中国网络安全最早期的产品叫做防病毒卡,是由瑞星出品的一款硬件防病毒工具。这款防病毒卡能够对抗素有已知的,被收录其中的病毒,但随着病毒的复杂性日益提升,病毒种类和熟练的大幅度增长,瑞星无法快速、高效地更新防病毒卡的数据库,同时由于组织设备熟练和网络架构的快速扩张,单机单卡的模式无法适应市场,最终这款产品成为历史的一个缩影。
但是,如果能够拥有一个能够囊括全世界病毒的分享平台,再加上一款能够实时更新的网络安全防控工具,会不会让组织和企业更加安全呢?事件响应和安全团队论坛(FIRST)做到了这一点。
交通信号灯协议(TLP)是由事件响应和安全团队论坛(FIRST)推出的,由包括美国、英国等多个西方国家共同参与的,致力于选举安全、公用事业安全、汽车安全等多领域安全的威胁情报共享平台。由于其内部用红黄绿白等多种颜色来标注威胁情报的等级,因此被称之为交通信号灯协议。
根据FIRST,应根据有权访问共享敏感信息的受众应用相应颜色编码的TLP标签:
TLP:RED =仅限小范围的个人,不得扩大披露。当信息无法有效地采取行动而不会对相关组织的隐私、声誉或运营造成重大风险时,来源可能会使用TLP:RED。因此,接收者不得与其他任何人共享TLP:RED信息。例如,在会议背景下,TLP:RED信息仅限于出席会议的人员。
TLP:AMBER =有限披露,对象仅限组织及其客户中有知情权的个人。
TLP:AMBER+STRICT将共享仅限于组织内部。
TLP:GREEN =有限披露,收件人可以在他们的社区内传播。当信息有助于提高其更广泛社区的意识时,来源可能会使用TLP:GREEN。收件人可以与社区内的同行和合作伙伴组织共享TLP:GREEN信息,但不能通过可公开访问的渠道。TLP:GREEN信息不得在社区外共享。注意:当“社区”未定义时,其假设为网络安全/国防社区。
TLP:CLEAR =收件人可以将其传播到世界各地,披露没有限制。根据公开发布的适用规则和程序,当信息具有最小或没有可预见的滥用风险时,来源可以使用TLP:CLEAR。根据标准版权规则,TLP:CLEAR信息可以不受限制地共享。
共享威胁数据就像是在刀尖上跳舞,因为你无法保证你所分享的带有威胁的信息或数据是否存在其他问题。例如,欧洲网络机构ENISA表示,在CSIRT(计算机安全事件响应团队)代表会议上的PPT对大多数人来说可能都是TLP:RED,能够对信息采取行动的团队也应该处于TLP:AMBER。
TLP中相关颜色的制定受到各种机密文档标记(如机密、绝密等)的启发。然而,TLP和“绝密”分类并不相关。TLP不应用于机密文件,一些国家会自动将某些类型的数据(如对关键基础设施的威胁)默认分类为机密文件,这意味着它们的分发已经受到了严格控制。
多年来,美国建立了一系列信息共享和分析中心(ISAC),在英国被称为信息交换中心,包括选举、公用事业、汽车等多个垂直行业已经建立了相关的ISAC。这些协议成为事件响应和安全团队论坛(FIRST)的一部分,该论坛于2016年8月正式发布了TLP v1.0,并于2022年8月发布了经修订的TLP v2.0。在经过都柏林会议的一次广泛讨论后,各种支持该协议的产品问世,来自世界各地的50多名特殊利益集团成员为TLP的努力做出了贡献。
此次从1.0到2.0的更新,目的是使标准更加精确,从而让更多的安全从业者参与进来。“我们正在社区内部、公司内部、商业部门内部、国家内部和全球范围内传播更多机密和敏感信息。”FIRST TLP-SIG联合主席Don Stikvoort在都柏林会议期间表示:“我们需要易于使用、易于理解且足够简单的系统,以确保翻译不会影响意义,从而确保我们与适当的受众共享敏感信息,此次更新的TLP 2.0版正好做到了这一点。”
本次更新的TLP 2.0有几大重要变化:
加强协议中使用的语言,使非英语母语人士更容易理解,并提供更准确的语言翻译功能。(到目前为止,协议已经包含荷兰语、葡萄牙语、法语、日语和挪威语,Stikvoort表示:“我们希望尽可能保持简洁明了,以增进理解。”。这项工作的一部分是建立标准文件中使用的术语之间的一致性。)
添加了一个颜色表,以包括RGB、CMYK和十六进制颜色代码,用于各种文档。
TLP:WHITE名称已成为TLP:CLEAR,这是全球努力摆脱种族主义语言的一部分。
添加了TLP:AMBER+Sstrict标签,以突出显示仅限于收件人组织的信息。这是一个非常有用的名称,并显示了TLP如何有效,因为许多公司已经看到了其软件供应链的暴露(例如SolarWinds或VMware的ESXi漏洞)。
都柏林会议上强调,数据在服务提供商(如ISP或电信供应商)之间的共享方式取决于颜色和,以及数据在不同各方之间共享时发生的变化。此外,随着数据从一个地方共享到另一个地方,威胁名称如何变化取决于其敏感程度。Stikvoort表示,该数据文件的发起者或发送者负责指定颜色和级别。因此,当数据在不同国家,不同语言环境中转移时,需要拥有稳定流畅的沟通。
TLP的另一位负责,CISA的员工托马斯·米勒表示,更新TLP之后,更多尚未使用TLP或以非常有限的方式使用TLP的潜在用户表达了关注,这让TLP所涵盖的国家和地区越来越丰富,也能够让更多的人关注和了解TLP。
TLP只是在人类在共享安全威胁信息以及围绕各种自动化操作工具构建元数据的一系列努力之一。在这个过程中,研究人员和防御者之间会建立联系,了解恶意软件是如何工作的,并分配危害指标,以帮助入侵检测系统发现这些威胁,共享恶意软件数据,并消除它们。这一点可以从MITRE通过其ATT&CK框架对威胁进行分类的工作中看出。
目前,已经有组织专门为供应链威胁创建类似框架,同时STIX和TAXI等各种商业产品中使用了两个标准,这两个标准是源于北约的开源项目恶意软件信息共享项目(MISP)的一部分。换言之,这种共享安全威胁信息在全世界各地均有开展,TLP只是最有趣,范围最广的那一个。
如果CSO还没有编纂任何威胁数据,那就需要研究一下STIX和TAXI是如何使用的,以及它们如何帮助对这些威胁进行分类。
接下来,再利用MISP和CISA程序,以帮助实时交换机器可读的威胁信息。MISP拥有包含有关恶意软件入侵未遂的数据以及应对和防御这些威胁方法的免费服务。CISA同时支持TLP和STIX协议,但直到2023年3月才支持TLP v2.0。
然后,CSO要意识到TLP不是产品,而是一种安全意识。CSO要确定如何在整个组织中共享威胁数据,包括如何与供应商和合作伙伴以及整个软件供应链进行沟通。
“如果你把系统看作是由人、过程和技术组成的,那么TLP就是99%的人和过程,”Millar表示:“如果技术也支持TLP,那很好,但它应该是过程的一部分,由人们实践。
某信息安全专家表示,近几年,威胁情报行业增长迅速,威胁情报厂商通过建立威胁情报中心可从网络犯罪、信誉库、漏洞、恶意软件等多个角度满足不同用户的特定需求。威胁情报的关键点在于实现情报信息的共享,只有建立起一条威胁情报的共享机制,让有价值的情报有效流通,才能真正建立起威胁情报的生态系统。
中国工程院院士邬贺铨表示,网络安全需要打通产业链上下游共享情报,建立协同联动的联防联控机制。万物互联的时代到来,依靠单个企业的防御能力已不足以应对,需要在关联企业间,形成网络安全威胁情报共享机制,制定威胁情报共享的标准,清楚定义,尤其是安全数据的输出和威胁情报的查询共享问题,协同联防。
他认为,未来互联网的发展应该是信息化和安全三轮驱动,兼顾发展和安全,将成为中国互联网持续发展的重要课题。
很多威胁情报机构提供的数据只覆盖全局威胁(即网络空间威胁,下同)的一小部分。相关工作者在不同的威胁情报来源之间进行了大量比较,但发现少有重叠,即可能主要由单一源提供。这一现象广泛存在于威胁情报的运用场景中,从互联网上免费的黑名单到封闭昂贵的商业源均有出现,它意味着对威胁全局的覆盖不佳。
实际上,TLP的出现正是为了解决这个问题,数据共享不仅在TLP中,还发生在情报社区或公司之间的正式共享协议中,如网络威胁联盟和反钓鱼工作组,它们通常要求互惠,或“交换条件”,以避免搭便车的行为。
互联网的精神是共享,在确保数据安全的前提下,CSO可以建立一种分享威胁情报的机制,以便在内部、供应商及合作伙伴等共同分享相关数据,保障组织整体的安全性和可靠性。
What is Traffic Light Protocol? Here's how it supports CISOs in sharing threat data—David Strom