Zmodernizowany protokół sygnalizacji świetlnej dla ratowników cyberbezpieczeństwa

Słowo „protokół” pojawia się w całym obszarze IT, zwykle opisując szczegóły wymiany danych między zgłaszającym a odpowiadającym.

Tak więc mamy HTTP, skrót od protokół przesyłania hipertekstu, który wyjaśnia, jak komunikować się z serwerem internetowym; SMTP lub prosty protokół przesyłania poczty, który reguluje wysyłanie i odbieranie wiadomości e-mail; i BGP, protokół bramki granicznej, za pomocą których dostawcy usług internetowych informują się nawzajem, do jakich miejsc internetowych mogą pomóc dostarczać dane i jak szybko.

Ale istnieje również ważny protokół, który pomaga ludziom w IT, w tym badaczom, respondentom, administratorom, menedżerom i użytkownikom, zachować ostrożność w obchodzeniu się z informacjami o zagrożeniach cyberbezpieczeństwa.

Ten protokół jest znany jako TLP, skrót od Protokół sygnalizacji świetlnej, opracowany jako naprawdę prosty sposób oznaczania informacji dotyczących cyberbezpieczeństwa, tak aby odbiorca mógł łatwo określić, jak bardzo są one poufne i jak szeroko można je udostępniać bez pogarszania złych rzeczy.

Co ciekawe, nie wszyscy zgadzają się z ideą, że rozpowszechnianie informacji o cyberbezpieczeństwie powinno być kiedykolwiek ograniczone, nawet dobrowolnie.

Entuzjaści tzw pełne ujawnienie informacji nalegaj, aby publikowanie jak największej ilości informacji, tak szeroko, jak to możliwe, tak szybko, jak to możliwe, było najlepszym sposobem radzenia sobie z lukami w zabezpieczeniach, exploitami, cyberatakami i tym podobnymi.

Zwolennicy pełnego ujawnienia przyznają, że czasami gra to na rękę cyberprzestępcom, wyraźnie identyfikując informacje, których potrzebują (i przekazując wiedzę, której wcześniej nie mieli), aby natychmiast rozpocząć ataki, zanim ktokolwiek będzie gotowy.

Pełne ujawnienie może również zakłócić cyberobronę, zmuszając sysadminów na całym świecie do zaprzestania wszystkiego, co robią i natychmiastowego skierowania ich uwagi na coś, co w innym przypadku można by bezpiecznie zaplanować nieco później, gdyby tylko nie zostało to wykrzyczane z dachów.

Proste, łatwe i uczciwe

Niemniej jednak zwolennicy pełnego ujawnienia powiedzą ci, że nic nie może być prostsze, łatwiejsze i bardziej sprawiedliwe niż po prostu powiedzenie wszystkim w tym samym czasie.

W końcu, jeśli powiesz niektórym ludziom, ale nie innym, aby mogli zacząć przygotowywać potencjalną obronę we względnej tajemnicy, a tym samym być może wyprzedzić cyberprzestępców, możesz w rzeczywistości pogorszyć sytuację na całym świecie.

Jeśli choć jedna z osób z wewnętrznego kręgu okaże się łobuzem lub niechcący zdradzi tajemnicę po prostu ze względu na swoją reakcję lub plany, które nagle postanowią wprowadzić w życie, oszuści mogą bardzo dobrze i tak zaprojektuj dla siebie tajne informacje…

…a potem wszyscy, którzy nie są częścią wewnętrznego kręgu, zostaną rzuceni wilkom.

Zresztą, kto decyduje, które osoby lub organizacje zostaną przyjęte do wewnętrznego kręgu (lub „Klubu Old Boy's”, jeśli chcesz być pejoratywny)?

Dodatkowo, doktryna pełnego ujawnienia zapewnia, że ​​firmy nie mogą ujść na sucho za zamiatanie spraw pod dywan i nie robienie z nimi nic.

Mówiąc słowami niesławnego (i problematycznego, ale to argument na inny dzień) filmu hakerskiego z 1992 roku Sneakers: – Żadnych więcej tajemnic, Marty.

Odpowiedzialne ujawnianie

Jednak pełne ujawnienie nie jest tym, w jaki sposób zwykle reaguje się w dzisiejszych czasach na cyberbezpieczeństwo.

Rzeczywiście, niektóre rodzaje danych związanych z cyberzagrożeniami po prostu nie mogą być udostępniane etycznie lub legalnie, jeśli mogłoby to zaszkodzić czyjejś prywatności lub narazić odbiorców na naruszenie przepisów o ochronie danych lub ich posiadaniu.

Zamiast tego branża cyberbezpieczeństwa w dużej mierze osiadła na pewnym pośrednim gruncie do zgłaszania informacji o cyberbezpieczeństwie, znanych nieformalnie jako odpowiedzialne ujawnienie.

Proces ten opiera się na założeniu, że najbezpieczniejszym i najuczciwszym sposobem rozwiązania problemów związanych z cyberbezpieczeństwem bez natychmiastowego ujawniania ich całemu światu jest danie ludziom, którzy stworzyli problemy, „pierwszej próby” ich naprawienia.

Na przykład, jeśli znajdziesz lukę w produkcie zdalnego dostępu, która może prowadzić do obejścia zabezpieczeń, lub jeśli znajdziesz błąd w serwerze, który może prowadzić do zdalnego wykonania kodu, zgłoś to prywatnie dostawcy produktu (lub zespół, który się nim opiekuje, jeśli jest to open source).

Następnie zgadzasz się z nimi na okres tajemnicy, zwykle trwający od kilku dni do kilku miesięcy, podczas którego mogą potajemnie rozwiązać sprawę, jeśli chcą, i ujawnić krwawe szczegóły dopiero po przygotowaniu poprawek.

Ale jeśli uzgodniony okres upłynie bez rezultatu, przełączasz się w tryb pełnego ujawnienia i mimo wszystko ujawniasz szczegóły wszystkim, zapewniając w ten sposób, że problemu nie da się po prostu zmieść pod dywan i zignorować w nieskończoność.

Udostępnianie kontrolowane

Oczywiście odpowiedzialne ujawnianie nie oznacza, że ​​organizacja, która otrzymała wstępne zgłoszenie, jest zmuszona zachować informacje dla siebie

Pierwsi odbiorcy prywatnego raportu mogą zdecydować, że mimo wszystko chcą lub muszą podzielić się wiadomościami, być może w ograniczonym zakresie.

Na przykład, jeśli masz krytyczną poprawkę, która będzie wymagała współpracy kilku części Twojej organizacji, nie będziesz miał innego wyboru, jak tylko wewnętrzne udostępnianie informacji.

A jeśli pojawi się łatka, o której wiesz, że naprawi niedawno odkrytą lukę w zabezpieczeniach, ale tylko wtedy, gdy Twoi klienci wprowadzą pewne zmiany w konfiguracji przed jej wdrożeniem, możesz chcieć dać im wczesne ostrzeżenie, aby mogli się przygotować.

Jednocześnie możesz chcieć ich ładnie poprosić, aby jeszcze nie opowiadali reszcie świata wszystkiego o problemie.

Możesz też prowadzić dochodzenie w sprawie trwającego cyberataku i możesz chcieć ujawnić różne ilości szczegółów różnym odbiorcom w miarę rozwoju śledztwa.

Możesz mieć ogólną radę, którą możesz teraz bezpiecznie i użytecznie udostępnić całemu światu.

Możesz mieć określone dane (takie jak listy blokowania adresów IP lub inne wskaźniki naruszenia bezpieczeństwa), które chcesz udostępnić tylko jednej firmie, ponieważ informacje te nieuchronnie ujawniają ją jako ofiarę.

I możesz chcieć ujawnić wszystko, co wiesz, jak tylko się dowiesz, poszczególnym śledczym organów ścigania, którym ufasz, że będą ścigać zaangażowanych przestępców.

Jak oznaczyć informacje?

Jak jednoznacznie oznaczyć te różne poziomy informacji o cyberbezpieczeństwie?

Organy ścigania, służby bezpieczeństwa, wojsko i oficjalne organy międzynarodowe zazwyczaj mają własny żargon, znany jako oznakowanie ochronne, na takie rzeczy, z etykietami, które wszyscy znamy z filmów szpiegowskich, takich jak SECRET, TOP SECRET, FOR YOUR EYES ONLY, NO FOREIGN NATIONALSI tak dalej.

Ale różne etykiety oznaczają różne rzeczy w różnych częściach świata, więc tego rodzaju oznakowanie ochronne nie jest dobrze tłumaczone do użytku publicznego w wielu różnych językach, regionach i kulturach cyberbezpieczeństwa.

(Czasami te etykiety mogą być trudne językowo. Jeśli poufny dokument sporządzony na przykład przez ONZ powinien być oznaczony etykietą UN - CLASSIFIED? A może zostanie to błędnie zinterpretowane jako UNCLASSIFIED i dzielić się szeroko?)

A co z systemem etykietowania, który wykorzystuje proste słowa i oczywistą globalną metaforę?

Tam właśnie jest Protokół sygnalizacji świetlnej jest cala

Metaforą, jak można się domyślić, jest skromny sygnalizator drogowy, który używa tych samych kolorów, o bardzo tych samych znaczeniach, w prawie każdym kraju na świecie.

CZERWONY oznacza stop i tylko stop; BURSZTYNOWY oznacza stop, chyba że samo to byłoby niebezpieczne; a ZIELONY oznacza, że ​​możesz odejść, zakładając, że jest to bezpieczne.

Nowoczesne sygnalizatory drogowe, które wykorzystują diody LED do wytwarzania określonych częstotliwości światła zamiast filtrów do usuwania niechcianych kolorowych pasm z żarówek, są tak jasne i precyzyjnie ukierunkowane, że niektóre jurysdykcje nie zadają sobie już trudu, aby testować potencjalnych kierowców pod kątem tak zwanej ślepoty barw, ponieważ emitowane trzy pasma częstotliwości są tak wąskie, że prawie niemożliwe jest ich pomylenie, a ich znaczenie jest tak dobrze ugruntowane.

Nawet jeśli mieszkasz w kraju, w którym sygnalizacja świetlna ma dodatkowe sygnały „pomiędzy”, takie jak zielony+bursztynowy razem, czerwony+bursztynowy razem lub jeden kolor migający bez przerwy, prawie wszyscy na świecie rozumieją metafory sygnalizacji świetlnej na podstawie tylko tych trzech głównych kolorów.

Rzeczywiście, nawet jeśli jesteś przyzwyczajony do nazywania środkowym światłem ŻÓŁTYM zamiast BURSZTYNOWEGO, jak to robią niektóre kraje, oczywiste jest, do czego odnosi się BURSZTYN, choćby dlatego, że jest to światło w środku, które nie jest CZERWONE ani ZIELONE.

TLP w wersji 2.0

Połączenia Protokół sygnalizacji świetlnej został wprowadzony po raz pierwszy w 1999 roku i zgodnie z zasadą Zachowaj prostotę i prostotę (KISS), stał się użytecznym systemem etykietowania raportów cyberbezpieczeństwa.

Ostatecznie TLP wymagało czterech poziomów, a nie trzech, więc kolor BIAŁY został dodany, aby oznaczał „możesz się tym podzielić z każdym”, a desygnatory zostały zdefiniowane bardzo szczegółowo jako ciągi tekstowe TLP:RED (wszystkie wielkie litery, bez spacji), TLP:AMBER, TLP:GREEN i TLP:WHITE.

Utrzymując spacje z dala od etykiet i wymuszając wpisywanie ich wielkimi literami, wyraźnie wyróżniają się one w wierszach tematów wiadomości e-mail, są łatwe w użyciu podczas sortowania i wyszukiwania oraz nie zostaną przez pomyłkę podzielone między wiersze.

Cóż, po ponad 20 latach służby TLP przeszedł drobną aktualizację, dzięki czemu od sierpnia 2022 roku mamy Protokół sygnalizacji świetlnej 2.0.

Po pierwsze, kolor WHITE został zastąpiony przez CLEAR.

Biel ma nie tylko rasowe i etniczne podteksty, do których unikania skłania nas powszechna przyzwoitość, ale także mylnie reprezentuje wszystkie inne kolory zmieszane razem, jakby to mogło oznaczać „idź i zatrzymaj się” w tym samym czasie.

Tak więc CLEAR to nie tylko słowo, które bardziej pasuje do dzisiejszego społeczeństwa, ale także takie, które bardziej (hem) wyraźnie odpowiada zamierzonemu celowi.

Dodano piąty znacznik, a mianowicie TLP:AMBER+STRICT.

Poziomy są interpretowane w następujący sposób:

TLP:RED	„Tylko dla oczu i uszu indywidualnych odbiorców.” Łatwo to zinterpretować: jeśli otrzymasz dokument dotyczący cyberbezpieczeństwa TLP:RED, możesz na nim działać, ale nie możesz go przekazywać nikomu innemu. Dlatego nie musisz zastanawiać się, czy powinieneś powiadomić o tym przyjaciół, kolegów lub kolegów badaczy. Ten poziom jest zarezerwowany dla informacji, które mogą powodować „istotne ryzyko dla prywatności, reputacji lub działalności zaangażowanych organizacji”.
TLP:AMBER+STRICT	Możesz udostępniać te informacje, ale tylko z innymi osobami w Twojej organizacji. Możesz więc omówić to z zespołami programistycznymi lub działem IT. Ale musisz trzymać to „w domu”. W szczególności nie wolno przekazywać go swoim klientom, partnerom biznesowym lub dostawcom. Niestety dokumentacja TLP nie próbuje określić, czy wykonawca lub usługodawca jest we własnym zakresie, czy z zewnątrz. Sugerujemy, abyś potraktował frazę „ogranicz udostępnianie do organizacji tylko" tak rygorystycznie, jak to tylko możliwe, jak sugeruje nazwa tego poziomu bezpieczeństwa, ale podejrzewamy, że niektóre firmy skończą z bardziej liberalną interpretacją tej zasady.
TLP:AMBER	Podobnie jak TLP:AMBER+STRICT, ale możesz udostępniać informacje klientom (w dokumencie TLP faktycznie używane jest słowo klientów) Jeśli to konieczne.
TLP:GREEN	Możesz udostępniać te informacje w swojej społeczności. TLP pozostawia tobie rozsądek co do tego, którzy ludzie tworzą twoją społeczność, zauważając tylko, że „gdy „społeczność” nie jest zdefiniowana, załóżmy, że społeczność cyberbezpieczeństwa/obrony.” W praktyce możesz równie dobrze założyć, że wszystko, co zostanie opublikowane jako TLP:GREEN, zostanie upublicznione, ale na Tobie spoczywa obowiązek rozważenia sposobu, w jaki sam to udostępniasz.
TLP:CLEAR	Po prostu możesz podzielić się tymi informacjami z kimkolwiek chcesz. Jak mówi TLP: „Odbiorcy mogą rozpowszechniać to na świat; nie ma ograniczeń dotyczących ujawniania”. Ta etykieta jest szczególnie przydatna, gdy udostępniasz co najmniej dwa dokumenty stronie zaufanej, a co najmniej jeden z dokumentów jest oznaczony do udostępniania z ograniczeniami. Umieszczenie TLP:CLEAR na treściach, którymi mogą się dzielić, a być może chcesz, żeby się podzielili w celu zwiększenia świadomości, sprawi, że twoja uwaga będzie wystarczająco jasna, jeśli wybaczysz tę grę słów.

Żeby było jasne (przepraszam!), nie umieszczamy TLP:CLEAR na każdym publikowanym przez nas artykule Naked Security, biorąc pod uwagę, że ta strona jest już publicznie dostępna, ale zachęcamy do przyjęcia tego.

---