Matriz de Traffic Light Protocol (TLP)
Vulnerabilidades
Incidentes
El protocolo TLP (Traffic Light Protocol), es un conjunto de designaciones diseñadas para facilitar que alguien comparta información e informar a su audiencia sobre las limitaciones en la difusión o compartición de la misma. Es ampliamente usado en las comunidades de CSIRT y de seguridad de la información. El generador de la información etiqueta la misma con uno de los 4 colores provistos (Rojo, Ambar, Verde y Blanco), los colores determinan el nivel de diseminación mas no el nivel de sensibilidad.
Color TLP Concepto Ejemplo
ROJO Su divulgación está totalmente restringida, será accesible
únicamente para participantes o involucrados en la información.,La información recibida con etiqueta TLP ROJO no se puede difundir
ya que podría causar un impacto en aspectos como reputación, intimidad o actos
operacionales no autorizados. Los destinatarios no pueden compartir la información,
y si lo requirieran deben solicitar autorización al emisor de la misma.,Normalmente esta información se transfiere personalmente o de
manera directa al receptor.		 Información
compartida con el personal en una reunión confidencial.
AMBAR Información restringida y limitada a las organizaciones de
los participantes o involucrados.,La información recibida con etiqueta TLP AMBAR podrá ser
compartida cuando se requiera soporte legal o técnico, exclusivamente por el
personal de la misma empresa u organización, ya que conlleva un riesgo a la
privacidad, reputación u operaciones si se comparte fuera de las organizaciones
involucradas.,Las fuentes tienen la libertad de especificar límites
adicionales previstos para la compartición y éstos deben ser respetados.		 Acuerdos
de red de confianza entre CSIRT’s.
VERDE Información de divulgación limitada, restringida a la
comunidad.,La información recibida con etiqueta TLP Verde puede circular
libremente dentro de una cierta comunidad, eso no implica que sea información
pública, los beneficiarios pueden compartir la información con sus compañeros y
organizaciones asociadas dentro de su sector o comunidad, pero no a través de
canales accesibles públicamente. La información en esta categoría puede
distribuirse ampliamente dentro de una comunidad en particular.		 Compartir
un análisis de un incidente o vulnerabilidad con un proveedor de servicios de
telecomunicaciones específico.
BLANCO
 La divulgación no está limitada.,La información recibida con etiqueta TLP Blanco significa que
no conlleva riesgo mínimo o su uso es nulo, de acuerdo con las reglas y
procedimientos aplicables para la divulgación pública. Debe regirse a las
normas estándar de derechos de autor, la información puede ser distribuida sin
restricción.		 Publicación
de foros sobre seguridad informática.
Buenas prácticas para compartir información con TLP Lo ideal es cuando se desea compartir IOCs(Descripción de un incidente de ciberseguridad, actividad o hardware de carácter malicioso mediante patrones para ser identificado en una red o equipo final permitiendo mejorar así las capacidades ante la gestión de incidentes) donde se desea que los involucrados actúen se use TLP : Ámbar TLP: Rojo & TLP: Ámbar Se debe mantener mucho cuidado al usar TLP: Rojo con algo sensible ya que puede impedir que sus destinatarios puedan realizar una investigación o alerta adecuada en su entorno, ya que impediría a sus destinatarios el uso de la información bajo su equipo de trabajo(para usuarios que no fueron notificados de manera directa durante la divulgación) para ejecutar un análisis posterior. Se podría etiquetar con TLP: Rojo para dar un aviso de una amenaza, pero la investigación adicional producida será bastante limitada. El uso de TLP: Ambar con una restricción constitutiva como “Compartir solo con el equipo del CSIRT” es a menudo factible y productivo. Se tiene que tener en cuenta que al utilizar TLP: Ámbar al compartir un IOC el tener la autorización del administrador de red o sensores. Se debe tener en cuenta al configurar una alerta en un dispositivo (sensor o alarma) se podría estar rompiendo el TLP: Rojo, ya que algunos dispositivos comparten sus configuraciones, reglas y estadísticas a la nube o a su proveedor. Antes de implementar una alerta basada en la información TLP: Rojo, debe comprobar que datos reciben (nube o proveedor) por su dispositivo. Ejemplo Una IP se utiliza para espionaje, se puede compartir todos los detalles de espionaje con el grupo de trabajo bajo TLP: Rojo y luego compartir la IP con una descripción más general bajo TLP: Ámbar. No se debe confundir la sensibilidad con la restricción, si se desea que se actué sobre la información bajo etiqueta TLP restrictiva eso limitara la utilidad de la información. TLP: Ámbar con restricción TLP: El código ámbar es el mayormente usado. Por definición, se trata de compartir información con los miembros de su propia organización, se debe definir claramente el concepto de organización. Si no se define lo que se entiende por organización, entonces le corresponde al destinatario definir esto, su definición de "organización" puede ser llegar a ser diferente a su comprensión de la "organización", pídale a su destinatario una verificación previa de lo denominado como organización si se tiene alguna duda como tal, trate de ser lo más específico posible al usar TLP: Ámbar. En la práctica, comúnmente los CSIRT utilizaran TLP: Ámbar con una definición de organización a “tu propio CSIRT” o en algunos casos “tu NOC” Como regla general, al usar TLP: Ámbar, describa lo que quiere decir como “organización” Ejemplo: Mail asunto: " TLP: Ámbar Nueva amenaza en XXX" Cuerpo del correo: " TLP: Ámbar: Organización: es tu CSIRT" Si envía un e-mail donde desea etiquetar la información con un código TLP, se recomienda iniciar el asunto con el código TLP, de esta manera su destinatario sabe cómo clasificar la información inmediatamente. Al momento de compartir información con TLP: Rojo o TLP: Ámbar se requiere que se use cifrado (PGP o GPG) con su grupo de trabajo. Fuentes: http://blog.marcfredericgomez.fr/ssi-traffic-light-protocol/ https://www.enisa.europa.eu/topics/national-csirt-network/glossary/considerations-on-the-traffic-light-protocol https://www.vanimpe.eu/2015/08/21/use-traffic-light-protocol-tlp/
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
(+593) 22 272-179
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
Envíanos un Correo
Llaves PGP/GPG

Copyright © 2017 EcuCERT