Протокол світлофора для служб кібербезпеки отримує оновлення

Слово «протокол» скрізь виникає в ІТ, зазвичай описуючи подробиці обміну даними між запитувачем і відповідачем.

Таким чином, ми маємо HTTP, скорочення від протокол передачі гіпертексту, який пояснює, як спілкуватися з веб-сервером; SMTP, або простий протокол пересилання пошти, яка регулює надсилання та отримання електронної пошти; і BGP, протокол прикордонного шлюзу, за допомогою якого інтернет-провайдери повідомляють один одному, у які місця призначення в Інтернеті вони можуть допомогти доставити дані та як швидко.

Але є також важливий протокол, який допомагає людям в ІТ, зокрема дослідникам, спеціалістам із реагування, системним адміністраторам, менеджерам і користувачам, бути обережними в тому, як вони обробляють інформацію про загрози кібербезпеці.

Цей протокол відомий як TLP, скорочення від Протокол світлофора, розроблений як справді простий спосіб позначення інформації про кібербезпеку, щоб одержувач міг легко зрозуміти, наскільки вона чутлива та наскільки широко нею можна поширюватися, не погіршуючи нічого поганого.

Цікаво, що не всі погоджуються з ідеєю, що розповсюдження інформації про кібербезпеку має бути будь-коли обмежено, навіть добровільно.

Ентузіасти т. зв повне розкриття наполягають на тому, що публікація якомога більшої кількості інформації, якомога ширше, якомога швидше, насправді є найкращим способом боротьби з уразливими місцями, експлойтами, кібератаками тощо.

Прихильники повного розкриття вільно визнають, що іноді це грає на руку кіберзлочинцям, оскільки вони чітко визначають інформацію, яка їм потрібна (і розкривають знання, яких вони могли раніше не мати), щоб розпочати атаки негайно, перш ніж хтось буде готовий.

Повне розкриття також може порушити кіберзахист, змусивши системних адміністраторів у всьому світі припинити будь-які дії та негайно переключити свою увагу на щось, на що інакше можна було б безпечно звернути увагу трохи пізніше, якби про це не кричали з дахів.

Просто, легко і справедливо

Тим не менш, прихильники повного розкриття інформації скажуть вам, що немає нічого простішого, легшого чи справедливішого, ніж просто розповісти всім одночасно.

Зрештою, якщо ви повідомите деяким людям, але не іншим, щоб вони могли почати готувати потенційний захист у відносно таємних умовах і, таким чином, можливо, випередити кіберзлочинців, ви можете погіршити ситуацію для світу в цілому.

Якщо хоча б один із людей у ​​внутрішньому колі виявляється шахраєм або ненавмисно видає таємницю просто через характер їхньої реакції чи планів, які вони раптово вирішили втілити в життя, то шахраї цілком можуть у будь-якому випадку розробляють секретну інформацію для себе...

…і тоді всі інші, хто не є частиною внутрішнього кола, будуть кинуті вовкам.

У будь-якому випадку, хто вирішує, яких осіб чи організації допускати до внутрішнього кола (або «Клубу старих хлопців», якщо ви хочете бути принизливими)?

Крім того, доктрина повного розкриття гарантує, що компанії не зможуть замовчувати проблеми та нічого з ними не робити.

Словами сумно відомого (і проблематичного, але це аргумент назавжди) 1992 року про хакерські фільми «Кросівки»: «Більше ніяких секретів, Марті».

Відповідальне розкриття інформації

Однак повне розкриття — це не спосіб реагування на кібербезпеку в наші дні.

Дійсно, деякі типи даних, пов’язаних із кіберзагрозами, просто не можна поширювати етично чи законно, якщо це може завдати шкоди чиємусь приватному житті або поставити одержувачів у порушення правил захисту даних або володіння даними.

Натомість індустрія кібербезпеки здебільшого зупинилася на щось на кшталт середнього рівня для звітування про інформацію про кібербезпеку, неофіційно відома як відповідальне розкриття.

Цей процес базується на ідеї про те, що найбезпечніший і найсправедливіший спосіб вирішити проблеми з кібербезпекою, не розповідаючи про них усьому світу, — це дати людям, які створили проблеми, «перші спроби» їх усунути.

Наприклад, якщо ви виявите дірку в продукті віддаленого доступу, яка може призвести до обходу безпеки, або якщо ви виявите помилку на сервері, яка може призвести до віддаленого виконання коду, ви приватно повідомите про це постачальнику продукту (або команда, яка піклується про це, якщо це відкритий код).

Потім ви погоджуєтеся з ними на період секретності, який зазвичай триває від кількох днів до кількох місяців, протягом якого вони можуть таємно розібратися, якщо захочуть, і розкрити криваві деталі лише після того, як їхні виправлення будуть готові.

Але якщо узгоджений період закінчується безрезультатно, ви переходите в режим повного розкриття інформації та все одно розкриваєте подробиці всім, таким чином гарантуючи, що проблему не можна просто замовчувати та ігнорувати нескінченно довго.

Контрольований обмін

Звичайно, відповідальне розкриття інформації не означає, що організація, яка отримала первинний звіт, змушена зберігати інформацію при собі

Перші одержувачі приватного звіту можуть вирішити, що вони все одно хочуть або мають поділитися новиною, можливо, в обмеженому порядку.

Наприклад, якщо у вас є критичний патч, який вимагатиме співпраці кількох частин вашої організації, у вас не буде іншого вибору, окрім як поділитися інформацією всередині.

І якщо у вас виходить патч, який, як ви знаєте, виправить нещодавно виявлену дірку в безпеці, але лише якщо ваші клієнти внесуть деякі зміни в конфігурацію, перш ніж розгорнути його, ви можете попередити їх завчасно, щоб вони могли підготуватися.

У той же час ви можете люб’язно попросити їх поки що не розповідати решті світу про цю проблему.

Або ви, можливо, розслідуєте кібератаку, що триває, і вам може знадобитися розкрити різну кількість деталей різним аудиторіям під час розслідування.

Можливо, у вас є загальні поради, якими можна безпечно та з користю зараз поділитися з усім світом.

У вас можуть бути конкретні дані (наприклад, списки заблокованих IP-адрес або інші ознаки компрометації), якими ви хочете поділитися лише з однією компанією, оскільки інформація неминуче розкриває її як жертву.

І, можливо, ви захочете розкрити все, що знаєте, як тільки дізнаєтесь, окремим слідчим правоохоронних органів, яким ви довіряєте переслідувати причетних злочинців.

Як позначити інформацію?

Як однозначно позначити ці різні рівні інформації про кібербезпеку?

Правоохоронні органи, служби безпеки, військові та офіційні міжнародні органи зазвичай мають власний жаргон, відомий як захисне маркування, для таких речей, з мітками, які ми всі знаємо зі шпигунських фільмів, наприклад SECRET, TOP SECRET, FOR YOUR EYES ONLY, NO FOREIGN NATIONALS, І так далі.

Але різні мітки означають різні речі в різних частинах світу, тому цей вид захисного маркування не підходить для загального використання в багатьох мовах, регіонах і культурах кібербезпеки.

(Іноді ці написи можуть бути лінгвістично складними. Якщо, наприклад, конфіденційний документ, створений Організацією Об’єднаних Націй, UN - CLASSIFIED? Або це було б неправильно витлумачено як UNCLASSIFIED і отримати широке поширення?)

А як щодо системи маркування, яка використовує прості слова та очевидну глобальну метафору?

Ось де Протокол світлофора приходить дюйма

Метафорою, як ви вже здогадалися, є скромний сигнал світлофора, який використовує однакові кольори та майже однакові значення майже в кожній країні світу.

ЧЕРВОНИЙ означає зупинку, і нічого, крім зупинки; БУРШТИН означає зупинитися, якщо це не буде небезпечно; а ЗЕЛЕНИЙ означає, що вам дозволено йти, якщо це безпечно.

Сучасні сигнали світлофора, які використовують світлодіоди для створення певних частот світла, замість фільтрів для видалення небажаних кольорових смуг з ламп розжарювання, настільки яскраві та точно націлені, що деякі юрисдикції більше не намагаються перевірити майбутніх водіїв на так звану дальтонізм, оскільки три випромінювані діапазони частот настільки вузькі, що їх майже неможливо сплутати, а їхні значення настільки добре встановлені.

Навіть якщо ви живете в країні, де світлофори мають додаткові «проміжні» сигнали, як-от зелений+бурштин разом, червоний+бурштин разом або один колір, який безперервно блимає сам по собі, майже кожен у світі розуміє метафори світлофора на основі цих трьох основних кольорів.

Дійсно, навіть якщо ви звикли називати середнє світло ЖОВТИМ замість БУРШТИНОВОГО, як це роблять у деяких країнах, очевидно, що означає ЖОВТИЙ, хоча б тому, що це той, що в середині, не ЧЕРВОНИЙ чи ЗЕЛЕНИЙ.

TLP версії 2.0

Команда Протокол світлофора був вперше представлений у 1999 році, і дотримуючись принципу Будьте простими та зрозумілими (KISS), стала корисною системою маркування для звітів про кібербезпеку.

Зрештою, TLP вимагав чотирьох рівнів, а не трьох, тому колір БІЛИЙ був доданий, щоб означати «ви можете поділитися цим з будь-ким», а позначки були визначені дуже конкретно як текстові рядки TLP:RED (усі великі літери, без пробілів), TLP:AMBER, TLP:GREEN та TLP:WHITE.

Утримуючи пробіли в мітках і змушуючи їх використовувати верхній регістр, вони чітко виділяються в рядках тем електронних листів, їх легко використовувати під час сортування та пошуку, і вони не будуть випадково розділені між рядками.

Що ж, після більш ніж 20 років служби TLP зазнав незначного оновлення, тож із серпня 2022 року ми маємо Протокол світлофора 2.0.

По-перше, БІЛИЙ колір було замінено на ЧІСТИЙ.

Білий не тільки має расові та етнічні відтінки, яких звичайна пристойність пропонує нам уникати, але також заплутано представляє всі інші кольори, змішані разом, ніби це може означати «йти і зупинятися-одночасно».

Отже, CLEAR — це не лише слово, яке більш зручно підходить для сучасного суспільства, але й те, що більш чітко відповідає призначенню.

І додано п’ятий маркер, а саме TLP:AMBER+STRICT.

Рівні тлумачаться наступним чином:

TLP:RED	«Лише для очей і вух окремих одержувачів». Це досить легко інтерпретувати: якщо ви отримуєте документ про кібербезпеку TLP:RED, ви можете діяти на основі нього, але не повинні пересилати його нікому іншому. Таким чином, вам не потрібно намагатися з’ясувати, чи варто повідомляти про це друзям, колегам чи колегам-дослідникам. Цей рівень зарезервовано для інформації, яка може спричинити «значний ризик для конфіденційності, репутації або діяльності залучених організацій».
TLP:AMBER+STRICT	Ви можете ділитися цією інформацією, але лише з іншими людьми у вашій організації. Тож ви можете обговорити це з командами програмістів або з ІТ-відділом. Але ви повинні тримати його «вдома». Примітно, що ви не повинні пересилати його своїм клієнтам, діловим партнерам або постачальникам. На жаль, документація TLP не намагається визначити, чи є підрядник чи постачальник послуг внутрішнім чи зовнішнім. Пропонуємо вам опрацювати словосполучення «обмежити спільний доступ до організації тільки" якомога суворіше, як випливає з назви цього рівня безпеки, але ми підозрюємо, що деякі компанії згодом тлумачать це правило більш вільно.
TLP:AMBER	Подібно до TLP:AMBER+STRICT, але ви можете ділитися інформацією з клієнтами (у документі TLP фактично використовується слово клієнтів) якщо необхідно.
TLP:GREEN	Ви можете поділитися цією інформацією зі своєю спільнотою. TLP залишає за вами розсудливість щодо того, які люди складають вашу спільноту, зазначаючи лише це «Якщо «спільнота» не визначена, припустимо спільноту кібербезпеки/оборони». На практиці ви можете також припустити, що будь-що, опубліковане як TLP:GREEN, стане загальнодоступним, але на вас лежить тягар уважності до того, як ви самі цим поширюєтеся.
TLP:CLEAR	Дуже просто, ви можете поділитися цією інформацією з ким завгодно. Як стверджує TLP: «Одержувачі можуть поширити це на світ; немає обмежень на розкриття». Ця мітка особливо корисна, коли ви надаєте довіреній стороні спільний доступ до двох або більше документів, і принаймні один із документів позначено для обмеженого доступу. Розміщення TLP:CLEAR на вмісті, яким вони можуть поділитися, і, можливо, яким ви хочете, щоб вони поділилися, щоб підвищити обізнаність, робить вашу увагу абсолютно зрозумілою, якщо дозволите за каламбур.

Щоб було зрозуміло (вибачте!), ми не ставимо TLP:CLEAR у кожній статті Naked Security, яку ми публікуємо, враховуючи, що цей веб-сайт уже є загальнодоступним, але ми запрошуємо вас прийняти це.

---