El Traffic Light Protocol para los respondedores de seguridad cibernética se renueva

La palabra "protocolo" aparece por todas partes en TI, y generalmente describe los detalles de cómo intercambiar datos entre el solicitante y el que responde.

Así tenemos HTTP, abreviatura de Protocolo de Transferencia de Hipertexto, que explica cómo comunicarse con un servidor web; SMTP, o Protocolo simple de transferencia de correo, que rige el envío y la recepción de correo electrónico; y BGP, el protocolo de puerta de enlace fronteriza, mediante el cual los ISP se comunican entre sí a qué destinos de Internet pueden ayudar a entregar datos y con qué rapidez.

Pero también hay un protocolo importante que ayuda a los humanos en TI, incluidos investigadores, personal de respuesta, administradores de sistemas, gerentes y usuarios, a ser prudentes en la forma en que manejan la información sobre las amenazas de seguridad cibernética.

Ese protocolo se conoce como TLP, abreviatura de Protocolo de semáforo, diseñado como una forma realmente simple de etiquetar la información de seguridad cibernética para que el destinatario pueda descubrir fácilmente qué tan sensible es y qué tan ampliamente se puede compartir sin empeorar lo malo.

Curiosamente, no todo el mundo suscribe la idea de que la difusión de información sobre ciberseguridad debería restringirse alguna vez, ni siquiera de forma voluntaria.

entusiastas de los llamados divulgación completa insista en que publicar la mayor cantidad de información posible, lo más ampliamente posible, lo más rápido posible, es en realidad la mejor manera de lidiar con vulnerabilidades, exploits, ataques cibernéticos y similares.

Los defensores de la divulgación completa admitirán libremente que esto a veces les hace el juego a los ciberdelincuentes, al identificar claramente la información que necesitan (y brindar conocimientos que quizás no hayan tenido antes) para iniciar ataques de inmediato, antes de que alguien esté listo.

La divulgación completa también puede interrumpir las defensas cibernéticas al obligar a los administradores de sistemas en todas partes a detener lo que estén haciendo y desviar su atención de inmediato a algo que de otro modo podría haberse programado con seguridad para un poco más tarde, si no hubiera sido gritado desde los tejados.

Simple, fácil y justo

Sin embargo, los partidarios de la divulgación completa le dirán que nada podría ser más simple, más fácil o más justo que decirle a todos al mismo tiempo.

Después de todo, si le dice a algunas personas pero no a otras, para que puedan comenzar a preparar posibles defensas en un secreto relativo y, por lo tanto, tal vez adelantarse a los ciberdelincuentes, en realidad podría empeorar las cosas para el mundo en general.

Si incluso una de las personas en el círculo interno resulta ser un bribón, o sin darse cuenta revela el secreto simplemente por la naturaleza de su respuesta, o por los planes que repentinamente deciden poner en acción, entonces los ladrones pueden muy bien aplicar ingeniería inversa a la información secreta por sí mismos de todos modos...

…y luego todos los demás que no sean parte del círculo interno serán arrojados a los lobos.

De todos modos, ¿quién decide qué personas u organizaciones son admitidas en el círculo interno (o en el "Club de los viejos", si quieres ser peyorativo al respecto)?

Además, la doctrina de la divulgación completa garantiza que las empresas no pueden salirse con la suya barriendo los problemas debajo de la alfombra y sin hacer nada al respecto.

En palabras de la infame (y problemática, pero ese es un argumento para otro día) de 1992, la película de hackers Sneakers: No más secretos, Marty.

Divulgación responsable

Sin embargo, la divulgación completa no es la forma en que generalmente se realiza la respuesta de seguridad cibernética en estos días.

De hecho, algunos tipos de datos relacionados con ciberamenazas simplemente no se pueden compartir de manera ética o legal, si hacerlo podría dañar la privacidad de alguien o poner a los destinatarios en violación de las regulaciones de protección o posesión de datos.

En cambio, la industria de la seguridad cibernética se ha asentado en gran medida en una especie de término medio para reportar información de seguridad cibernética, conocida informalmente como divulgación responsable.

Este proceso se basa en la idea de que la forma más segura y justa de solucionar los problemas de seguridad cibernética sin revelarlos a todo el mundo de inmediato es dar a las personas que crearon los problemas "primeros intentos" para solucionarlos.

Por ejemplo, si encuentra un agujero en un producto de acceso remoto que podría conducir a una omisión de seguridad, o si encuentra un error en un servidor que podría conducir a la ejecución remota de código, debe informarlo de forma privada al proveedor del producto (o el equipo que lo cuida, si es de código abierto).

Luego acuerda con ellos un período de secreto, que generalmente dura desde unos pocos días hasta algunos meses, durante el cual pueden resolverlo en secreto, si lo desean, y revelar los detalles sangrientos solo después de que sus correcciones estén listas.

Pero si el período acordado expira sin resultado, cambias al modo de divulgación completa y revelas los detalles a todos de todos modos, asegurando así que el problema no pueda simplemente barrerse bajo la alfombra e ignorarse indefinidamente.

Uso compartido controlado

Por supuesto, la divulgación responsable no significa que la organización que recibió el informe inicial esté obligada a guardar la información para sí misma.

Los destinatarios iniciales de un informe privado pueden decidir que quieren o necesitan compartir la noticia de todos modos, quizás de forma limitada.

Por ejemplo, si tiene un parche crítico que requerirá la cooperación de varias partes de su organización, no tendrá más remedio que compartir la información internamente.

Y si tiene un parche que sabe que solucionará un agujero de seguridad recientemente descubierto, pero solo si sus clientes realizan algunos cambios de configuración antes de implementarlo, es posible que desee advertirles con anticipación para que puedan prepararse.

Al mismo tiempo, es posible que desee pedirles amablemente que no le cuenten al resto del mundo todo sobre el problema todavía.

O podría estar investigando un ciberataque en curso y tal vez desee revelar diferentes cantidades de detalles a diferentes audiencias a medida que se desarrolla la investigación.

Es posible que tenga consejos generales que se pueden compartir de manera segura y útil ahora mismo con todo el mundo.

Es posible que tenga datos específicos (como listas de bloqueo de IP u otros indicadores de compromiso) que quiera compartir con una sola empresa, porque la información inevitablemente los revela como víctimas.

Y es posible que desee revelar todo lo que sabe, tan pronto como lo sepa, a los investigadores policiales individuales en quienes confíe para perseguir a los delincuentes involucrados.

¿Cómo etiquetar la información?

¿Cómo etiquetar estos diferentes niveles de información de ciberseguridad sin ambigüedades?

Las fuerzas del orden, los servicios de seguridad, las fuerzas armadas y los organismos internacionales oficiales suelen tener su propia jerga, conocida como marcado protector, para este tipo de cosas, con etiquetas que todos conocemos de las películas de espías, como SECRET, TOP SECRET, FOR YOUR EYES ONLY, NO FOREIGN NATIONALS, Y así sucesivamente.

Pero diferentes etiquetas significan cosas diferentes en diferentes partes del mundo, por lo que este tipo de marca protectora no se traduce bien para uso público en muchos idiomas, regiones y culturas de seguridad cibernética diferentes.

(A veces, estas etiquetas pueden ser lingüísticamente desafiantes. ¿Debería etiquetarse un documento confidencial producido por las Naciones Unidas, por ejemplo, UN - CLASSIFIED? ¿O eso sería malinterpretado como UNCLASSIFIED y ser compartido ampliamente?)

¿Qué pasa con un sistema de etiquetado que usa palabras simples y una metáfora global obvia?

Ahí es donde el Protocolo de semáforo entra en juego.

La metáfora, como habrás adivinado, es el humilde semáforo, que usa los mismos colores, con los mismos significados, en casi todos los países del mundo.

ROJO significa alto, y nada más que alto; AMBER significa detenerse a menos que hacerlo sea peligroso; y VERDE significa que puede ir, suponiendo que sea seguro hacerlo.

Los semáforos modernos, que usan LED para producir frecuencias de luz específicas, en lugar de filtros para eliminar las bandas de color no deseadas de las lámparas incandescentes, son tan brillantes y precisos que algunas jurisdicciones ya no se molestan en evaluar a los posibles conductores para detectar el llamado daltonismo, porque el las tres bandas de frecuencia emitidas son tan estrechas que es casi imposible confundirlas, y sus significados están muy bien establecidos.

Incluso si vive en un país donde los semáforos tienen señales "intermedias" adicionales, como verde + ámbar juntos, rojo + ámbar juntos o un color que parpadea continuamente por sí solo, casi todo el mundo entiende las metáforas de los semáforos. basado solo en esos tres colores principales.

De hecho, incluso si está acostumbrado a llamar a la luz del medio AMARILLA en lugar de ÁMBAR, como lo hacen algunos países, es obvio a qué se refiere ÁMBAR, aunque solo sea porque es la del medio que no es ROJA o VERDE.

TLP Versión 2.0

La Protocolo de semáforo se introdujo por primera vez en 1999, y siguiendo el principio de Mantenlo simple y directo (KISS), se ha convertido en un útil sistema de etiquetado para informes de ciberseguridad.

En última instancia, el TLP requería cuatro niveles, no tres, por lo que se agregó el color BLANCO para significar "puedes compartir esto con cualquiera", y los designadores se definieron de manera muy específica como cadenas de texto. TLP:RED (todo en mayúsculas, sin espacios), TLP:AMBER, TLP:GREEN y TLP:WHITE.

Al mantener los espacios fuera de las etiquetas y ponerlas en mayúsculas, se destacan claramente en las líneas de asunto del correo electrónico, son fáciles de usar al ordenar y buscar, y no se dividirán entre líneas por error.

Pues bien, después de más de 20 años de servicio, el TLP ha sufrido una actualización menor, por lo que a partir de agosto de 2022 tenemos Protocolo de semáforo 2.0.

En primer lugar, se ha sustituido el color BLANCO por CLARO.

El blanco no solo tiene matices raciales y étnicos que la decencia común nos invita a evitar, sino que también representa de manera confusa todos los demás colores mezclados, como si pudiera significar ir y detenerse al mismo tiempo.

Entonces CLARO no es solo una palabra que encaja más cómodamente en la sociedad actual, sino también una que se adapta más (ejem) claramente a su propósito previsto.

Y se ha añadido un quinto marcador, a saber TLP:AMBER+STRICT.

Los niveles se interpretan de la siguiente manera:

TLP:RED	“Solo para los ojos y oídos de los destinatarios individuales”. Esto es bastante fácil de interpretar: si recibe un documento de ciberseguridad TLP:RED, puede actuar en consecuencia, pero no debe reenviarlo a nadie más. Por lo tanto, no es necesario que intente averiguar si debe informar a sus amigos, colegas o compañeros investigadores. Este nivel está reservado para información que podría causar “riesgo significativo para la privacidad, la reputación o las operaciones de las organizaciones involucradas”.
TLP:AMBER+STRICT	Puede compartir esta información, pero solo con otras personas dentro de su organización. Para que pueda discutirlo con los equipos de programación o con el departamento de TI. Pero debes mantenerlo “en casa”. En particular, no debe reenviarlo a sus clientes, socios comerciales o proveedores. Desafortunadamente, la documentación de TLP no trata de definir si un contratista o un proveedor de servicios es interno o externo. Le sugerimos que trate la frase "restringir el uso compartido a la organización , solamente" tan estrictamente como sea posible, como sugiere el nombre de este nivel de seguridad, pero sospechamos que algunas empresas terminarán con una interpretación más liberal de esta regla.
TLP:AMBER	Como TLP:AMBER+STRICT, pero puede compartir la información con los clientes (el documento TLP en realidad usa la palabra clientes) si necesario.
TLP:GREEN	Puede compartir esta información dentro de su comunidad. El TLP deja que usted sea razonable acerca de qué personas constituyen su comunidad, señalando solo que “cuando no se define 'comunidad', asuma la comunidad de ciberseguridad/defensa”. En la práctica, también podría asumir que todo lo que se publique como TLP:GREEN terminará siendo de conocimiento público, pero es usted quien tiene la responsabilidad de considerar cómo lo comparte.
TLP:CLEAR	Muy simple, tienes claro compartir esta información con quien quieras. Como dice el TLP: “Los destinatarios pueden difundir esto al mundo; no hay límite en la divulgación”. Esta etiqueta es especialmente útil cuando comparte dos o más documentos con una persona de confianza y al menos uno de los documentos está marcado para uso compartido restringido. Poner TLP:CLEAR en el contenido que pueden compartir, y tal vez que quieras que compartan para aumentar la conciencia, hace que tu atención sea muy clara, si me perdonas el juego de palabras.

Para que quede claro (¡lo sentimos!), no ponemos TLP:CLEAR en cada artículo de Naked Security que publicamos, dado que este sitio web ya es de acceso público, pero lo invitamos a asumirlo.

---