março 10, 2014

[Segurança] Traffic Light Protocol

O "Traffic Light Protocol" (TLP) ("Protocolo do Semáforo", em uma tradução simples e literal, minha) é uma metodologia bem simples e objetiva para sinalizar mensagens e trocas de informação, utilizado por várias empresas e entidades conhecidas, como o próprio CERT-US e a ENISA.

O TLP lembra muito o conceito de classificação da informação, mas é um modelo mais simples e direcionado para um uso objetivo: troca de infomação. Isto não quer dizer que ele substitui um sistema de classificação de informação. Na minha opinião, ele é um complemento. O TLP define quatro níveis de compartilhamento, de acordo com o grau de sensibilidade da informação e as respecitivas considerações sobre como ela deve (ou não) ser compartilhada: Red (Vermelho), Ambar (Amarelo), Green (Verde) ou White (Branco).


No site do CERT-US tem uma descrição desses níveis, conforme a seguir:

Cor Quando Usar Como Compartilhar
RED
(Vermelho)
O remetente pode usar a indicação "TLP:RED" quando compartilhar uma informação que não pode ser compartilhada com outras organizações, e esta informação pode levar a impactos na privacidade, na reputação , ou nas operações de terceiros se for mal utilizada. Os destinatários não podem compartilhar estas informações com terceiros exceto com o grupo específico (ou durante a reunião ou conversa) em que a informação foi divulgada originalmente.
AMBER
(Ambar)
O remetente pode usar a indicação "TLP:AMBER" quando a informação depende de dados adicionais para ser efetivamente colocada em prática, mas mesmo assim ainda traz riscos à privacidade, reputação , as operações de terceiros se for compartilhada fora das organizações envolvidas. Os destinatários só podem compartilhar as informações com membros de sua própria organização, desde que precisem tomar conhecimento dela, e somente no nível de detalhe que seja necessário para agir com base nessa informação .
GREEN
(Verde)
O remetente pode usar a indicação "TLP:GREEN" quando a informação for útil para a conscientização de todas as organizações participantes, ou com seus pares dentro da comunidade mais ampla ou do setor de atuaçào. Os destinatários podem compartilhar estas informações com seus pares e organizações parceiras dentro do seu setor ou sua comunidade, mas não podem fazê-lo através de canais de comunicação públicos.
WHITE
(Branco)
O remetente pode usar a indicação "TLP:WHITE" quando compartilhar uma informação que traz o mínimo ou nenhum risco previsível pelo seu mau uso, de acordo com as regras e procedimentos aplicáveis ​​para a divulgação pública. Os destinatários podem compartilhar e distribuir estas informações sem restrições, sujeitos apenas a controles de direitos autorais (se existirem).

Quando alguma pessoa compartilha uma informação, ela define um certo nível de classificação seguindo o protocolo TLP, conforme acima A partir daí, o nível marcado no TLP vai indicar, para os destinatários, como eles devem tratar a informação recebida.

Por exemplo, se você gostou deste post e quer compartilhar com os colegas do seu SOC, você pode mandar um e-mail para eles com a tag TLP:WHITE no subject. Mas, por outro lado, suponha que vocês estejam analisando um sample de um malware que foi detectado em sua rede e tem que trocar mensagens entre si ou com o seu fornecedor de anti-vírus. Neste caso, marquem os e-mails com a tag TL:RED.

O TLP é reconhecido entre vários membros da indústria que frequentemente compartilham informações com parceiros de confiança. O site do CERT-US também tem um documento em PDF de duas páginas, que resume muito bem o que é o TLP.

OBS: Pequena atualização de formatação da tabela em 29/01/19.

Um comentário:

Anônimo disse...

Interessante a iniciativa, mas achei o controle disto muito bobinho. Parabéns pelo POST, não conhecia o TLP.

Gostaria de entender melhor a aplicabilidade, pois "taggear" por "taggear" não ajuda muito.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.