ll Forum of Incident Response and Security Teams (FIRST) ha recentemente pubblicato la versione 2.0 del Traffic Light Protocol (TLP). Secondo il FIRST da agosto 2022 la versione 2.0 sarà la versione ufficiale.
Cos’è il TLP?
TLP è uno standard ampiamente utilizzato per lo scambio di informazioni relative alla sicurezza informatica nelle comunità di risposta agli incidenti, analisi forense digitale e intelligence sulle minacce informatiche. È stato inizialmente istituito nel 1999. Nel 2015, FIRST ha assunto un ruolo di primo piano nell’unificazione e nella standardizzazione del TLP.
Come spiega il FIRST: “Il TLP fornisce uno schema semplice e intuitivo per indicare con chi possono essere condivise le informazioni potenzialmente sensibili”.
TLP è un insieme di quattro etichette utilizzate per indicare i limiti di condivisione che devono essere applicati dai destinatari. Solo le etichette elencate in questa norma sono considerate valide da FIRST.
Le quattro etichette TLP sono: TLP:RED, TLP:AMBER, TLP:GREEN e TLP:CLEAR.
“TLP: RED = Solo per gli occhi e le orecchie dei singoli destinatari, nessuna ulteriore divulgazione. Le fonti possono utilizzare TLP:RED quando non è possibile agire in modo efficace senza rischi significativi per la privacy, la reputazione o le operazioni delle organizzazioni coinvolte. Pertanto, i destinatari non possono condividere le informazioni con nessun altro. Nel contesto di una riunione, ad esempio, le informazioni di TLP:RED sono limitate ai presenti alla riunione.
TLP: AMBRA= Divulgazione limitata, i destinatari possono diffonderla solo in base alla necessità di sapere all’interno della propria organizzazione e dei suoi clienti.
TLP: AMBER+STRICT limita la condivisione solo all’organizzazione…
TLP: GREEN Divulgazione limitata, i destinatari possono diffonderla all’interno della loro comunità. Le fonti possono utilizzare TLP:GREEN quando le informazioni sono utili per aumentare la consapevolezza all’interno della loro comunità più ampia. I destinatari possono condividere le informazioni TLP:GREEN con colleghi e organizzazioni partner all’interno della loro comunità, ma non tramite canali pubblicamente accessibili. Le informazioni TLP:GREEN potrebbero non essere condivise al di fuori della community. Nota: quando la “comunità” non è definita, si presuppone la comunità di sicurezza informatica/difesa.
TLP: CLEAR = I destinatari possono diffonderlo nel mondo , non c’è limite alla divulgazione. Le fonti possono utilizzare TLP:CLEAR quando le informazioni comportano un rischio minimo o prevedibile di uso improprio, in conformità con le regole e le procedure applicabili per il rilascio pubblico. Fatte salve le norme standard sul copyright, le informazioni TLP:CLEAR possono essere condivise senza restrizioni.”
Le modifiche più significative:
- Rimossi i sinonimi e i colloquialismi per migliorare l’accessibilità per gli anglofoni non madrelingua e la facilità di traduzione.
- Adottati un linguaggio e terminologia coerenti, aggiungendo definizioni per comunità, organizzazione e clienti.
- Aggiunta una tabella colori per includere codici colore RGB, CMYK ed esadecimali.
- TLP:WHITE è diventato TLP:CLEAR.
- Aggiunta l’etichetta TLP:AMBER+Strict per evidenziare le informazioni limitate solo all’organizzazione del destinatario.
Fonti
https://www.first.org/newsroom/releases/20220805
https://cert.europa.eu/blog/tlp-version-2-primer
