AMBER |
Som TLP:AMBER+STRICT, men du må dele oplysningerne med kunder (TLP-dokumentet bruger faktisk ordet kunder) Hvis det er nødvendigt. |
TLP:GREEN |
Du kan dele disse oplysninger i dit fællesskab. TLP lader det være op til dig at være fornuftig med hensyn til, hvilke personer der udgør dit fællesskab, og kun bemærke det "når 'fællesskab' ikke er defineret, antag cybersikkerheds-/forsvarssamfundet." I praksis kan du lige så godt antage, at alt udgivet som TLP:GRØN ender som offentlig viden, men det påhviler dig at være eftertænksom over, hvordan du selv deler det. |
TLP:CLEAR |
Meget enkelt, du er klar til at dele denne information med alle, du kan lide. Som TLP udtrykker det: “Modtagere kan sprede dette til world; der er ingen grænse for offentliggørelse." Denne etiket er især nyttig, når du deler to eller flere dokumenter med en betroet part, og mindst ét af dokumenterne er markeret til begrænset deling. At sætte TLP:CLEAR på det indhold, som de kan dele, og måske som du vil have dem til at dele for at øge bevidstheden, gør det meget tydeligt for din opmærksomhed, hvis du vil undskylde ordspillet. |
Bare for at være klar (undskyld!), sætter vi ikke TLP:CLEAR på hver artikel om Naked Security, vi udgiver, da denne hjemmeside allerede er offentligt tilgængelig, men vi inviterer dig til at antage det.
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Kaspersky
- malware
- Mcafee
- MDR
- MTR
- Naked Security
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- forskning
- Sikkerhedsledelse
- TLP
- VPN
- website sikkerhed
- zephyrnet
![S3 Ep125: Når sikkerhedshardware har sikkerhedshuller [Lyd + tekst]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep125-when-security-hardware-has-security-holes-audio-text-300x156.png "S3 Ep125: Når sikkerhedshardware har sikkerhedshuller [Lyd + tekst]")
![S3 Ep103: Svindlere i slammeren (og andre historier) [Lyd + tekst] PlatoBlockchain Data Intelligence. Lodret søgning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep103-cover-1200-360x188.png "S3 Ep103: Scammers in the Slammer (og andre historier) [Lyd + tekst]")
![S3 Ep117: Kryptokrisen, der ikke var (og farvel for evigt til Win 7) [Lyd + tekst]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png "S3 Ep117: Kryptokrisen, der ikke var (og farvel for evigt til Win 7) [Lyd + tekst]")
![S3 Ep107: Otte måneder til at sparke skurkene ud, og du synes, det er GODT? [Lyd + tekst] PlatoBlockchain Data Intelligence. Lodret søgning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/bn-1200-300x157.png "S3 Ep107: Otte måneder til at sparke skurkene ud, og du synes, det er GODT? [Lyd + tekst]")
