Giao thức Traffic Light cho những người phản hồi an ninh mạng được cải tiến

Từ “giao thức” xuất hiện khắp nơi trong CNTT, thường mô tả chi tiết về cách trao đổi dữ liệu giữa người yêu cầu và người trả lời.

Do đó, chúng ta có HTTP, viết tắt của giao thức truyền siêu văn bản, giải thích cách giao tiếp với máy chủ web; SMTP hoặc giao thức chuyển thư đơn giản, chi phối việc gửi và nhận email; và BGP, giao thức cổng biên giới, bằng cách các ISP cho nhau biết điểm đến internet nào mà họ có thể giúp cung cấp dữ liệu đến và tốc độ ra sao.

Nhưng cũng có một giao thức quan trọng giúp con người trong lĩnh vực CNTT, bao gồm nhà nghiên cứu, người phản hồi, người quản lý, người quản lý và người dùng, thận trọng trong cách họ xử lý thông tin về các mối đe dọa an ninh mạng.

Giao thức đó được gọi là TLP, viết tắt của Giao thức đèn giao thông, được nghĩ ra như một cách thực sự đơn giản để gắn nhãn thông tin an ninh mạng để người nhận có thể dễ dàng xác định mức độ nhạy cảm của thông tin đó và mức độ có thể được chia sẻ rộng rãi mà không làm cho vấn đề tồi tệ hơn.

Điều thú vị là không phải ai cũng đồng tình với ý kiến ​​rằng việc phổ biến thông tin an ninh mạng nên bị hạn chế, thậm chí là tự nguyện.

Những người say mê cái gọi là tiết lộ đầy đủ nhấn mạnh rằng xuất bản càng nhiều thông tin càng tốt, càng rộng rãi, càng nhanh càng tốt, thực sự là cách tốt nhất để đối phó với các lỗ hổng bảo mật, khai thác, tấn công mạng và những thứ tương tự.

Những người ủng hộ việc tiết lộ đầy đủ thông tin sẽ thoải mái thừa nhận rằng điều này đôi khi rơi vào tay tội phạm mạng, bằng cách xác định rõ ràng thông tin chúng cần (và cung cấp kiến ​​thức mà trước đây chúng có thể không có) để bắt đầu các cuộc tấn công ngay lập tức, trước khi bất kỳ ai sẵn sàng.

Việc tiết lộ đầy đủ cũng có thể phá vỡ hàng rào an ninh mạng bằng cách buộc các sysadmins ở khắp mọi nơi phải dừng bất cứ điều gì họ đang làm và chuyển hướng sự chú ý của họ ngay lập tức sang một thứ mà có thể an toàn đã được lên lịch chú ý sau đó một chút, giá như nó không bị hét lên từ các mái nhà.

Đơn giản, dễ dàng và công bằng

Tuy nhiên, những người ủng hộ việc tiết lộ đầy đủ sẽ cho bạn biết rằng không gì có thể đơn giản hơn, dễ dàng hơn hoặc công bằng hơn là chỉ nói với tất cả mọi người cùng một lúc.

Rốt cuộc, nếu bạn nói với một số người mà không phải những người khác, để họ có thể bắt đầu chuẩn bị các biện pháp phòng thủ tiềm năng trong sự bí mật tương đối và do đó có thể vượt qua tội phạm mạng, bạn có thể thực sự khiến mọi thứ trở nên tồi tệ hơn cho thế giới nói chung.

Nếu ngay cả một trong những người ở vòng trong hóa ra là một kẻ bất hảo, hoặc vô tình tiết lộ bí mật chỉ đơn giản bởi bản chất của cách họ phản ứng, hoặc bởi những kế hoạch mà họ đột ngột quyết định thực hiện, thì kẻ gian rất có thể Dù sao thì thiết kế ngược lại thông tin bí mật cho chính họ…

… Và sau đó những người khác không thuộc vòng trong sẽ bị ném cho bầy sói.

Dù sao đi nữa, ai là người quyết định cá nhân hoặc tổ chức nào được nhận vào vòng trong (hoặc “Câu lạc bộ những cậu bé già”, nếu bạn muốn buồn về điều đó)?

Ngoài ra, học thuyết công bố thông tin đầy đủ đảm bảo rằng các công ty không thể thoát khỏi những vấn đề sâu rộng và không làm gì với chúng.

Nói theo cách của bộ phim nổi tiếng (và có vấn đề, nhưng đó là một lập luận cho một ngày khác) Phim về hacker năm 1992 Sneakers: "Không còn bí mật nào nữa, Marty."

Tiết lộ có trách nhiệm

Tiết lộ đầy đủ, dù sao đi nữa, không phải là cách phản ứng an ninh mạng thường được thực hiện trong những ngày này.

Thật vậy, một số loại dữ liệu liên quan đến đe dọa mạng đơn giản là không thể được chia sẻ về mặt đạo đức hoặc pháp lý, nếu làm như vậy có thể gây hại đến quyền riêng tư của ai đó hoặc khiến chính người nhận vi phạm các quy định về bảo vệ dữ liệu hoặc sở hữu dữ liệu.

Thay vào đó, ngành công nghiệp an ninh mạng phần lớn đã giải quyết trên một loại nền tảng trung gian để báo cáo thông tin an ninh mạng, được gọi là tiết lộ có trách nhiệm.

Quá trình này dựa trên ý tưởng rằng cách an toàn nhất và công bằng nhất để khắc phục các sự cố an ninh mạng mà không phải công khai chúng ngay lập tức với toàn thế giới là cho những người đã tạo ra các vấn đề “lần đầu tiên” khắc phục chúng.

Ví dụ: nếu bạn tìm thấy một lỗ hổng trong sản phẩm truy cập từ xa có thể dẫn đến bỏ qua bảo mật hoặc nếu bạn tìm thấy lỗi trong máy chủ có thể dẫn đến việc thực thi mã từ xa, bạn báo cáo riêng với nhà cung cấp sản phẩm (hoặc nhóm chăm sóc nó, nếu nó là mã nguồn mở).

Sau đó, bạn đồng ý với họ một khoảng thời gian giữ bí mật, thường kéo dài từ vài ngày đến vài tháng, trong thời gian đó họ có thể sắp xếp bí mật, nếu họ thích và chỉ tiết lộ các chi tiết đẫm máu sau khi các bản sửa lỗi của họ đã sẵn sàng.

Nhưng nếu thời hạn đã thỏa thuận hết hạn mà không có kết quả, bạn sẽ chuyển sang chế độ tiết lộ đầy đủ và tiết lộ thông tin chi tiết cho mọi người, do đó đảm bảo rằng vấn đề không thể đơn giản bị cuốn vào thảm và bị bỏ qua vô thời hạn.

Chia sẻ có kiểm soát

Tất nhiên, tiết lộ có trách nhiệm không có nghĩa là tổ chức đã nhận được báo cáo ban đầu bị buộc phải giữ thông tin cho riêng mình

Người nhận ban đầu của một báo cáo riêng tư có thể quyết định rằng họ muốn hoặc cần chia sẻ tin tức này, có lẽ trong một thời gian hạn chế.

Ví dụ: nếu bạn có một bản vá quan trọng sẽ yêu cầu một số bộ phận trong tổ chức của bạn hợp tác, bạn sẽ có ít lựa chọn ngoài việc chia sẻ thông tin trong nội bộ.

Và nếu bạn có một bản vá sắp ra mắt mà bạn biết rằng nó sẽ khắc phục một lỗ hổng bảo mật mới được phát hiện gần đây, nhưng chỉ khi khách hàng của bạn thực hiện một số thay đổi cấu hình trước khi họ tung ra, bạn có thể muốn đưa ra cảnh báo sớm để họ có thể sẵn sàng.

Đồng thời, bạn có thể muốn yêu cầu họ đừng nói với phần còn lại của thế giới tất cả về vấn đề này.

Hoặc bạn có thể đang điều tra một cuộc tấn công mạng đang diễn ra và bạn có thể muốn tiết lộ nhiều chi tiết khác nhau cho các đối tượng khác nhau khi cuộc điều tra mở ra.

Bạn có thể có những lời khuyên chung có thể được chia sẻ một cách an toàn và hữu ích ngay bây giờ với toàn thế giới.

Bạn có thể có dữ liệu cụ thể (chẳng hạn như danh sách chặn IP hoặc các dấu hiệu xâm phạm khác) mà bạn muốn chia sẻ chỉ với một công ty, vì thông tin không thể tránh khỏi tiết lộ họ là nạn nhân.

Và bạn có thể muốn tiết lộ mọi thứ bạn biết, ngay sau khi bạn biết, cho từng nhà điều tra thực thi pháp luật mà bạn tin tưởng sẽ truy lùng những tên tội phạm có liên quan.

Làm thế nào để ghi nhãn thông tin?

Làm thế nào để gắn nhãn các cấp độ thông tin an ninh mạng khác nhau một cách rõ ràng?

Cơ quan thực thi pháp luật, dịch vụ an ninh, quân đội và các cơ quan quốc tế chính thức thường có biệt ngữ riêng của họ, được gọi là đánh dấu bảo vệ, đối với loại điều này, với các nhãn mà tất cả chúng ta đều biết từ các bộ phim gián điệp, chẳng hạn như SECRET, TOP SECRET, FOR YOUR EYES ONLY, NO FOREIGN NATIONALS, Và như vậy.

Nhưng các nhãn khác nhau có nghĩa là những thứ khác nhau ở các khu vực khác nhau trên thế giới, vì vậy loại nhãn hiệu bảo vệ này không được dịch tốt để sử dụng công khai ở nhiều ngôn ngữ, khu vực và nền văn hóa an ninh mạng khác nhau.

(Đôi khi những nhãn này có thể gây khó khăn về mặt ngôn ngữ. Chẳng hạn, một tài liệu mật do Liên Hợp Quốc sản xuất có được dán nhãn UN - CLASSIFIED? Hay điều đó sẽ bị hiểu sai thành UNCLASSIFIED và được chia sẻ rộng rãi?)

Còn về một hệ thống ghi nhãn sử dụng những từ đơn giản và một phép ẩn dụ toàn cầu rõ ràng thì sao?

Đó là nơi Giao thức đèn giao thông vào đi.

Như bạn sẽ đoán, phép ẩn dụ là tín hiệu giao thông khiêm tốn, sử dụng các màu sắc giống nhau, với nhiều ý nghĩa giống nhau, ở hầu hết các quốc gia trên thế giới.

RED có nghĩa là dừng lại, và không có gì khác ngoài dừng lại; AMBER có nghĩa là dừng lại trừ khi làm như vậy sẽ nguy hiểm; và XANH có nghĩa là bạn được phép đi, giả sử rằng làm như vậy là an toàn.

Các tín hiệu giao thông hiện đại, sử dụng đèn LED để tạo ra các tần số ánh sáng cụ thể, thay vì bộ lọc để loại bỏ các dải màu không mong muốn khỏi đèn sợi đốt, sáng và được nhắm mục tiêu chính xác đến mức một số khu vực pháp lý không còn bận tâm đến việc kiểm tra các trình điều khiển tiềm năng về cái gọi là mù màu, bởi vì ba dải tần được phát ra rất hẹp đến mức gần như không thể trộn lẫn vào nhau, và ý nghĩa của chúng rất rõ ràng.

Ngay cả khi bạn sống ở một quốc gia nơi đèn giao thông có các tín hiệu bổ sung “ở giữa”, chẳng hạn như màu xanh lá cây + màu hổ phách, màu đỏ + màu hổ phách cùng nhau hoặc một màu tự nhấp nháy liên tục, hầu hết mọi người trên thế giới đều hiểu ẩn dụ về đèn giao thông chỉ dựa trên ba màu chính đó.

Thật vậy, ngay cả khi bạn quen gọi ánh sáng ở giữa là VÀNG thay vì AMBER, như một số quốc gia vẫn làm, thì rõ ràng AMBER ám chỉ đến điều gì, nếu chỉ vì nó ở giữa không phải là ĐỎ hoặc XANH.

Phiên bản TLP 2.0

Sản phẩm Giao thức đèn giao thông được giới thiệu lần đầu tiên vào năm 1999, và bằng cách tuân theo nguyên tắc Giữ cho nó đơn giản và dễ hiểu (KISS), đã trở thành một hệ thống ghi nhãn hữu ích cho các báo cáo an ninh mạng.

Cuối cùng, TLP yêu cầu bốn cấp, không phải ba, vì vậy màu TRẮNG được thêm vào có nghĩa là “bạn có thể chia sẻ điều này với bất kỳ ai” và các ký hiệu chỉ định được định nghĩa rất đơn giản dưới dạng chuỗi văn bản TLP:RED (tất cả viết hoa, không có dấu cách), TLP:AMBER, TLP:GREEN và TLP:WHITE.

Bằng cách giữ khoảng trắng khỏi nhãn và buộc chúng thành chữ hoa, chúng nổi bật rõ ràng trong các dòng tiêu đề email, dễ sử dụng khi sắp xếp và tìm kiếm và sẽ không bị nhầm lẫn giữa các dòng.

Vâng, sau hơn 20 năm phục vụ, TLP đã trải qua một bản cập nhật nhỏ, để từ tháng 2022 năm XNUMX, chúng tôi có Giao thức đèn giao thông 2.0.

Thứ nhất, màu TRẮNG đã được thay thế bằng RÕ RÀNG.

Màu trắng không chỉ có tác dụng phân biệt chủng tộc và sắc tộc mà sự lịch sự thông thường mời gọi chúng ta tránh, mà còn thể hiện một cách khó hiểu tất cả các màu khác trộn lẫn với nhau, như thể nó có nghĩa là đi-và-dừng-cùng-lúc.

Vì vậy, CLEAR không chỉ là một từ phù hợp hơn với xã hội ngày nay, mà còn là một từ phù hợp với mục đích dự định của nó hơn (ahem) rõ ràng.

Và một điểm đánh dấu thứ năm đã được thêm vào, cụ thể là TLP:AMBER+STRICT.

Các cấp độ được hiểu như sau:

TLP:RED	"Chỉ dành cho mắt và tai của từng người nhận." Điều này khá dễ hiểu: nếu bạn nhận được tài liệu về an ninh mạng TLP: RED, bạn có thể thực hiện nó, nhưng bạn không được chuyển tiếp nó cho bất kỳ ai khác. Vì vậy, bạn không cần phải cố gắng tìm hiểu xem liệu bạn có nên cho bất kỳ bạn bè, đồng nghiệp hoặc đồng nghiệp nghiên cứu nào biết hay không. Mức độ này được dành riêng cho thông tin có thể gây ra "Rủi ro đáng kể đối với quyền riêng tư, danh tiếng hoặc hoạt động của các tổ chức liên quan."
TLP:AMBER+STRICT	Bạn có thể chia sẻ thông tin này, nhưng chỉ với những người khác trong tổ chức của bạn. Vì vậy, bạn có thể thảo luận với nhóm lập trình hoặc với bộ phận CNTT. Nhưng bạn phải giữ nó “trong nhà”. Đáng chú ý, bạn không được chuyển tiếp nó cho khách hàng, đối tác kinh doanh hoặc nhà cung cấp của bạn. Thật không may, tài liệu TLP không cố gắng xác định xem nhà thầu hoặc nhà cung cấp dịch vụ là nội bộ hay bên ngoài. Chúng tôi khuyên bạn nên xử lý cụm từ “Hạn chế chia sẻ với tổ chức có thể " càng nghiêm ngặt càng tốt, như tên của cấp độ bảo mật này gợi ý, nhưng chúng tôi nghi ngờ rằng một số công ty sẽ kết thúc với cách giải thích tự do hơn về quy tắc này.
TLP:AMBER	Giống như TLP: AMBER + STRICT, nhưng bạn có thể chia sẻ thông tin với khách hàng (tài liệu TLP thực tế sử dụng từ khách hàng) Nếu cần.
TLP:GREEN	Bạn có thể chia sẻ thông tin này trong cộng đồng của bạn. TLP để cho bạn tính hợp lý về những người nào tạo thành cộng đồng của bạn, chỉ lưu ý rằng "Khi 'cộng đồng' không được xác định, hãy giả sử cộng đồng an ninh mạng / phòng thủ." Trong thực tế, bạn cũng có thể giả định rằng bất kỳ thứ gì được xuất bản dưới dạng TLP: GREEN sẽ kết thúc là kiến ​​thức công khai, nhưng bạn cần phải suy nghĩ về cách bản thân bạn chia sẻ nó.
TLP:CLEAR	Rất đơn giản, bạn rõ ràng để chia sẻ thông tin này với bất kỳ ai bạn thích. Như TLP đặt nó: “Người nhận có thể phát tán điều này đến thế giới; không có giới hạn về tiết lộ. ” Nhãn này đặc biệt hữu ích khi bạn đang chia sẻ hai hoặc nhiều tài liệu với một bên đáng tin cậy và ít nhất một trong các tài liệu được đánh dấu để chia sẻ hạn chế. Đưa TLP: XÓA nội dung mà họ có thể chia sẻ và có lẽ bạn muốn họ chia sẻ để nâng cao nhận thức, hãy làm cho nó trở nên rõ ràng hơn, nếu bạn không muốn chơi chữ.

Chỉ để rõ ràng (xin lỗi!), Chúng tôi không đặt TLP:CLEAR trên mọi bài báo về Bảo mật khỏa thân mà chúng tôi xuất bản, vì trang web này đã có thể truy cập công khai, nhưng chúng tôi mời bạn giả sử.

---