Traffic Light Protocol for cybersikkerhetsreagerer får en fornyelse

Ordet "protokoll" dukker opp overalt i IT, og beskriver vanligvis detaljene om hvordan man utveksler data mellom rekvirenten og den som svarer.

Dermed har vi HTTP, forkortelse for Hypertext Transfer Protocol, som forklarer hvordan man kommuniserer med en webserver; SMTP, eller enkel postoverføringsprotokoll, som styrer sending og mottak av e-post; og BGP, den grenseportprotokoll, ved hjelp av hvilke Internett-leverandører som forteller hverandre hvilke internettdestinasjoner de kan hjelpe til med å levere data til, og hvor raskt.

Men det er også en viktig protokoll som hjelper mennesker innen IT, inkludert forskere, respondere, systemadministratorer, ledere og brukere, til å være forsiktige med hvordan de håndterer informasjon om cybersikkerhetstrusler.

Den protokollen er kjent som TLP, forkortelse for Trafikklysprotokoll, utviklet som en veldig enkel måte å merke cybersikkerhetsinformasjon slik at mottakeren enkelt kan finne ut hvor sensitiv den er, og hvor mye den kan deles uten å gjøre en dårlig ting verre.

Interessant nok er det ikke alle som abonnerer på ideen om at spredning av cybersikkerhetsinformasjon noen gang bør begrenses, selv frivillig.

Entusiaster av såkalte full avsløring insisterer på at å publisere så mye informasjon som mulig, så bredt som mulig, så raskt som mulig, faktisk er den beste måten å håndtere sårbarheter, utnyttelser, nettangrep og lignende på.

Talsmenn for full avsløring vil fritt innrømme at dette noen ganger spiller i hendene på nettkriminelle, ved å tydelig identifisere informasjonen de trenger (og gi bort kunnskap de kanskje ikke tidligere hadde hatt) for å sette i gang angrep med en gang, før noen er klare.

Full avsløring kan også forstyrre nettforsvar ved å tvinge systemadministratorer overalt til å stoppe det de gjør og avlede oppmerksomheten deres umiddelbart til noe som ellers trygt kunne vært planlagt for oppmerksomhet litt senere, hvis bare det ikke hadde blitt ropt fra hustakene.

Enkelt, greit og rettferdig

Likevel vil tilhengere av full avsløring fortelle deg at ingenting kan være enklere, enklere eller mer rettferdig enn å bare fortelle alle på samme tid.

Tross alt, hvis du forteller noen mennesker, men ikke andre, slik at de kan begynne å forberede potensielle forsvar i komparativ hemmelighold og derfor kanskje komme i forkant av nettkriminelle, kan du faktisk gjøre ting verre for verden for øvrig.

Hvis til og med en av personene i den indre kretsen viser seg å være en skurk, eller utilsiktet gir bort hemmeligheten ganske enkelt på grunn av hvordan de reagerer, eller av planene de plutselig bestemmer seg for å sette i verk, så kan skurkene meget godt reversere den hemmelige informasjonen for seg selv uansett ...

…og da vil alle andre som ikke er en del av den indre sirkelen bli kastet til ulvene.

Uansett, hvem bestemmer hvilke individer eller organisasjoner som blir tatt opp i den indre kretsen (eller "Old Boy's Club", hvis du vil være nedsettende om det)?

I tillegg sikrer full avsløringsdoktrinen at selskaper ikke kan komme unna med å feie problemer under teppet og ikke gjøre noe med dem.

Med ordene til den beryktede (og problematiske, men det er et argument for en annen dag) fra 1992 hackerfilmen Sneakers: "Ingen flere hemmeligheter, Marty."

Ansvarlig avsløring

Full avsløring er imidlertid ikke hvordan cybersikkerhetsrespons vanligvis gjøres i disse dager.

Enkelte typer datarelaterte data kan ganske enkelt ikke deles etisk eller lovlig, hvis det kan skade noens personvern, eller sette mottakerne selv i strid med databeskyttelses- eller databesittelsesbestemmelser.

I stedet har cybersikkerhetsindustrien stort sett slått seg til ro på en slags mellomting for å rapportere cybersikkerhetsinformasjon, kjent uformelt som ansvarlig avsløring.

Denne prosessen er basert på ideen om at den sikreste og mest rettferdige måten å få løst nettsikkerhetsproblemer på uten å røpe dem til hele verden med en gang, er å gi menneskene som skapte problemene "første stikk" for å fikse dem.

Hvis du for eksempel finner et hull i et fjerntilgangsprodukt som kan føre til en sikkerhetsomkjøring, eller hvis du finner en feil i en server som kan føre til ekstern kjøring av kode, rapporterer du det privat til leverandøren av produktet (eller teamet som ser etter det, hvis det er åpen kildekode).

Deretter avtaler du med dem en hemmelighetsperiode, som vanligvis varer fra noen få dager til noen måneder, hvor de kan ordne opp i hemmelighet, hvis de vil, og avsløre de blodige detaljene først etter at rettelsene deres er klare.

Men hvis den avtalte perioden utløper uten resultat, bytter du til full avsløringsmodus og avslører detaljene for alle uansett, og sikrer dermed at problemet ikke bare kan feies under teppet og ignoreres på ubestemt tid.

Kontrollert deling

Selvfølgelig betyr ansvarlig avsløring ikke at organisasjonen som mottok den første rapporten er tvunget til å holde informasjonen for seg selv

De første mottakerne av en privat rapport kan bestemme at de vil eller trenger å dele nyhetene uansett, kanskje på en begrenset måte.

For eksempel, hvis du har en kritisk oppdatering som vil kreve at flere deler av organisasjonen din samarbeider, har du lite annet valg enn å dele informasjonen internt.

Og hvis du har en oppdatering som du vet vil fikse et nylig oppdaget sikkerhetshull, men bare hvis kundene dine gjør noen konfigurasjonsendringer før de ruller den ut, kan det være lurt å gi dem en tidlig advarsel slik at de kan gjøre seg klare.

Samtidig vil du kanskje be dem pent om ikke å fortelle resten av verden alt om problemet ennå.

Eller du etterforsker kanskje et pågående nettangrep, og du vil kanskje avsløre forskjellige mengder detaljer til forskjellige målgrupper etter hvert som etterforskningen utfolder seg.

Du har kanskje generelle råd som trygt og nyttig kan deles med hele verden akkurat nå.

Du kan ha spesifikke data (som IP-blokkeringslister eller andre indikatorer på kompromiss) som du ønsker å dele med bare ett selskap, fordi informasjonen uunngåelig avslører dem som et offer.

Og det kan være lurt å avsløre alt du vet, så snart du vet det, til individuelle politietterforskere som du stoler på vil gå etter de involverte kriminelle.

Hvordan merke informasjonen?

Hvordan merke disse ulike nivåene av cybersikkerhetsinformasjon entydig?

Rettshåndhevelse, sikkerhetstjenester, militære og offisielle internasjonale organer har vanligvis sin egen sjargong, kjent som beskyttende merking, for denne typen ting, med etiketter som vi alle kjenner fra spionfilmer, som f.eks SECRET, TOP SECRET, FOR YOUR EYES ONLY, NO FOREIGN NATIONALS, Og så videre.

Men forskjellige etiketter betyr forskjellige ting i forskjellige deler av verden, så denne typen beskyttende merking oversettes ikke godt for offentlig bruk på mange forskjellige språk, regioner og cybersikkerhetskulturer.

(Noen ganger kan disse merkelappene være språklig utfordrende. Skulle et konfidensielt dokument produsert av FN for eksempel merkes UN - CLASSIFIED? Eller vil det bli feiltolket som UNCLASSIFIED og bli delt bredt?)

Hva med et merkesystem som bruker enkle ord og en åpenbar global metafor?

Det er der Trafikklysprotokoll kommer i.

Metaforen, som du vil ha gjettet, er det ydmyke trafikksignalet, som bruker de samme fargene, med omtrent de samme betydningene, i nesten alle land i verden.

RØD betyr stopp, og ingenting annet enn stopp; RUL betyr stopp med mindre å gjøre det i seg selv ville være farlig; og GRØNN betyr at du har lov til å gå, forutsatt at det er trygt å gjøre det.

Moderne trafikksignaler, som bruker LED for å produsere spesifikke lysfrekvenser, i stedet for filtre for å fjerne uønskede fargebånd fra glødelamper, er så lyse og presist målrettet at noen jurisdiksjoner ikke lenger gidder å teste potensielle sjåfører for såkalt fargeblindhet, fordi tre frekvensbånd som sendes ut er så smale at det er nesten umulig å blande sammen, og deres betydninger er så veletablerte.

Selv om du bor i et land der trafikklys har flere "mellom"-signaler, for eksempel grønt+rav sammen, rødt+rav sammen, eller én farge som blinker kontinuerlig av seg selv, forstår stort sett alle i verden trafikklysmetaforer basert på bare de tre hovedfargene.

Faktisk, selv om du er vant til å kalle det midterste lyset GULT i stedet for GUL, som noen land gjør, er det åpenbart hva GUL refererer til, om ikke annet fordi det er den i midten som ikke er RØD eller GRØNN.

TLP versjon 2.0

De Trafikklysprotokoll ble først introdusert i 1999, og ved å følge prinsippet om Hold det enkelt og greit (KISS), har blitt et nyttig merkesystem for nettsikkerhetsrapporter.

Til syvende og sist krevde TLP fire nivåer, ikke tre, så fargen WHITE ble lagt til for å bety "du kan dele dette med hvem som helst", og betegnelsene ble definert veldig spesifikt som tekststrengene TLP:RED (alle store bokstaver, ingen mellomrom), TLP:AMBER, TLP:GREEN og TLP:WHITE.

Ved å holde mellomrom borte fra etikettene og tvinge dem til store bokstaver, skiller de seg tydelig ut i e-postemnelinjer, er enkle å bruke når du sorterer og søker, og blir ikke delt mellom linjer ved en feiltakelse.

Vel, etter mer enn 20 års tjeneste har TLP gjennomgått en mindre oppdatering, slik at vi fra august 2022 har Trafikklysprotokoll 2.0.

For det første er fargen WHITE byttet ut med CLEAR.

Hvitt har ikke bare rasemessige og etniske overtoner som vanlig anstendighet inviterer oss til å unngå, men representerer også på en forvirrende måte alle de andre fargene blandet sammen, som om det kan bety gå-og-stopp-på-samme tid.

Så CLEAR er ikke bare et ord som passer mer komfortabelt i samfunnet i dag, men også et som passer det tiltenkte formålet mer (ahem) tydeligere.

Og en femte markør er lagt til, nemlig TLP:AMBER+STRICT.

Nivåene tolkes som følger:

TLP:RED	"Bare for øynene og ørene til individuelle mottakere." Dette er ganske enkelt å tolke: hvis du mottar et TLP:RED cybersikkerhetsdokument, kan du handle på det, men du må ikke videresende det til noen andre. Det er derfor ikke nødvendig for deg å prøve å finne ut om du skal gi beskjed til venner, kolleger eller medforskere. Dette nivået er reservert for informasjon som kan forårsake "betydelig risiko for personvernet, omdømmet eller driften til de involverte organisasjonene."
TLP:AMBER+STRICT	Du kan dele denne informasjonen, men bare med andre personer i organisasjonen din. Så du kan diskutere det med programmeringsteam, eller med IT-avdelingen. Men du må holde den "in house". Spesielt må du ikke videresende den til dine kunder, forretningspartnere eller leverandører. Dessverre prøver ikke TLP-dokumentasjonen å definere om en entreprenør eller en tjenesteleverandør er intern eller ekstern. Vi foreslår at du behandler uttrykket "begrense deling til organisasjonen bare" så strengt du kan, som navnet på dette sikkerhetsnivået tilsier, men vi mistenker at noen selskaper vil ende opp med en mer liberal tolkning av denne regelen.
TLP:AMBER	Som TLP:AMBER+STRICT, men du kan dele informasjonen med kunder (TLP-dokumentet bruker faktisk ordet klienter) hvis nødvendig.
TLP:GREEN	Du kan dele denne informasjonen i fellesskapet ditt. TLP lar det være opp til deg å være rimelig om hvilke personer som utgjør fellesskapet ditt, og bare bemerker det "når 'fellesskap' ikke er definert, anta cybersikkerhets-/forsvarssamfunnet." I praksis kan du like gjerne anta at alt som er publisert som TLP:GREEN vil ende opp som offentlig kunnskap, men det er ditt ansvar å tenke gjennom hvordan du selv deler det.
TLP:CLEAR	Veldig enkelt, du er tydelig på å dele denne informasjonen med alle du liker. Som TLP sier det: «Mottakere kan spre dette til verden; det er ingen begrensning på offentliggjøring.» Denne etiketten er spesielt nyttig når du deler to eller flere dokumenter med en klarert part, og minst ett av dokumentene er merket for begrenset deling. Å sette TLP:CLEAR på innholdet som de kan dele, og kanskje du vil at de skal dele for å øke bevisstheten, gjør oppmerksomheten din helt tydelig, hvis du vil tilgi ordspillet.

Bare for å være tydelig (beklager!), setter vi ikke TLP:CLEAR på hver Naked Security-artikkel vi publiserer, gitt at denne nettsiden allerede er offentlig tilgjengelig, men vi inviterer deg til å anta det.

---