Matriz de Traffic Light Protocol (TLP)

El protocolo TLP (Traffic Light Protocol), es un conjunto de designaciones diseñadas para facilitar que alguien comparta información e informar a su audiencia sobre las limitaciones en la difusión o compartición de la misma. Es ampliamente usado en las comunidades de CSIRT y de seguridad de la información. El generador de la información etiqueta la misma con uno de los 4 colores provistos (Rojo, Ambar, Verde y Blanco), los colores determinan el nivel de diseminación mas no el nivel de sensibilidad.

                Color TLPConceptoEjemplo
ROJOSu divulgación está totalmente restringida, será accesible únicamente para participantes o involucrados en la información.

La información recibida con etiqueta TLP ROJO no se puede difundir ya que podría causar un impacto en aspectos como reputación, intimidad o actos operacionales no autorizados. Los destinatarios no pueden compartir la información, y si lo requirieran deben solicitar autorización al emisor de la misma. Normalmente esta información se transfiere personalmente o de manera directa al receptor.
Información compartida con el personal de una reunión confidencial
AMBARInformación restringida y limitada a las organizaciones de los participantes involucrados. La información recibida con TLP AMBAR podrá ser compartida cuando se requiera soporte legal o técnico, exclusivamente por el personal de la misma empresa u organización, ya que conlleva un riesgo a la privacidad, reputación u operaciones si se comparte fuera de las organizaciones involucradas. Las fuentes tienen la libertad de especificar límites adicionales previstos para la compartición y estos deben ser respetados.Acuerdos de red de confianza entre CSIRT´s.
VERDEInformación de divulgación limitada, restringida a la comunidad. La información recibida con etiqueta TLP Verde puede circular libremente dentro de una cierta comunidad, eso no implica que sea información pública, los beneficiarios pueden compartir la información con sus compañeros y organizaciones asociadas dentro de su sector o comunidad, pero no a través de canales accesibles públicamente. La información en esta categoría puede distribuirse ampliamente dentro de una comunidad en particular.Compartir un análisis de un incidente o vulnerabilidad con un proveedor de servicios de telecomunicaciones específico.
BLANCOLa divulgación no está limitada. La información recibida con etiqueta TLP Blanco significa que no conlleva riesgo mínimo o su uso es nulo de acurdo con las reglas y procedimientos aplicables para la divulgación pública. Debe regirse a las normas estándar de derechos de autor, la información puede ser distribuida sin restricciónPublicación de foros de seguridad informática.
Fuente: enisa

Buenas prácticas para compartir información con TLP

Lo ideal es cuando se desea compartir Indicadores de Compromiso – IoC (Descripción de un incidente de ciberseguridad, actividad o hardware de carácter malicioso mediante patrones para ser identificado en una red o equipo final permitiendo mejorar así las capacidades ante la gestión de incidentes) donde se desea que los involucrados actúen se use TLP : Ámbar

TLP: Rojo & TLP: Ámbar

Se debe mantener mucho cuidado al usar TLP: Rojo con algo sensible ya que puede impedir que sus destinatarios puedan realizar una investigación o alerta adecuada en su entorno, ya que impediría a sus destinatarios el uso de la información bajo su equipo de trabajo(para usuarios que no fueron notificados de manera directa durante la divulgación) para ejecutar un análisis posterior.

Se podría etiquetar con TLP: Rojo para dar un aviso de una amenaza, pero la investigación adicional producida será bastante limitada.

El uso de TLP: Ambar con una restricción constitutiva como “Compartir solo con el equipo del CSIRT” es a menudo factible y productivo.

Se tiene que tener en cuenta que al utilizar TLP: Ámbar al compartir un IOC  el tener la autorización del administrador de red o sensores.

Se debe tener en cuenta al configurar una alerta en un dispositivo (sensor o alarma) se podría estar rompiendo el TLP: Rojo, ya que algunos dispositivos comparten sus configuraciones, reglas y estadísticas a la nube o a su proveedor. Antes de implementar una alerta basada en la información TLP: Rojo, debe comprobar que datos reciben (nube o proveedor) por su dispositivo.

Ejemplo Una IP se utiliza para espionaje, se puede compartir todos los detalles de espionaje con el grupo de trabajo bajo TLP: Rojo y luego compartir la IP con una descripción más general bajo TLP: Ámbar.

No se debe confundir la sensibilidad con la restricción, si se desea que se actué sobre la información bajo etiqueta TLP restrictiva eso limitara la utilidad de la información.

TLP: Ámbar con restricción

TLP: El código ámbar es el mayormente usado. Por definición, se trata de compartir información con los miembros de su propia organización, se debe definir claramente el concepto de organización.

Si no se define lo que se entiende por organización, entonces le corresponde al destinatario definir esto, su definición de «organización» puede ser llegar a ser diferente a su comprensión de la «organización», pídale a su destinatario una verificación previa de lo denominado como organización si se tiene alguna duda como tal, trate de ser lo más específico posible al usar TLP: Ámbar.

En la práctica, comúnmente los CSIRT utilizaran TLP: Ámbar con una definición de organización a “tu propio CSIRT” o en algunos casos “tu NOC”

Como regla general, al usar TLP: Ámbar, describa lo que quiere decir como “organización”

Ejemplo:

Mail asunto: » TLP: Ámbar Nueva amenaza en XXX»

Cuerpo del correo: » TLP: Ámbar: Organización: es tu CSIRT»

Si envía un e-mail donde desea etiquetar la información con un código TLP, se recomienda iniciar el asunto con el código TLP, de esta manera su destinatario sabe cómo clasificar la información inmediatamente.

Al momento de compartir información con TLP: Rojo o TLP: Ámbar se requiere que se use cifrado (PGP o GPG) con su grupo de trabajo.

Fuentes:

http://blog.marcfredericgomez.fr/ssi-traffic-light-protocol/

https://www.enisa.europa.eu/topics/csirt-in-europe/glossary/considerations-on-the-traffic-light-protocol

https://www.vanimpe.eu/2015/08/21/use-traffic-light-protocol-tlp/