Protocolul semaforului pentru respondenții de securitate cibernetică este reînnoit

Cuvântul „protocol” apare peste tot în IT, descriind de obicei detaliile despre modul de schimb de date între solicitant și respondent.

Astfel avem HTTP, prescurtare pentru protocol de transfer hipertext, care explică modul de comunicare cu un server web; SMTP sau protocol simplu de transfer de e-mail, care reglementează trimiterea și primirea e-mailului; și BGP, the protocolul gateway de frontieră, prin care furnizorii de servicii de internet își spun reciproc destinațiile de internet către care pot ajuta la livrarea datelor și cât de repede.

Dar există și un protocol important care ajută oamenii din IT, inclusiv cercetătorii, respondenții, administratorii de sistem, managerii și utilizatorii, să fie circumspecți în modul în care gestionează informațiile despre amenințările de securitate cibernetică.

Acest protocol este cunoscut ca TLP, prescurtare pentru Protocolul semaforului, conceput ca o modalitate foarte simplă de etichetare a informațiilor de securitate cibernetică, astfel încât destinatarul să-și dea seama cu ușurință cât de sensibilă este și cât de larg poate fi partajată fără a înrăutăți un lucru rău.

Interesant este că nu toată lumea subscrie la ideea că diseminarea informațiilor de securitate cibernetică ar trebui vreodată să fie restricționată, chiar și voluntar.

Entuziaști ai așa-numitelor dezvăluirea completă insistați că publicarea cât mai multor informații posibil, cât mai larg posibil, cât mai rapid posibil, este de fapt cea mai bună modalitate de a face față vulnerabilităților, exploatărilor, atacurilor cibernetice și altele asemenea.

Susținătorii dezvăluirii complete vor admite în mod liber că acest lucru joacă uneori în mâinile infractorilor cibernetici, identificând în mod clar informațiile de care au nevoie (și oferind cunoștințe pe care ar putea să nu le fi avut anterior) pentru a iniția atacuri imediat, înainte ca cineva să fie pregătit.

Dezvăluirea completă poate, de asemenea, perturba apărarea cibernetică, forțând administratorii de sistem de pretutindeni să oprească orice fac și să le distragă imediat atenția către ceva care altfel ar fi putut fi programat în siguranță pentru atenție puțin mai târziu, dacă nu ar fi fost strigat de pe acoperișuri.

Simplu, ușor și corect

Cu toate acestea, susținătorii dezvăluirii complete vă vor spune că nimic nu poate fi mai simplu, mai ușor sau mai corect decât să spuneți tuturor în același timp.

La urma urmei, dacă le spui unor oameni, dar nu altora, astfel încât să înceapă să pregătească potențialele apărări în secret comparativ și, prin urmare, poate să-i înainteze pe infractorii cibernetici, ai putea înrăutăți lucrurile pentru întreaga lume.

Dacă chiar și unul dintre oamenii din cercul interior se dovedește a fi un necinstit sau dezvăluie din neatenție secretul pur și simplu prin natura modului în care răspund sau prin planurile pe care decid brusc să le pună în aplicare, atunci escrocii pot foarte bine Oricum, faceți inginerie inversă informațiile secrete pentru ei înșiși...

… și apoi toți ceilalți care nu fac parte din cercul interior vor fi aruncați în mâinile lupilor.

Oricum, cine decide ce persoane sau organizații sunt admise în cercul interior (sau „Clubul bătrânului”, dacă vrei să fii peiorativ în privința asta)?

În plus, doctrina dezvăluirii complete asigură că companiile nu pot scăpa cu probleme mari sub covor și nu fac nimic în privința lor.

În cuvintele infamului (și problematic, dar acesta este un argument pentru altă zi) film de hacker din 1992 Sneakers: — Gata cu secretele, Marty.

Dezvăluire responsabilă

Cu toate acestea, dezvăluirea completă nu este modul în care se face de obicei răspunsul la securitatea cibernetică în zilele noastre.

Într-adevăr, unele tipuri de date legate de amenințările cibernetice pur și simplu nu pot fi partajate din punct de vedere etic sau legal, dacă acest lucru ar putea dăuna confidențialității cuiva sau ar putea pune destinatarii înșiși în încălcarea reglementărilor privind protecția datelor sau deținerea datelor.

În schimb, industria securității cibernetice s-a stabilit în mare parte pe un fel de cale de mijloc pentru raportarea informațiilor de securitate cibernetică, cunoscută informal ca dezvăluire responsabilă.

Acest proces se bazează pe ideea că cea mai sigură și mai corectă modalitate de a rezolva problemele de securitate cibernetică fără a le transmite imediat lumii întregi este de a oferi oamenilor care au creat problemele „primele bătăi de cap” pentru a le remedia.

De exemplu, dacă găsiți o gaură într-un produs de acces la distanță care ar putea duce la o ocolire a securității sau dacă găsiți o eroare pe un server care ar putea duce la executarea codului de la distanță, raportați-o în mod privat vânzătorului produsului (sau echipa care se ocupă de el, dacă este open source).

Apoi, sunteți de acord cu ei o perioadă de secretizare, care durează de obicei de la câteva zile la câteva luni, timp în care pot rezolva în secret, dacă doresc, și dezvăluie detaliile sângeroase numai după ce soluțiile lor sunt gata.

Dar dacă perioada convenită expiră fără rezultat, treci la modul de dezvăluire completă și dezvăluii oricum detaliile tuturor, asigurându-te astfel că problema nu poate fi pur și simplu măturată sub covor și ignorată la infinit.

Partajare controlată

Desigur, dezvăluirea responsabilă nu înseamnă că organizația care a primit raportul inițial este obligată să păstreze informațiile pentru ea însăși.

Destinatarii inițiali ai unui raport privat pot decide că doresc sau trebuie să împărtășească știrile oricum, poate într-un mod limitat.

De exemplu, dacă aveți un patch critic care va necesita mai multe părți ale organizației dumneavoastră pentru a coopera, nu veți avea de ales decât să împărtășiți informațiile în interior.

Și dacă apare un patch despre care știți că va remedia o gaură de securitate descoperită recent, dar numai dacă clienții dvs. fac unele modificări de configurare înainte de a-l lansa, este posibil să doriți să le avertizați din timp pentru a se putea pregăti.

În același timp, ați putea dori să le cereți frumos să nu spună restului lumii totul despre această problemă.

Sau s-ar putea să investigați un atac cibernetic în desfășurare și s-ar putea să doriți să dezvăluiți diferite cantități de detalii diferitelor audiențe pe măsură ce investigația se desfășoară.

S-ar putea să aveți sfaturi generale care pot fi împărtășite în siguranță și util chiar acum cu întreaga lume.

Este posibil să aveți date specifice (cum ar fi listele IP blocate sau alți indicatori de compromis) pe care doriți să le împărtășiți cu o singură companie, deoarece informațiile le dezvăluie inevitabil ca fiind o victimă.

Și poate doriți să dezvăluiți tot ceea ce știți, de îndată ce știți, anchetatorilor individuali ai forțelor de ordine în care aveți încredere că vor urmări infractorii implicați.

Cum să etichetăm informațiile?

Cum să etichetăm fără ambiguitate aceste niveluri diferite de informații de securitate cibernetică?

Forțele de ordine, serviciile de securitate, armatele și organismele internaționale oficiale au de obicei propriul lor jargon, cunoscut sub numele de marcaj de protectie, pentru așa ceva, cu etichete pe care le cunoaștem cu toții din filmele de spionaj, cum ar fi SECRET, TOP SECRET, FOR YOUR EYES ONLY, NO FOREIGN NATIONALS, Și așa mai departe.

Dar etichetele diferite înseamnă lucruri diferite în diferite părți ale lumii, așa că acest tip de marcaj de protecție nu se traduce bine pentru uzul public în multe limbi, regiuni și culturi de securitate cibernetică diferite.

(Uneori, aceste etichete pot fi provocatoare din punct de vedere lingvistic. Un document confidențial produs de Națiunile Unite, de exemplu, ar trebui etichetat UN - CLASSIFIED? Sau asta ar fi interpretat greșit ca UNCLASSIFIED și sunt distribuite pe scară largă?)

Dar un sistem de etichetare care folosește cuvinte simple și o metaforă globală evidentă?

Acolo este Protocolul semaforului intră.

Metafora, după cum ați ghicit, este umilul semnal de circulație, care folosește aceleași culori, cu aproape aceleași semnificații, în aproape fiecare țară din lume.

ROȘU înseamnă oprire și nimic altceva decât oprire; CHHLUMBRU înseamnă oprire, cu excepția cazului în care acest lucru ar fi periculos; iar VERDE înseamnă că aveți voie să mergeți, presupunând că este sigur să faceți acest lucru.

Semnalele moderne de trafic, care folosesc LED-uri pentru a produce frecvențe luminoase specifice, în loc de filtre pentru a elimina benzile de culoare nedorite de pe lămpile cu incandescență, sunt atât de luminoase și precis vizate încât unele jurisdicții nu se mai obosesc să testeze potențialii șoferi pentru așa-numita daltonism, deoarece trei benzi de frecvență emise sunt atât de înguste încât este aproape imposibil de amestecat, iar semnificațiile lor sunt atât de bine stabilite.

Chiar dacă locuiți într-o țară în care semafoarele au semnale suplimentare „în mijloc”, cum ar fi verde+chihlimbar împreună, roșu+chihlimbar împreună sau o culoare care clipește continuu singură, aproape toată lumea din lume înțelege metaforele semaforului. bazat doar pe acele trei culori principale.

Într-adevăr, chiar dacă sunteți obișnuit să numiți lumina din mijloc GALBEN în loc de CHHUBLIC, așa cum o fac unele țări, este evident la ce se referă CHHUBLIC, fie doar pentru că este cel din mijloc care nu este ROȘU sau VERDE.

Versiunea TLP 2.0

Protocolul semaforului a fost introdus pentru prima dată în 1999 și urmând principiul Păstrați-l simplu și direct (KISS), a devenit un sistem de etichetare util pentru rapoartele de securitate cibernetică.

În cele din urmă, TLP necesita patru niveluri, nu trei, așa că culoarea ALB a fost adăugată pentru a însemna „puteți împărtăși asta cu oricine”, iar indicatorii au fost definiți foarte special ca șiruri de text. TLP:RED (toate majusculele, fără spații), TLP:AMBER, TLP:GREEN și TLP:WHITE.

Menținând spațiile în afara etichetelor și forțându-le în majuscule, ele ies în evidență clar în rândurile de subiect ale e-mailului, sunt ușor de utilizat atunci când sortați și căutați și nu vor fi împărțite între rânduri din greșeală.

Ei bine, după mai bine de 20 de ani de serviciu, TLP a suferit o actualizare minoră, astfel încât din august 2022, avem Protocolul semafor 2.0.

În primul rând, culoarea ALB a fost înlocuită cu CLEAR.

Albul nu numai că are nuanțe rasiale și etnice pe care decența obișnuită ne invită să le evităm, dar reprezintă și în mod confuz toate celelalte culori amestecate împreună, de parcă ar putea însemna „du-te și opri” în același timp.

Așadar, CLEAR nu este doar un cuvânt care se potrivește mai confortabil în societatea de astăzi, ci și unul care se potrivește mai clar scopului propus (ahem).

Și a fost adăugat un al cincilea marker și anume TLP:AMBER+STRICT.

Nivelurile sunt interpretate după cum urmează:

TLP:RED	„Numai pentru ochii și urechile destinatarilor individuali.” Acest lucru este destul de ușor de interpretat: dacă primiți un document de securitate cibernetică TLP:RED, puteți acționa în baza lui, dar nu trebuie să îl transmiteți nimănui. Prin urmare, nu este nevoie să încerci să-ți dai seama dacă ar trebui să anunți prietenii, colegii sau colegii cercetători. Acest nivel este rezervat informațiilor care ar putea provoca „risc semnificativ pentru confidențialitatea, reputația sau operațiunile organizațiilor implicate”.
TLP:AMBER+STRICT	Puteți partaja aceste informații, dar numai cu alte persoane din cadrul organizației dvs. Deci, puteți discuta cu echipele de programare sau cu departamentul IT. Dar trebuie să-l păstrați „în casă”. În special, nu trebuie să-l transmiteți clienților, partenerilor de afaceri sau furnizorilor dvs. Din păcate, documentația TLP nu încearcă să definească dacă un contractant sau un furnizor de servicii este intern sau extern. Vă sugerăm să tratați expresia „Restricționați partajarea la organizație afară cât de strict puteți, după cum sugerează și numele acestui nivel de securitate, dar bănuim că unele companii vor ajunge cu o interpretare mai liberală a acestei reguli.
TLP:AMBER	Ca TLP:AMBER+STRICT, dar puteți partaja informațiile cu clienții (documentul TLP folosește de fapt cuvântul clientii) daca este necesar.
TLP:GREEN	Puteți partaja aceste informații în cadrul comunității dvs. TLP vă lasă la latitudinea dumneavoastră să fiți rezonabil cu privire la persoanele care constituie comunitatea dvs., menționând doar asta „când „comunitatea” nu este definită, presupuneți comunitatea de securitate cibernetică/apărare.” În practică, ați putea la fel de bine să presupuneți că orice publicat ca TLP:GREEN va ajunge la cunoștință publică, dar sarcina dvs. este să fiți atent la modul în care îl distribuiți.
TLP:CLEAR	Foarte simplu, sunteți clar să împărtășiți aceste informații cu oricine vă place. După cum spune TLP: „Destinatarii pot răspândi acest lucru către lume; nu există limită de dezvăluire.” Această etichetă este deosebit de utilă atunci când partajați două sau mai multe documente cu o parte de încredere și cel puțin unul dintre documente este marcat pentru partajare restricționată. Punând TLP:CLEAR conținutul pe care îl pot distribui și poate pe care doriți să îl distribuie pentru a crește gradul de conștientizare, vă face atenția foarte clară, dacă veți ierta jocul de cuvinte.

Doar ca să fie clar (scuze!), nu punem TLP:CLEAR pe fiecare articol Naked Security pe care îl publicăm, având în vedere că acest site este deja accesibil public, dar vă invităm să vă asumați.

---