Das Traffic Light Protocol (TLP) wurde entwickelt, um den Austausch von potenziell sensiblen Bedrohungsdaten innerhalb einer Organisation zu erleichtern und eine effektivere Zusammenarbeit zwischen Sicherheitsverantwortlichen, Systemadministratoren, Sicherheitsmanagern und Forschern zu ermöglichen. Das TLP entstand aus den Bemühungen verschiedener Sicherheitsteams des öffentlichen Sektors in verschiedenen Ländern, die begannen, Sicherheitswarnungen untereinander auszutauschen. Empfängern von Bedrohungsdaten sollten die Möglichkeit haben, die Sensibilität der Daten einzuschätzen und zu entscheiden, wie sie diese an andere weitergeben können.
Die Protokolle definieren eine Reihe von farbcodierten Klassifizierungen (hier kommt das Ampelkonzept ins Spiel), wobei jede Farbe angibt, wie die Daten weitergegeben werden können. Rot (TLP:RED) bedeutet "Stopp", Gelb (TLP:AMBER) bedeutet ebenfalls "Stopp", außer die Nicht-Weitergabe der Daten würde selbst zum Risiko werden, und Grün (TLP:GREEN) bedeutet, dass die Daten weitergegeben werden dürfen, sofern nichts anderes dagegen spricht. Darüber hinaus gibt es noch die Kennzeichnung TLP:CLEAR, die verwendet wird, wenn Informationen ein minimales oder kein vorhersehbares Missbrauchsrisiko bergen. Dann können die Informationen weltweit verbreitet werden.
Die Version 2.0 des TLP verbessert das ursprüngliche Protokoll, indem sie die Einschränkungen für die Weitergabe weiter präzisiert. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat dafür einen TLP-2.0-Leitfaden veröffentlicht.
Sicherer Austausch von Bedrohungsdaten
Die Weitergabe von Bedrohungsdaten ist ein heikles Unterfangen. Wenn Sie eine Bedrohung entdecken, müssen Sie vorsichtig sein, welche Informationen Sie darüber weitergeben. Die europäische Cyber-Agentur ENISA sagt zum Beispiel: "Eine Präsentation in einer Sitzung von Vertretern von CSIRTs (Computer Security Incident Response Teams) könnte für die meisten von Ihnen als TLP:RED eingestuft werden, mit Ausnahme des einen anwesenden Teams, das in der Lage ist, aufgrund der Informationen zu handeln. Für dieses Team ist der TLP-Status Gelb besser geeignet." In der Vergangenheit wurde in der Regel zwischen der vollständigen oder eingeschränkten Offenlegung von Schwachstellen unterschieden. Das TLP zeigt jedoch, dass ein nuancierterer Ansatz effektiver ist.
Das im TLP verankerte Schema wurde von den verschiedenen Kennzeichnungen für Verschlusssachen wie "geheim" und "streng geheim" inspiriert. TLP und die Einstufung "streng geheim" haben jedoch nichts miteinander zu tun und TLP sollte nicht für Verschlusssachen verwendet werden. Einige Länder stufen bestimmte Daten - wie zum Beispiel Bedrohungen für kritische Infrastrukturen - automatisch als Verschlusssache ein, was bedeutet, dass ihre Verbreitung sorgfältig kontrolliert wird.
Lesetipp: Warum CISOs den Austausch brauchen
Die Geschichte des Traffic Light Protocol
Im Laufe der Jahre haben die USA eine Reihe von Zentren für den Austausch und die Analyse von Informationen (Information Sharing and Analysis Center, kurz ISAC) aufgebaut. Es gibt sie für verschiedene vertikale Branchen, zum Beispiel für die Sicherheit von Wahlen, für die Sicherheit von Versorgungsunternehmen, für die Sicherheit in der Automobilindustrie und so weiter. Das Forum of Incident Response and Security Teams (FIRST) veröffentlichte im August 2016 offiziell das TLP v1.0 und im August 2022 wurde ein überarbeitetes TLP v2.0 vorgestellt, das auf einer Konferenz in Dublin ausgiebig diskutiert wurde.
Seitdem sind verschiedene Produkte auf den Markt gekommen, die die aktualisierten Protokolle unterstützen. Mehr als 50 Mitglieder des Forums aus der ganzen Welt leisten einen Beitrag zum TLP.
Ein Teil der Motivation für die Aktualisierung des TLP ist es, die Standards präziser und damit für Sicherheitsexperten nützlicher zu machen. "Wir verbreiten immer mehr vertrauliche und sensible Informationen innerhalb unserer Gemeinschaft, innerhalb von Unternehmen, innerhalb von Geschäftsbereichen, innerhalb von Ländern und weltweit", sagte der Mitvorsitzende der FIRST TLP-SIG, Don Stikvoort, auf der Konferenz in Dublin. "Wir brauchen Systeme, die einfach zu benutzen und zu verstehen sind und die so einfach sind, dass die Übersetzung die Bedeutung nicht beeinträchtigt, um sicherzustellen, dass wir sensible Informationen an die richtige Zielgruppe weitergeben. Die aktualisierte und modernisierte TLP-Version 2.0 erfüllt genau diese Anforderungen."
Wesentliche Neuerungen im TLP 2.0
Die wichtigsten Änderungen im TLP 2.0 gegenüber der Vorgängerversion sind folgende:
Schärfung der in den Standards verwendeten Sprache, um sie für Nicht-Muttersprachler leichter verständlich zu machen und genauere Übersetzungen in andere Sprachen zu ermöglichen. Die Protokolle sind bisher neben Englisch in Niederländisch, Portugiesisch, Französisch, Japanisch und Norwegisch veröffentlicht worden. "Wir wollten sie so einfach und klar wie möglich halten, um das Verständnis zu verbessern", sagt Stikvoort.
Es wurde eine Farbtabelle hinzugefügt, die RGB-, CMYK- und hexadezimale Farbcodes enthält, damit die Farbkennzeichnungen in Dokumenten verwendet werden können.
Die Bezeichnung TLP:WHITE wurde in TLP:CLEAR umbenannt, als Teil der weltweiten Bemühungen, von der kodierten rassistischen Sprache wegzukommen.
Die Kennzeichnung TLP:AMBER+Strict wurde hinzugefügt, um Informationen hervorzuheben, die nur für die Organisation des Empfängers bestimmt sind. Dies ist eine sehr nützliche Kennzeichnung und zeigt, wie effektiv TLP sein kann, wenn man bedenkt, dass viele Unternehmen aufgrund ihrer Software-Lieferketten gefährdet sind, man denke zum Beispiel an die ESXi-Schwachstellen von VMware oder an SolarWinds.
Warum die TLP-Aktualisierung?
Auf der Konferenz in Dublin wurde unter anderem beschrieben, wie Daten zwischen Dienstanbietern, wie Internetdienstleistern oder Telekommunikationsanbietern, anhand der verschieden farbigen Bezeichnungen ausgetauscht werden und wie sich die Farben ändern, wenn die Daten zwischen verschiedenen Parteien ausgetauscht wurden. Auch die Kennzeichnung der Bedrohung würde sich je nach Sensibilität der Daten ändern, wenn diese von einem Ort zum anderen weitergegeben würden. "Der Urheber oder Absender eines Dokuments ist für den Grad der Kennzeichnung verantwortlich", sagt Stikvoort. "Kommunizieren Sie also sehr klar und eindeutig, wenn Sie Informationen weiterleiten."
Ein weiterer TLP-Experte ist Thomas Millar, ein Mitarbeiter der CISA. Er erklärt gegenüber CSO, dass die überarbeiteten Protokolle einen unerwarteten, positiven Nebeneffekt mit sich bringen: "Wir haben die Aufmerksamkeit potenzieller Anwender auf das TLP gelenkt, die es bisher noch nicht oder nur in sehr begrenztem Umfang genutzt haben. Es gibt neue Gemeinschaften, die sich dafür interessieren, die vorher nicht an der Diskussion beteiligt waren, und das ist eine großartige Sache."
Das TLP ist nur eine von mehreren Maßnahmen, Informationen über Sicherheitsbedrohungen auszutauschen. Es dient aber auch der Strukturierung der Metadaten über die Bedrohungen, damit sie von verschiedenen automatisierten Verfahren und Tools leichter genutzt werden können. Ziel ist es, Verbindungen zwischen Forschern und Verteidigern zu schaffen, die Funktionsweise von Malware zu verstehen und Indikatoren für eine Gefährdung zuzuordnen, damit Detection-Systeme diese Bedrohungen finden, ihre Malware-Daten weitergeben und sie neutralisieren können. Diese Ziele verfolgt auch die Organisation MITRE, die das ATT&CK-Framework entwickelt hat, mit dem Bedrohungen klassifiziert werden können. Ein ähnliches Framework, speziell für Bedrohungen in Lieferketten, sowie zwei neue Standards als Teil eines Open-Source-Projekts namens Malware Information Sharing Project (MISP), hat die NATO auf den Weg gebracht.
Wie können CISOs mit TLP arbeiten?
Wenn Sie Ihre Bedrohungsdaten noch nicht kodifiziert haben, sollten Sie sich jetzt mit den Standards STIX (Structured Threat Information eXpression) und TAXII (Trusted Automated eXchange of Indicator Information) befassen. Mit deren Hilfe verstehen Sie, wie sie verwendet werden und wie sie bei der Klassifizierung von Bedrohungen helfen können.
Werfen Sie dann einen Blick auf das MISP und das CISA-Programm für den Echtzeitaustausch von maschinenlesbaren Bedrohungsdaten, die sogenannte Automated Indicator Sharing Capability. Dabei handelt es sich um einen kostenlosen Dienst, der Informationen zu versuchten Malware-Angriffen und Möglichkeiten zur Reaktion darauf sowie zur Abwehr von solchen Bedrohungen enthält. Die CISA verwendet sowohl TLP- als auch STIX-Protokolle, wird aber TLP v2.0 erst ab März 2023 unterstützen. FIRST hat zudem eine praktische Kurzanleitung zusammengestellt, die die verschiedenen Klassifizierungsfarben und ihre beste Verwendung zeigt.
Letztendlich sollten Sie sich bewusst machen, dass es beim TLP nicht um Produkte geht, sondern um eine Haltung. Überprüfen Sie, wie Sie Bedrohungsdaten in Ihrem Unternehmen weitergeben, einschließlich der Kommunikation mit Zulieferern und Partnern und in Ihrer Software-Lieferkette. "Wenn man davon ausgeht, dass Systeme aus Menschen, Prozessen und Technologie bestehen, besteht TLP zu 99 Prozent aus Menschen und Prozessen", erklärt Millar gegenüber CSO. "Wenn Technologie TLP unterstützt, ist das großartig, aber sie sollte Teil eines Prozesses sein, der von Menschen ausgeübt wird. Bei TLP geht es darum, wie man diese Bedrohungsinformationen organisiert und mit anderen teilt. TLP sollte von jeder Sicherheitsorganisation eingesetzt werden, die etwas Sensibles an eine andere Organisation weitergeben will. Das muss nicht in einem ISAC-Kontext oder mit einer bestimmten Technologie geschehen. Ich habe mit Organisationen gesprochen, die TLP auch für physische Sicherheitsinformationen verwenden. Es ist einfach, praktisch und hilft uns allen, vertrauensvoll Informationen zu teilen." (ms)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
Jetzt kostenlos für den CSO-Newsletter anmelden
