CERT.br

Ir para o conteúdo

Núcleo de Informação e Coordenação do Ponto BR

Uso do TLP pelo CERT.br

O TLP (Traffic Light Protocol) é um padrão global, mantido pelo FIRST (Forum of Incident Response and Security Teams), para indicar os limites de compartilhamento de informações entre partes interessadas. Este padrão foi criado para facilitar o compartilhamento mais amplo de informações potencialmente sensíveis e a colaboração mais efetiva.

O CERT.br adere ao padrão TLP do FIRST. Informações que possuam as marcações TLP:CLEAR, TLP:GREEN, TLP:AMBER, TLP:AMBER+STRICT ou TLP:RED serão tratadas da maneira apropriada, conforme definido no padrão.

Tradução para o Português Brasileiro

TRAFFIC LIGHT PROTOCOL (TLP) Guia de Uso e Definições do Padrão do FIRST — Versão 2.0
PDF: https://www.first.org/tlp/docs/v2/tlp-pt-br.pdf
RTF: https://www.first.org/tlp/docs/v2/tlp-pt-br.rtf

A versão autoritativa do padrão TLP é sempre a versão em Inglês, que pode ser obtida em:
https://www.first.org/tlp/.

Confira a palestra ministrada no GTS 37, que detalha o que é o TLP, as mudanças na nova versão e cuidados ao utilizar o protocolo:

Principais Mudanças na Versão 2.0

Em agosto de 2022 o FIRST lançou a versão 2.0 do TLP, que é a versão autoritativa do protocolo. Nessa ocasião também foi determinado que esta versão deverá ser obrigatoriamente adotada até janeiro de 2023.

As principais mudanças desta versão são:

Definições e Uso do TLP

O que é TLP
Pontos de Atenção

Tenha certeza que o destinatário entende o que é TLP e que pode seguir o padrão.
O que diz o padrão:

O TLP não atende exatamente o que você precisa? Especifique ou peça uma exceção.
O que diz o padrão:

Marcações TLP, Quando Usar e Como Compartilhar
TLP Quando deve ser usado? Como pode ser compartilhado?
TLP:RED
Somente para os olhos e ouvidos dos indivíduos destinatários, não é permitido compartilhamento nenhum.
Fontes podem usar TLP:RED quando não é possível atuar sobre a informação sem colocar em risco significativo a privacidade, reputação ou operações das organizações envolvidas. Destinatários não podem compartilhar informações TLP:RED com mais ninguém. No contexto de uma reunião, por exemplo, informações TLP:RED são limitadas àqueles presentes na reunião.
TLP:AMBER
Divulgação limitada, destinatários só podem disseminar para aqueles que necessitam saber (need-to-know basis) dentro de sua própria organização e com seus clientes.
Fontes podem usar o TLP:AMBER quando é necessário apoio para agir de maneira efetiva sobre a informação, mas ainda assim há riscos para a privacidade, reputação ou operações das organizações envolvidas. Destinatários podem compartilhar TLP:AMBER com membros de sua própria organização e com seus clientes, mas somente com aqueles que necessitam saber da informação (need-to-know basis) para proteger sua organização e seus clientes e evitar danos continuados.
TLP:AMBER+STRICT
Divulgação limitada, destinatários só podem disseminar para aqueles que necessitam saber (need-to-know basis) e somente dentro de sua própria organização.
Fontes podem usar o TLP:AMBER+STRICT quando é necessário apoio para agir de maneira efetiva sobre a informação, mas ainda assim há riscos para a privacidade, reputação ou operações das organizações envolvidas. Se a fonte quiser restringir o compartilhamento somente para a organização ela deve especificar TLP:AMBER+STRICT. Destinatários podem compartilhar TLP:AMBER+STRICT somente com membros de sua própria organização, e somente com aqueles que necessitam saber da informação (need-to-know basis) para proteger sua organização e evitar danos continuados.
TLP:GREEN
Divulgação limitada, destinatários podem divulgar dentro de sua comunidade.
Fontes podem usar TLP:GREEN quando a informação é útil para a conscientização dentro de sua comunidade mais ampla. Destinatários podem compartilhar informações TLP:GREEN com seus pares e organizações parceiras dentro de sua comunidade, mas não por meio de canais publicamente acessíveis. Informações TLP:GREEN não podem ser compartilhadas fora de uma comunidade. Nota: quando a "comunidade" não estiver definida, assume-se que é a comunidade de segurança/defesa cibernética.
TLP:CLEAR
Não há limites na divulgação.
Fontes podem usar TLP:CLEAR quando há um risco mínimo ou não há previsão de risco de mau uso da informação, de acordo com regras e procedimentos aplicáveis para divulgação pública. Destinatários podem disseminar para o mundo, não há limites na divulgação. Desde que respeitadas as regras padrão de direitos autorais, as informações TLP:CLEAR podem ser compartilhadas sem restrições.

Definições de Comunidade, Organização e Clientes

Sob o TLP os termos comunidade, organização e clientes tem as seguintes definições:

Comunidade: um grupo que compartilha objetivos, práticas e relacionamentos informais de confiança. Uma comunidade pode ser tão ampla quanto todos os profissionais de segurança cibernética em um país (ou em um setor ou região).

Organização: um grupo que compartilha uma mesma afiliação através de um processo formal de filiação e que está sujeito a um conjunto de políticas em comum definidas pela organização. Uma organização pode ser tão ampla quanto todos os membros de uma organização para compartilhamento de informações, mas raramente mais ampla que isso.

Clientes: as pessoas ou entidades que recebem serviços de segurança cibernética de uma organização. Clientes são incluídos por padrão no TLP:AMBER, de modo que os destinatários possam compartilhar informações adiante, permitindo que os clientes possam tomar ações para se proteger. Para times com responsabilidade nacional esta definição inclui as partes interessadas (stakeholders) e o público-alvo (constituents).

Informações adicionais sobre TLP em Inglês

Vídeo no Youtube
Referências Oficiais do TLP

$Date: 2022/10/25 18:15:52 $