“协议”一词在 IT 中随处可见,通常描述如何在请求者和答复者之间交换数据的细节。
因此我们有了 HTTP,简称 超文本传输协议,它解释了如何与网络服务器通信; SMTP,或 简单的邮件传输协议,管理发送和接收电子邮件; 和 BGP, 边界网关协议,通过 ISP 相互告知他们可以帮助将数据传输到哪些 Internet 目的地,以及传输速度有多快。
但是还有一个重要的协议可以帮助 IT 人员(包括研究人员、响应者、系统管理员、经理和用户)谨慎处理有关网络安全威胁的信息。
该协议被称为 TLP,简称 红绿灯协议,被设计成一种非常简单的方式来标记网络安全信息,以便接收者可以轻松地弄清楚它的敏感程度,以及它可以共享的范围,而不会让坏事变得更糟。
有趣的是,并不是每个人都同意网络安全信息的传播应该受到限制,即使是自愿的。
所谓的爱好者 全面披露 坚持尽可能多地、尽可能广泛地、尽可能快地发布信息,实际上是处理漏洞、漏洞利用、网络攻击等的最佳方式。
完全公开的倡导者会坦率地承认,这有时会落入网络犯罪分子的手中,通过清楚地识别他们需要的信息(并泄露他们以前可能没有的知识)在任何人准备好之前立即发起攻击。
全面披露还可以通过迫使各地的系统管理员停止他们正在做的任何事情并立即将他们的注意力转移到本来可以安全地安排在稍后关注的事情上来破坏网络防御,只要它没有从屋顶上喊出来。
简单、轻松、公平
然而,完全披露的支持者会告诉你,没有什么比同时告诉所有人更简单、更容易或更公平的了。
毕竟,如果你告诉一些人而不是其他人,以便他们可以开始准备潜在的防御措施,并因此可能领先于网络犯罪分子,你实际上可能会让整个世界变得更糟。
如果即使是核心圈子里的一个人变成了流氓,或者仅仅因为他们的反应性质,或者他们突然决定付诸行动的计划而无意中泄露了秘密,那么骗子很可能无论如何,对自己的秘密信息进行逆向工程……
……然后所有不属于核心圈子的人都将被扔到狼群中。
无论如何,谁来决定哪些个人或组织被接纳进入核心圈子(或者“老男孩俱乐部”,如果你想贬低的话)?
此外,全面披露原则确保公司无法逃避隐瞒的全面问题而无所作为。
用 1992 年黑客电影 Sneakers 的臭名昭著(而且有问题,但这是另一天的论点)的话来说: “没有更多的秘密,马蒂。”
负责任的披露
然而,全面披露并不是如今网络安全响应通常采取的方式。
事实上,某些类型的网络威胁相关数据根本无法在道德或法律上共享,如果这样做可能会损害某人的隐私,或使接收者自己违反数据保护或数据拥有规定。
相反,网络安全行业在很大程度上已经确定了一种报告网络安全信息的中间立场,非正式地称为 负责任的披露.
这个过程是基于这样一种想法,即在不立即向全世界公开的情况下解决网络安全问题的最安全和最公平的方法是让制造问题的人“优先考虑”解决这些问题。
例如,如果您在远程访问产品中发现可能导致安全绕过的漏洞,或者如果您在服务器中发现可能导致远程代码执行的错误,您可以私下将其报告给产品的供应商(或照顾它的团队,如果它是开源的)。
然后,您同意他们保密一段时间,通常持续几天到几个月不等,在此期间,如果他们愿意,他们可以秘密解决问题,并且只有在他们的修复准备好后才披露血淋淋的细节。
但是如果约定的期限到期而没有结果,你就切换到完全公开模式,无论如何都要向所有人透露细节,从而确保问题不能简单地被扫到地毯下,无限期地忽视。
受控共享
当然,负责任的披露并不意味着收到初始报告的组织被迫将信息保密
私人报告的最初接收者可能会决定无论如何他们想要或需要分享新闻,也许是以有限的方式。
例如,如果您有一个需要组织的多个部门合作的关键补丁,您将别无选择,只能在内部共享信息。
而且,如果您知道发布的补丁可以修复最近发现的安全漏洞,但前提是您的客户在推出之前进行了一些配置更改,您可能希望给他们一个早期警告,以便他们做好准备。
同时,您可能想很好地要求他们不要将这个问题告诉世界其他地方。
或者,您可能正在调查正在进行的网络攻击,并且随着调查的展开,您可能希望向不同的受众披露不同数量的细节。
您可能有一般性建议,现在可以安全有效地与全世界分享。
您可能只想与一家公司共享特定数据(例如 IP 阻止列表或其他入侵指标),因为这些信息不可避免地会将他们暴露为受害者。
您可能想在知道后立即将您知道的一切透露给您信任的执法调查员,他们会追捕相关的犯罪分子。
如何标注信息?
如何明确标记这些不同级别的网络安全信息?
执法、安全服务、军队和官方国际机构通常有自己的术语,称为 保护标记,对于这种事情,带有我们都知道的间谍电影的标签,例如 SECRET
, TOP SECRET
, FOR YOUR EYES ONLY
, NO FOREIGN NATIONALS
,等等。
但是不同的标签在世界的不同地方意味着不同的东西,所以这种保护性标记在许多不同的语言、地区和网络安全文化中不能很好地翻译为公众使用。
(有时,这些标签在语言上可能具有挑战性。例如,联合国制作的机密文件是否应该被贴上标签? UN - CLASSIFIED
? 还是会被误解为 UNCLASSIFIED
并得到广泛分享?)
使用简单单词和明显的全局隐喻的标签系统怎么样?
那就是 红绿灯协议 用武之地。
正如您已经猜到的那样,这个比喻是不起眼的交通信号灯,它在世界上几乎每个国家都使用相同的颜色,具有几乎相同的含义。
红色意味着停止,只有停止; AMBER 表示停止,除非这样做本身会很危险; 和绿色意味着你可以去,假设这样做是安全的。
现代交通信号灯使用 LED 来产生特定的光频率,而不是使用过滤器来去除白炽灯中不需要的色带,它们非常明亮且目标准确,以至于一些司法管辖区不再费心测试潜在驾驶员的所谓色盲,因为发射的三个频段非常窄,几乎不可能混淆,它们的含义非常明确。
即使你生活在一个交通信号灯有额外“中间”信号的国家,比如绿色+琥珀色一起,红色+琥珀色一起,或者一种颜色自己连续闪烁,世界上几乎每个人都理解交通信号灯的隐喻仅基于这三种主要颜色。
确实,即使您习惯将中间的光称为黄色而不是琥珀色,就像某些国家所做的那样,琥珀指的是显而易见的,即使只是因为它不是红色或绿色的中间灯。
TLP 2.0 版
红绿灯协议 于1999年首次推出,并遵循以下原则 保持简单明了 (KISS),已成为网络安全报告的有用标签系统。
最终,TLP 需要四个级别,而不是三个级别,因此添加了白色以表示“您可以与任何人共享”,并且指示符被非常具体地定义为文本字符串 TLP:RED
(全部大写,没有空格), TLP:AMBER
, TLP:GREEN
和 TLP:WHITE
.
通过在标签中保留空格并将它们强制为大写,它们在电子邮件主题行中清晰地突出,在排序和搜索时易于使用,并且不会被错误地拆分为不同的行。
好吧,经过 20 多年的服务,TLP 经历了一次小更新,所以从 2022 年 XNUMX 月开始,我们有 红绿灯协议 2.0.
首先,白色已被替换为 CLEAR。
白色不仅具有普通正派要求我们避免的种族和民族色彩,而且还令人困惑地代表所有其他颜色混合在一起,好像它可能意味着在同一时间去和停止。
所以 CLEAR 不仅是一个更适合当今社会的词,而且是一个更符合其预期目的的词(咳咳)。
并添加了第五个标记,即 TLP:AMBER+STRICT
.
级别解释如下:
TLP:RED |
“仅限个别接受者的眼睛和耳朵。” 这很容易解释:如果您收到 TLP:RED 网络安全文档,您可以对其采取行动,但您不得将其转发给其他任何人。 因此,您无需考虑是否应该让任何朋友、同事或研究人员知道。 此级别保留用于可能导致 “对相关组织的隐私、声誉或运营造成重大风险。” |
TLP:AMBER+STRICT |
您可以共享此信息,但只能与您组织内的其他人共享。 因此,您可以与编程团队或 IT 部门讨论它。 但是你必须把它“放在家里”。 值得注意的是,您不得将其转发给您的客户、业务合作伙伴或供应商。 不幸的是,TLP 文档并没有尝试定义承包商或服务提供商是内部的还是外部的。 我们建议您对待这句话 “限制对组织的共享 仅由“ 正如此安全级别的名称所暗示的那样,尽可能严格,但我们怀疑某些公司最终会对该规则进行更自由的解释。 |
TLP:AMBER |
与 TLP:AMBER+STRICT 类似,但您可以与客户共享信息(TLP 文档实际上使用了单词 客户)(如有必要)。 |
TLP:GREEN |
您可以在您的社区内分享这些信息。 TLP 让您自行决定哪些人构成您的社区,但仅指出 “当‘社区’未定义时,假设为网络安全/国防社区。” 在实践中,您不妨假设以 TLP:GREEN 形式发布的任何内容最终都会成为公共知识,但您有责任考虑自己如何分享它。 |
TLP:CLEAR |
很简单,您可以与任何您喜欢的人分享这些信息。 正如 TLP 所说: “收件人可以将其传播给 世界; 披露没有限制。” 当您与受信任方共享两个或多个文档并且至少一个文档标记为受限共享时,此标签特别有用。 将 TLP:CLEAR 放在他们可以分享的内容上,也许你希望他们分享以提高知名度,如果你能原谅双关语的话,你的注意力会非常清楚。 |
为了清楚起见(对不起!),我们不放 TLP:CLEAR
在我们发布的每一篇 Naked Security 文章中,鉴于该网站已经可以公开访问,但我们邀请您假设它。