TLP
Uso do TLP pelo CERT.br
O TLP (Traffic Light Protocol) é um padrão global, mantido pelo FIRST (Forum of Incident Response and Security Teams), para indicar os limites de compartilhamento de informações entre partes interessadas. Este padrão foi criado para facilitar o compartilhamento mais amplo de informações potencialmente sensíveis e a colaboração mais efetiva.
O CERT.br adere ao padrão TLP do FIRST. Informações que possuam as marcações TLP:CLEAR, TLP:GREEN, TLP:AMBER, TLP:AMBER+STRICT ou TLP:RED serão tratadas da maneira apropriada, conforme definido no padrão.
Tradução para o Português Brasileiro
TRAFFIC LIGHT PROTOCOL (TLP) Guia de Uso e Definições do Padrão do
FIRST — Versão 2.0
PDF: https://www.first.org/tlp/docs/v2/tlp-pt-br.pdf
RTF: https://www.first.org/tlp/docs/v2/tlp-pt-br.rtf
A versão autoritativa do padrão TLP é sempre a versão em Inglês, que
pode ser obtida em:
https://www.first.org/tlp/.
Confira a palestra ministrada no GTS 37, que detalha o que é o TLP, as mudanças na nova versão e cuidados ao utilizar o protocolo:
-
TLP 2.0: o que é e por que eu devo me preocupar com isso?
(7.1 MB)
Assista ao vídeo no YouTube
GTER 51 | GTS 37, outubro de 2022, São Paulo, SP
Principais Mudanças na Versão 2.0
Em agosto de 2022 o FIRST lançou a versão 2.0 do TLP, que é a versão autoritativa do protocolo. Nessa ocasião também foi determinado que esta versão deverá ser obrigatoriamente adotada até janeiro de 2023.
As principais mudanças desta versão são:
- Remoção de sinônimos e linguagem coloquial, para aumentar a compreensão por parte de falantes não nativos de Inglês e para facilitar a tradução.
- Foco em linguagem e terminologia consistentes, adicionando definições para os termos comunidade, organização e clientes.
- Adicionada uma tabela de cores para incluir os códigos RGB, CMYK e hexadecimal.
- TLP:WHITE passou a ser TLP:CLEAR.
- Adicionado o TLP:AMBER+STRICT para destacar informações que sejam restritas aos destinatários da própria organização.
- Definição mais clara dos limites de compartilhamento, por
exemplo, explicitando que:
- TLP:RED é para olhos e ouvidos de indivíduos - não pode ser usado para proteger uma organização
- TLP:AMBER e TLP:AMBER+STRICT são somente para "quem precisa saber" (need to know basis)
Definições e Uso do TLP
O que é TLP
- Um conjunto de marcações (labels);
- Composto de 4 cores para indicar os limites de compartilhamento;
- Otimizado para facilidade de adoção e leitura, e para trocas entre pessoas.
Pontos de Atenção
Tenha certeza que o destinatário entende o que é TLP e que pode seguir
o padrão.
O que diz o padrão:
- f. A fonte é responsável por garantir que os destinatários de uma informação marcada com TLP compreendam e possam seguir as orientações de compartilhamento.
O TLP não atende exatamente o que você precisa? Especifique ou peça
uma exceção.
O que diz o padrão:
- g. A fonte tem liberdade para especificar restrições adicionais de compartilhamento. Estas restrições devem ser respeitadas pelos destinatários.
- h. Se um destinatário necessitar compartilhar uma informação mais amplamente do que o indicado pela marcação TLP que veio na informação, ele deve obrigatoriamente (must) obter permissão explícita da fonte.
Marcações TLP, Quando Usar e Como Compartilhar
| TLP | Quando deve ser usado? | Como pode ser compartilhado? |
|---|---|---|
|
TLP:RED Somente para os olhos e ouvidos dos indivíduos destinatários, não é permitido compartilhamento nenhum. |
Fontes podem usar TLP:RED quando não é possível atuar sobre a informação sem colocar em risco significativo a privacidade, reputação ou operações das organizações envolvidas. | Destinatários não podem compartilhar informações TLP:RED com mais ninguém. No contexto de uma reunião, por exemplo, informações TLP:RED são limitadas àqueles presentes na reunião. |
|
TLP:AMBER Divulgação limitada, destinatários só podem disseminar para aqueles que necessitam saber (need-to-know basis) dentro de sua própria organização e com seus clientes. |
Fontes podem usar o TLP:AMBER quando é necessário apoio para agir de maneira efetiva sobre a informação, mas ainda assim há riscos para a privacidade, reputação ou operações das organizações envolvidas. | Destinatários podem compartilhar TLP:AMBER com membros de sua própria organização e com seus clientes, mas somente com aqueles que necessitam saber da informação (need-to-know basis) para proteger sua organização e seus clientes e evitar danos continuados. |
|
TLP:AMBER+STRICT Divulgação limitada, destinatários só podem disseminar para aqueles que necessitam saber (need-to-know basis) e somente dentro de sua própria organização. |
Fontes podem usar o TLP:AMBER+STRICT quando é necessário apoio para agir de maneira efetiva sobre a informação, mas ainda assim há riscos para a privacidade, reputação ou operações das organizações envolvidas. Se a fonte quiser restringir o compartilhamento somente para a organização ela deve especificar TLP:AMBER+STRICT. | Destinatários podem compartilhar TLP:AMBER+STRICT somente com membros de sua própria organização, e somente com aqueles que necessitam saber da informação (need-to-know basis) para proteger sua organização e evitar danos continuados. |
|
TLP:GREEN Divulgação limitada, destinatários podem divulgar dentro de sua comunidade. |
Fontes podem usar TLP:GREEN quando a informação é útil para a conscientização dentro de sua comunidade mais ampla. | Destinatários podem compartilhar informações TLP:GREEN com seus pares e organizações parceiras dentro de sua comunidade, mas não por meio de canais publicamente acessíveis. Informações TLP:GREEN não podem ser compartilhadas fora de uma comunidade. Nota: quando a "comunidade" não estiver definida, assume-se que é a comunidade de segurança/defesa cibernética. |
|
TLP:CLEAR Não há limites na divulgação. |
Fontes podem usar TLP:CLEAR quando há um risco mínimo ou não há previsão de risco de mau uso da informação, de acordo com regras e procedimentos aplicáveis para divulgação pública. | Destinatários podem disseminar para o mundo, não há limites na divulgação. Desde que respeitadas as regras padrão de direitos autorais, as informações TLP:CLEAR podem ser compartilhadas sem restrições. |
Definições de Comunidade, Organização e Clientes
Sob o TLP os termos comunidade, organização e clientes tem as seguintes definições:
Comunidade: um grupo que compartilha objetivos, práticas e relacionamentos informais de confiança. Uma comunidade pode ser tão ampla quanto todos os profissionais de segurança cibernética em um país (ou em um setor ou região).
Organização: um grupo que compartilha uma mesma afiliação através de um processo formal de filiação e que está sujeito a um conjunto de políticas em comum definidas pela organização. Uma organização pode ser tão ampla quanto todos os membros de uma organização para compartilhamento de informações, mas raramente mais ampla que isso.
Clientes: as pessoas ou entidades que recebem serviços de segurança cibernética de uma organização. Clientes são incluídos por padrão no TLP:AMBER, de modo que os destinatários possam compartilhar informações adiante, permitindo que os clientes possam tomar ações para se proteger. Para times com responsabilidade nacional esta definição inclui as partes interessadas (stakeholders) e o público-alvo (constituents).
Informações adicionais sobre TLP em Inglês
Vídeo no Youtube
- Traffic Light Protocol
2022: Updates for An Improved Sharing Experience
Tom Millar (CISA, US), Don Stikvoort (Elsinore, NL), Ted Norminton (CCCS, CA)
FIRST Conference 2022, Duration: 1:07:09