Derrière la naissance de TLP se trouvent les efforts des équipes de réponse aux incidents de sécurité du secteur public dans plusieurs pays qui ont commencé à partager les alertes de sécurité entre elles. L’objectif est de s’assurer que les destinataires des données sur les menaces peuvent évaluer la sensibilité de ces données et les partager avec d’autres, et dans le processus ne profitent pas aux acteurs malveillants, n’exposent pas les données personnelles ou ne violent pas les règles de confidentialité.
TLP utilise la classification par code couleur. C’est là que le concept de feu de circulation est appliqué. Chaque couleur représente une méthode de partage de données. Le rouge (TLP:RED) signifie arrêter complètement, le jaune (TLP:AMBER) signifie arrêter à moins que le partage ne soit dangereux, et le vert (TLP:GREEN) signifie que les données peuvent être partagées si cela est sûr. La version 2.0 a clarifié les restrictions de partage et la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis Guide TLP 2.0annoncé.
Partage sécurisé des données sur les menaces
Le partage des données sur les menaces est une question sensible. Lorsque vous découvrez une menace, vous devez réfléchir attentivement aux informations que vous partagez sur cette menace. Par exemple, l’agence cyber européenne ENISA“Une présentation lors d’une réunion du personnel de l’équipe de réponse aux incidents de sécurité informatique (CSIRT) serait TLP:RED pour la plupart des participants, mais TLP:AMBER serait approprié à l’exception d’une équipe capable d’agir sur cette information.” Dans le passé, les vulnérabilités Divulgation complète, divulgation responsable, taxonomie de divulgation limitéemais TLP montre que l’approche granulaire est plus efficace.
Bien que le système du TLP ait été inspiré par des marqueurs de documents classifiés tels que secret/top secret, le TLP et la classification classifiée sont totalement indépendants. TLP ne doit pas être utilisé pour les documents confidentiels. Certains pays classent automatiquement certains types de données comme confidentielles, telles que les menaces contre les infrastructures critiques, et contrôlent étroitement la distribution de ces données.
Une brève histoire de TLP
Les États-Unis depuis plusieurs années Centres de partage et d’analyse de l’information (ISAC)(appelé « échange d’informations » au Royaume-Uni). Il est adapté à une variété d’industries verticales, telles que l’ISAC pour la sécurité des élections, la sécurité des services publics et la sécurité automobile. ce protocole Forum des équipes de réponse aux incidents et de sécurité (FIRST)et le forum a publié TLP 1.0 en août 2016.
Plus tard, en août 2022, un TLP 2.0 amélioré a été annoncé. à ce moment-là Conférence de DublinIl y a eu une discussion approfondie sur TLP 2.0. Depuis lors, une variété de produits sont sortis qui prennent en charge le protocole mis à jour. Actuellement, plus de 50 membres de groupes d’intérêts spéciaux du monde entier contribuent au TLP.
L’une des raisons pour lesquelles TLP 2.0 a été discuté était d’augmenter la convivialité en augmentant la précision de la norme. S’exprimant lors de la conférence de Dublin, le coprésident de FIRST TLP SIG, Don Stikboot, a déclaré : « Il y a de plus en plus de diffusion d’informations classifiées et sensibles au sein des communautés, des entreprises, des secteurs d’activité, des pays et du monde entier. Par conséquent, pour garantir que les informations sensibles sont partagées avec le public approprié, un système facile à utiliser et à comprendre, et suffisamment concis pour que les traductions ne déforment pas le sens original, est nécessaire. La version 2.0 mise à jour et modernisée de TLP répond à ces critères.
Mise à jour majeure de TLP 2.0
Les changements les plus importants de TLP 2.0 sont :
- La langue utilisée dans la norme a été clarifiée pour la rendre plus facile à comprendre pour les locuteurs non natifs de l’anglais et pour augmenter la précision des traductions dans d’autres langues. Jusqu’à présent, TLP a été traduit en néerlandais, portugais, français, japonais et norvégien. “Je voulais que ce soit aussi simple que possible pour améliorer la compréhension”, a expliqué Stikboot. L’uniformité de la terminologie utilisée dans les documents normalisés a également été assurée.
- Ajout de tables de couleurs pour inclure les codes de couleur RVB, CMJN et hexadécimaux à utiliser dans divers documents.
- TLP:WHITE a été changé en TLP:CLEAR dans un effort mondial pour éliminer le langage raciste enraciné.
- L’étiquette TLP:AMBER+Strict a été ajoutée pour mettre en évidence les informations réservées à l’organisation du destinataire uniquement. C’est un marqueur très utile, et compte tenu de l’exposition aux informations que de nombreuses entreprises ont connue dans leur chaîne d’approvisionnement (telles que les vulnérabilités SolarWinds ou VMware ESXi), cela montre à quel point TLP peut être efficace.
Raisons de la mise à jour du TLP
La conférence de Dublin a discuté de la façon dont les données sont partagées selon différents marqueurs de couleur entre les fournisseurs de services tels que les FAI ou les opérateurs, et comment cela change à mesure qu’ils sont partagés entre plusieurs parties. Il a également déterminé comment les marqueurs de menace changent en fonction de leur sensibilité lorsque les données sont partagées d’un endroit à un autre. “Le créateur ou l’expéditeur d’origine du document est responsable du niveau de marquage”, explique Stickboot. “Nous devons être clairs sur la manière dont nous diffusons les informations, en particulier lorsqu’il s’agit de recevoir et de fournir des informations.”
Thomas Miller, membre de la CISA, est coprésident du TLP. Miller note que le protocole amélioré a un effet secondaire positif inattendu. C’est agréable de voir une nouvelle communauté manifester un intérêt qui n’a pas fait partie de la conversation auparavant.”
Au-delà du TLP, de nombreux efforts sont déployés pour codifier les métadonnées des menaces afin que les informations sur les menaces puissent être partagées entre elles et plus facilement utilisées par une variété de tâches et d’outils automatisés. L’objectif d’activités comme celle-ci est de créer un lien entre les chercheurs et les défenseurs, de comprendre le fonctionnement des logiciels malveillants et d’attribuer des indicateurs de compromission pour aider les systèmes de détection d’intrusion à trouver ces menaces, à partager les données des logiciels malveillants et à les neutraliser.
Un excellent exemple est les efforts de MITRE pour classer les menaces via son cadre ATT&CK et créer un cadre similaire pour les menaces de la chaîne d’approvisionnement, ainsi qu’une partie du projet de partage d’informations sur les logiciels malveillants (MISP) dérivé de l’OTAN et maintenant un certain nombre de produits commerciaux. STIX et TAXII etc.
MISP synchronise automatiquement les événements de menace et les actions sur ceux-ci. MISP utilise le protocole STIX pour organiser les données de chaque événement. Plusieurs fournisseurs de solutions ont des connecteurs qui permettent de partager les données des flux de menaces dans le cadre MISP. Ceux-ci incluent DeepSight Intelligence de Symantec, Kaspersky Threat Feed, CTIX de Cyware et Active Response de McAfee.
Les plates-formes open source et commerciales de renseignement sur les menaces et les intégrations MISP incluent la plate-forme ThreatQuotient et la plate-forme EclecticIQ. Ces plates-formes commerciales vont encore plus loin en utilisant les données STIX et ATT&CK pour visualiser les menaces et créer des actions automatisées pour gérer et éliminer les menaces, ainsi que pour effectuer d’autres actions d’atténuation des pertes après l’attaque.
Par où commencer avec TLP ?
Si vous n’avez pas encore codé vos données sur les menaces, il est maintenant temps d’étudier STIX et TAXII et de voir comment ces normes sont utilisées et comment elles aident à classer les menaces.
après cela Partage automatisé d’indicateurs (AIS)Examinons les programmes MISP et CISA qui facilitent l’échange en temps réel d’informations sur les menaces lisibles par machine, appelées . C’est un service gratuit qui fournit des données sur les tentatives d’intrusion de logiciels malveillants et sur la façon de contrer et de se défendre contre les menaces. Le programme utilise à la fois les protocoles TLP et STIX et prend en charge TLP 2.0 à partir de mars 2023. Utile PREMIER montrant diverses couleurs de classification et les meilleures pratiques guide de référenceIl y a aussi
Ensuite, vous devez savoir que le cœur de TLP est un mode de vie, pas un produit. Examinez la manière dont vous partagez actuellement les données sur les menaces au sein de votre organisation, y compris la manière dont vous les diffusez entre les fournisseurs, les partenaires et la chaîne d’approvisionnement des logiciels.
“Si les composants d’un système sont les personnes, les processus et la technologie, TLP est composé à 99 % de personnes et de processus”, a déclaré Miller. C’est formidable si la technologie prend en charge le TLP, mais fondamentalement, le TLP doit faire partie du processus et ce sont les gens qui mettent ce processus en pratique.”
« TLP concerne la manière d’organiser ces informations sur les menaces et de les partager avec d’autres. Toute organisation de sécurité qui souhaite partager des informations sensibles avec une autre organisation doit utiliser TLP. Il ne doit pas nécessairement être inclus dans le contexte ISAC ou lié à une technologie particulière. Certaines organisations utilisent TLP pour des informations physiquement sécurisées. C’est simple, pratique et nous permet de partager des informations en toute confiance.”