TLP
Что такое TLP?
TLPTLP — простая схема маркировки, поддерживаемая FIRST, которая указывает, насколько чувствительна разделяемая киберинформация и кому её можно перераспределять.
Traffic Light Protocol (TLP) — нетехническая четырёхцветная система маркировки, стандартизованная FIRST и используемая CSIRT, ISAC и государственными органами по всему миру. Текущая версия TLP 2.0 определяет уровни CLEAR (ранее WHITE — без ограничений), GREEN (внутри сообщества), AMBER (для организации получателя и её клиентов по принципу need-to-know), AMBER+STRICT (только внутри организации получателя) и RED (только поимённо названным получателям, без дальнейшего распространения). TLP не обеспечивает технического контроля доступа; он лишь задаёт общие ожидания, чтобы аналитики могли обмениваться чувствительной информацией без двусмысленностей. Метки встречаются в заголовках документов, маркировках STIX и настройках распространения в MISP.
● Примеры
- 01
Уведомление CERT с меткой TLP:AMBER+STRICT не должно покидать организацию-получателя.
- 02
Событие MISP с меткой TLP:GREEN можно распространять внутри отраслевого сообщества.
● Частые вопросы
Что такое TLP?
TLP — простая схема маркировки, поддерживаемая FIRST, которая указывает, насколько чувствительна разделяемая киберинформация и кому её можно перераспределять. Относится к категории Защита и операции в кибербезопасности.
Что означает TLP?
TLP — простая схема маркировки, поддерживаемая FIRST, которая указывает, насколько чувствительна разделяемая киберинформация и кому её можно перераспределять.
Как работает TLP?
Traffic Light Protocol (TLP) — нетехническая четырёхцветная система маркировки, стандартизованная FIRST и используемая CSIRT, ISAC и государственными органами по всему миру. Текущая версия TLP 2.0 определяет уровни CLEAR (ранее WHITE — без ограничений), GREEN (внутри сообщества), AMBER (для организации получателя и её клиентов по принципу need-to-know), AMBER+STRICT (только внутри организации получателя) и RED (только поимённо названным получателям, без дальнейшего распространения). TLP не обеспечивает технического контроля доступа; он лишь задаёт общие ожидания, чтобы аналитики могли обмениваться чувствительной информацией без двусмысленностей. Метки встречаются в заголовках документов, маркировках STIX и настройках распространения в MISP.
Как защититься от TLP?
Защита от TLP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия TLP?
Распространённые альтернативные названия: Протокол светофора, TLP 2.0.
● Связанные термины
- defense-ops№ 1105
STIX
STIX — открытый стандарт OASIS, задающий структурированный, машиночитаемый язык для представления и обмена киберразведкой между организациями и инструментами.
- defense-ops№ 684
MISP
MISP — открытая платформа киберразведки для сбора, хранения, корреляции и обмена структурированными индикаторами и аналитическим контекстом в доверенных сообществах.
- defense-ops№ 1133
TAXII Protocol
TAXII — прикладной протокол OASIS поверх HTTPS для публикации, обнаружения и получения киберразведывательных данных (как правило, контента STIX) между организациями.
- defense-ops№ 771
OTX
OTX — открытая платформа обмена киберразведкой, изначально AlienVault, теперь LevelBlue OTX, где исследователи публикуют индикаторы, объединённые в Pulse.
- defense-ops№ 1148
Threat Intelligence
Основанные на доказательствах знания об угрозах и злоумышленниках — индикаторах, TTP и контексте — используемые для принятия решений по безопасности и настройки детектирования.
- forensics-ir№ 524
Реагирование на инциденты
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.