Traffic Light Protocol voor cybersecurity-responders krijgt een opknapbeurt

Het woord 'protocol' duikt overal in de IT op en beschrijft meestal de details van de uitwisseling van gegevens tussen aanvrager en beantwoorder.

We hebben dus HTTP, een afkorting voor hypertext transfer protocol, waarin wordt uitgelegd hoe u met een webserver kunt communiceren; SMTP, of eenvoudig protocol voor e-mailoverdracht, die het verzenden en ontvangen van e-mail regelt; en BGP, de grens gateway-protocol, waarmee ISP's elkaar vertellen op welke internetbestemmingen ze data kunnen leveren en hoe snel.

Maar er is ook een belangrijk protocol dat mensen in de IT, waaronder onderzoekers, hulpverleners, systeembeheerders, managers en gebruikers, helpt om omzichtig om te gaan met informatie over cyberdreigingen.

Dat protocol staat bekend als: TLP, kort voor de Verkeerslichtprotocol, ontworpen als een heel eenvoudige manier om cyberbeveiligingsinformatie te labelen, zodat de ontvanger gemakkelijk kan achterhalen hoe gevoelig deze is en hoe wijdverbreid deze kan worden gedeeld zonder de slechte zaak erger te maken.

Interessant is dat niet iedereen het idee onderschrijft dat de verspreiding van cyberbeveiligingsinformatie ooit moet worden beperkt, zelfs niet vrijwillig.

Liefhebbers van zogenaamde totale openheid erop aandringen dat het publiceren van zoveel mogelijk informatie, zo breed mogelijk, zo snel mogelijk, eigenlijk de beste manier is om kwetsbaarheden, exploits, cyberaanvallen en dergelijke aan te pakken.

Voorstanders van volledige openbaarmaking zullen vrijelijk toegeven dat dit soms in de kaart speelt van cybercriminelen, door duidelijk de informatie te identificeren die ze nodig hebben (en kennis weg te geven die ze misschien niet eerder hadden) om meteen aanvallen te starten, voordat iemand er klaar voor is.

Volledige openbaarmaking kan ook de cyberbeveiliging verstoren door systeembeheerders overal te dwingen te stoppen met wat ze aan het doen zijn en hun aandacht onmiddellijk af te leiden naar iets dat anders gerust wat later voor aandacht had kunnen worden gepland, als het maar niet van de daken was geschreeuwd.

Eenvoudig, gemakkelijk en eerlijk

Desalniettemin zullen aanhangers van volledige openbaarmaking u vertellen dat niets eenvoudiger, gemakkelijker of eerlijker kan zijn dan het iedereen op hetzelfde moment te vertellen.

Immers, als je het aan sommige mensen vertelt, maar niet aan anderen, zodat ze in relatief geheim kunnen beginnen met het voorbereiden van mogelijke verdedigingen en daardoor misschien de cybercriminelen een stap voor zijn, zou je de zaken in feite erger kunnen maken voor de wereld als geheel.

Als zelfs een van de mensen in de binnenste cirkel een schurk blijkt te zijn, of per ongeluk het geheim verklapt, simpelweg door de aard van hoe ze reageren, of door de plannen die ze plotseling besluiten in daden om te zetten, dan kunnen de boeven heel goed reverse engineer de geheime informatie toch voor zichzelf ...

…en dan zal iedereen die geen deel uitmaakt van de binnenste cirkel voor de wolven worden gegooid.

Hoe dan ook, wie beslist welke individuen of organisaties worden toegelaten tot de binnenste cirkel (of de "Old Boy's Club", als je er pejoratief over wilt zijn)?

Bovendien zorgt de doctrine van volledige openbaarmaking ervoor dat bedrijven niet weg kunnen komen met het onder het tapijt vegen van problemen en er niets aan doen.

In de woorden van de beruchte (en problematische, maar dat is een argument voor een andere dag) hackerfilm Sneakers uit 1992: 'Geen geheimen meer, Marty.'

Verantwoorde openbaarmaking

Volledige openbaarmaking is echter niet hoe cybersecurity tegenwoordig gewoonlijk wordt gedaan.

Sommige soorten gegevens die verband houden met cyberdreigingen kunnen eenvoudigweg niet ethisch of legaal worden gedeeld, als dit iemands privacy zou kunnen schaden of de ontvangers zelf in strijd zou kunnen brengen met de voorschriften voor gegevensbescherming of gegevensbezit.

In plaats daarvan heeft de cyberbeveiligingsindustrie zich grotendeels gevestigd op een soort middenweg voor het rapporteren van cyberbeveiligingsinformatie, informeel bekend als: verantwoorde openbaarmaking.

Dit proces is gebaseerd op het idee dat de veiligste en eerlijkste manier om cyberbeveiligingsproblemen op te lossen zonder ze meteen aan de hele wereld te verspreiden, is om de mensen die de problemen hebben veroorzaakt "eerste klappen" te geven bij het oplossen ervan.

Als u bijvoorbeeld een gat vindt in een product voor externe toegang dat zou kunnen leiden tot een beveiligingsbypass, of als u een fout in een server aantreft die kan leiden tot het uitvoeren van externe code, meldt u dit privé aan de leverancier van het product (of het team dat ervoor zorgt, als het open source is).

U stemt dan met hen een periode van geheimhouding in, meestal van een paar dagen tot een paar maanden, waarin ze het in het geheim kunnen uitzoeken, als ze willen, en de bloederige details pas onthullen nadat hun oplossingen klaar zijn.

Maar als de afgesproken periode zonder resultaat afloopt, schakelt u over naar de volledige openbaarmakingsmodus en onthult u de details toch aan iedereen, zodat u ervoor zorgt dat het probleem niet zomaar onder het tapijt kan worden geveegd en voor onbepaalde tijd kan worden genegeerd.

Gecontroleerd delen

Verantwoorde openbaarmaking betekent natuurlijk niet dat de organisatie die de eerste melding heeft ontvangen, verplicht is de informatie voor zichzelf te houden

De eerste ontvangers van een privébericht kunnen besluiten dat ze het nieuws toch willen of moeten delen, misschien in beperkte mate.

Als u bijvoorbeeld een kritieke patch heeft waarvoor verschillende delen van uw organisatie moeten samenwerken, heeft u weinig andere keus dan de informatie intern te delen.

En als er een patch uitkomt waarvan u weet dat deze een recent ontdekt beveiligingslek zal verhelpen, maar alleen als uw klanten enkele configuratiewijzigingen aanbrengen voordat ze deze uitrollen, wilt u ze misschien een vroege waarschuwing geven zodat ze zich kunnen voorbereiden.

Tegelijkertijd wil je ze misschien vriendelijk vragen om de rest van de wereld nog niet alles over het probleem te vertellen.

Of misschien onderzoekt u een lopende cyberaanval en wilt u mogelijk verschillende hoeveelheden details aan verschillende doelgroepen onthullen naarmate het onderzoek vordert.

Je hebt misschien algemeen advies dat nu veilig en nuttig met de hele wereld kan worden gedeeld.

Mogelijk hebt u specifieke gegevens (zoals IP-blokkeringslijsten of andere indicatoren van compromis) die u met slechts één bedrijf wilt delen, omdat de informatie hen onvermijdelijk als slachtoffer onthult.

En misschien wil je alles wat je weet, zodra je het weet, onthullen aan individuele wetshandhavers die je vertrouwt om achter de betrokken criminelen aan te gaan.

Hoe de informatie te labelen?

Hoe deze verschillende niveaus van cyberbeveiligingsinformatie eenduidig ​​te labelen?

Wetshandhavers, veiligheidsdiensten, militairen en officiële internationale instanties hebben doorgaans hun eigen jargon, ook wel bekend als: beschermende markering, voor dit soort dingen, met labels die we allemaal kennen van spionagefilms, zoals SECRET, TOP SECRET, FOR YOUR EYES ONLY, NO FOREIGN NATIONALS, Enzovoort.

Maar verschillende labels betekenen verschillende dingen in verschillende delen van de wereld, dus dit soort beschermende markeringen zijn niet goed te vertalen voor openbaar gebruik in veel verschillende talen, regio's en cyberbeveiligingsculturen.

(Soms kunnen deze labels taalkundig uitdagend zijn. Mocht een vertrouwelijk document dat bijvoorbeeld door de Verenigde Naties is opgesteld, worden gelabeld UN - CLASSIFIED? Of zou dat verkeerd worden geïnterpreteerd als? UNCLASSIFIED en op grote schaal worden gedeeld?)

Hoe zit het met een etiketteringssysteem dat gebruikmaakt van eenvoudige woorden en een voor de hand liggende globale metafoor?

Dat is waar de Verkeerslichtprotocol komt binnen.

De metafoor is, zoals je waarschijnlijk al geraden hebt, het nederige verkeerslicht, dat in bijna elk land ter wereld dezelfde kleuren gebruikt, met vrijwel dezelfde betekenissen.

ROOD betekent stoppen, en niets anders dan stoppen; AMBER betekent stoppen, tenzij dit zelf gevaarlijk zou zijn; en GROEN betekent dat je mag gaan, ervan uitgaande dat het veilig is om dat te doen.

Moderne verkeerslichten, die LED's gebruiken om specifieke lichtfrequenties te produceren, in plaats van filters om ongewenste kleurbanden van gloeilampen te verwijderen, zijn zo helder en precies gericht dat sommige rechtsgebieden niet langer de moeite nemen om toekomstige bestuurders te testen op zogenaamde kleurenblindheid, omdat de drie uitgezonden frequentiebanden zijn zo smal dat ze bijna onmogelijk door elkaar kunnen worden gehaald, en hun betekenissen zijn zo goed ingeburgerd.

Zelfs als je in een land woont waar verkeerslichten aanvullende "tussen"-signalen hebben, zoals groen + oranje samen, rood + oranje samen, of één kleur die continu op zichzelf knippert, begrijpt vrijwel iedereen ter wereld verkeerslichtmetaforen gebaseerd op alleen die drie hoofdkleuren.

Inderdaad, zelfs als je gewend bent om het middelste licht GEEL te noemen in plaats van AMBER, zoals sommige landen doen, is het duidelijk waar AMBER naar verwijst, al was het maar omdat het de middelste is die niet ROOD of GROEN is.

TLP-versie 2.0

De Verkeerslichtprotocol werd voor het eerst geïntroduceerd in 1999, en volgens het principe van: Houd het simpel en duidelijk (KISS), is een handig labelsysteem geworden voor cyberbeveiligingsrapporten.

Uiteindelijk vereiste de TLP vier niveaus, niet drie, dus de kleur WIT werd toegevoegd om te betekenen "je kunt dit met iedereen delen", en de aanduidingen werden heel specifiek gedefinieerd als de tekstreeksen TLP:RED (alle hoofdletters, geen spaties), TLP:AMBER, TLP:GREEN en TLP:WHITE.

Door spaties uit de labels te houden en ze in hoofdletters te forceren, vallen ze duidelijk op in de onderwerpregels van e-mails, zijn ze gemakkelijk te gebruiken bij het sorteren en zoeken en worden ze niet per ongeluk tussen regels gesplitst.

Welnu, na meer dan 20 jaar dienst heeft de TLP een kleine update ondergaan, zodat we vanaf augustus 2022 Verkeerslichtprotocol 2.0.

Ten eerste is de kleur WIT vervangen door CLEAR.

Wit heeft niet alleen raciale en etnische ondertonen die het gewone fatsoen ons uitnodigt om te vermijden, maar vertegenwoordigt ook verwarrend alle andere kleuren met elkaar vermengd, alsof het zou kunnen betekenen dat je tegelijkertijd moet gaan en stoppen.

CLEAR is dus niet alleen een woord dat beter past in de huidige samenleving, maar ook een woord dat duidelijker past bij het beoogde doel (ahem).

En er is een vijfde markering toegevoegd, namelijk TLP:AMBER+STRICT.

De niveaus worden als volgt geïnterpreteerd:

TLP:RED	"Alleen voor de ogen en oren van individuele ontvangers." Dit is vrij eenvoudig te interpreteren: als u een TLP:RED cybersecurity-document ontvangt, kunt u ernaar handelen, maar u mag het niet doorsturen naar iemand anders. Je hoeft dus niet te bedenken of je het aan vrienden, collega's of collega-onderzoekers moet vertellen. Dit niveau is gereserveerd voor informatie die kan leiden tot: "aanzienlijk risico voor de privacy, reputatie of activiteiten van de betrokken organisaties."
TLP:AMBER+STRICT	U mag deze informatie delen, maar alleen met andere mensen binnen uw organisatie. Je kunt het dus bespreken met programmeerteams, of met de IT-afdeling. Maar je moet het wel ‘in huis’ houden. U mag deze met name niet doorsturen naar uw klanten, zakenpartners of leveranciers. Helaas probeert de TLP-documentatie niet te definiëren of een aannemer of een dienstverlener intern of extern is. We raden u aan de zin te behandelen: “delen beperken tot de organisatie Slechts" zo strikt mogelijk, zoals de naam van dit beveiligingsniveau doet vermoeden, maar we vermoeden dat sommige bedrijven zullen eindigen met een meer liberale interpretatie van deze regel.
TLP:AMBER	Zoals TLP:AMBER+STRICT, maar u mag de informatie delen met klanten (het TLP-document gebruikt feitelijk het woord klanten) indien nodig.
TLP:GREEN	U mag deze informatie binnen uw gemeenschap delen. De TLP laat het aan u over om redelijk te zijn over welke mensen uw gemeenschap vormen, alleen dat: "wanneer 'gemeenschap' niet is gedefinieerd, ga dan uit van de cyberbeveiligings-/defensiegemeenschap." In de praktijk kun je er net zo goed van uitgaan dat alles dat als TLP:GREEN wordt gepubliceerd, als publieke kennis zal eindigen, maar het is aan jou om goed na te denken over hoe je het zelf deelt.
TLP:CLEAR	Heel eenvoudig, je bent vrij om deze informatie te delen met iedereen die je wilt. Zoals de TLP het stelt: “Ontvangers kunnen dit doorgeven aan de wereld; er is geen limiet op openbaarmaking.” Dit label is met name handig wanneer u twee of meer documenten deelt met een vertrouwde partij en ten minste één van de documenten is gemarkeerd voor beperkt delen. Door TLP:CLEAR op de inhoud te zetten die ze kunnen delen, en misschien wilt u dat ze die delen om het bewustzijn te vergroten, wordt uw aandacht overduidelijk, als u de woordspeling wilt vergeven.

Voor alle duidelijkheid (sorry!), we zetten niet TLP:CLEAR op elk Naked Security-artikel dat we publiceren, aangezien deze website al openbaar toegankelijk is, maar we nodigen u uit om dit aan te nemen.

---