TLP
Was ist TLP?
TLPTLP ist ein einfaches Kennzeichnungsschema von FIRST, das angibt, wie sensibel geteilte Cyberinformationen sind und wer sie weitergeben darf.
Das Traffic Light Protocol (TLP) ist ein nicht-technisches, vierfarbiges Markierungssystem, das von FIRST standardisiert und weltweit von CSIRTs, ISACs und Regierungen genutzt wird. Die aktuellen Stufen von TLP 2.0 sind CLEAR (vormals WHITE — keine Einschraenkung), GREEN (Community), AMBER (auf die Organisation des Empfaengers und deren Kunden nach Need-to-know beschraenkt), AMBER+STRICT (nur innerhalb der Empfaengerorganisation) und RED (nur namentlich genannte Empfaenger, keine Weitergabe). TLP setzt keine technischen Zugriffskontrollen durch, sondern schafft gemeinsame Erwartungen, damit Analysten sensible Informationen eindeutig austauschen koennen. Labels erscheinen in Dokument-Headern, STIX-Markings und MISP-Distribution-Settings.
● Beispiele
- 01
Eine CERT-Meldung mit TLP:AMBER+STRICT darf die empfangende Organisation nicht verlassen.
- 02
Ein MISP-Event mit TLP:GREEN darf innerhalb einer Sektor-Community zirkulieren.
● Häufige Fragen
Was ist TLP?
TLP ist ein einfaches Kennzeichnungsschema von FIRST, das angibt, wie sensibel geteilte Cyberinformationen sind und wer sie weitergeben darf. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet TLP?
TLP ist ein einfaches Kennzeichnungsschema von FIRST, das angibt, wie sensibel geteilte Cyberinformationen sind und wer sie weitergeben darf.
Wie funktioniert TLP?
Das Traffic Light Protocol (TLP) ist ein nicht-technisches, vierfarbiges Markierungssystem, das von FIRST standardisiert und weltweit von CSIRTs, ISACs und Regierungen genutzt wird. Die aktuellen Stufen von TLP 2.0 sind CLEAR (vormals WHITE — keine Einschraenkung), GREEN (Community), AMBER (auf die Organisation des Empfaengers und deren Kunden nach Need-to-know beschraenkt), AMBER+STRICT (nur innerhalb der Empfaengerorganisation) und RED (nur namentlich genannte Empfaenger, keine Weitergabe). TLP setzt keine technischen Zugriffskontrollen durch, sondern schafft gemeinsame Erwartungen, damit Analysten sensible Informationen eindeutig austauschen koennen. Labels erscheinen in Dokument-Headern, STIX-Markings und MISP-Distribution-Settings.
Wie schützt man sich gegen TLP?
Schutzmaßnahmen gegen TLP kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für TLP?
Übliche alternative Bezeichnungen: Traffic Light Protocol, TLP 2.0.
● Verwandte Begriffe
- defense-ops№ 1105
STIX
STIX ist ein OASIS-Standard, der eine strukturierte, maschinenlesbare Sprache zum Darstellen und Austauschen von Cyber Threat Intelligence zwischen Organisationen und Tools definiert.
- defense-ops№ 684
MISP
MISP ist eine Open-Source-Threat-Intelligence-Plattform zum Sammeln, Speichern, Korrelieren und Teilen strukturierter Indikatoren und Analystenkontext innerhalb vertrauenswuerdiger Communities.
- defense-ops№ 1133
TAXII Protocol
TAXII ist ein OASIS-Anwendungsprotokoll uber HTTPS zum Veroffentlichen, Entdecken und Konsumieren von Cyber Threat Intelligence – typischerweise STIX-Inhalten – zwischen Organisationen.
- defense-ops№ 771
OTX
OTX ist eine offene, community-getriebene Threat-Intelligence-Plattform – urspruenglich AlienVault, heute LevelBlue OTX – auf der Forschende Indikatoren in Form von Pulses veroeffentlichen.
- defense-ops№ 1148
Threat Intelligence
Evidenzbasiertes Wissen über Bedrohungen und Akteure — inklusive Indikatoren, TTPs und Kontext — zur Steuerung von Sicherheitsentscheidungen und Detection.
- forensics-ir№ 524
Incident Response
Strukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung.