Público, sin limitaciones
Permite difusión abierta de la información.
Un CERT publica en su web recomendaciones de seguridad para todos los ciudadanos.
El Traffic Light Protocol (TLP) es un estándar internacional definido por FIRST.org para clasificar la sensibilidad de la información y definir cómo se puede compartir.
Su objetivo es facilitar el intercambio de información sensible (por ejemplo, sobre ciberamenazas) de forma controlada y comprensible para todos los destinatarios.
En principio y salvo que se indique lo contrario toda la información publicada en el servidor web de RedIRIS es , al final de esta página esta indicado qué otros TLP se aplican por defecto a otras informaciones de RedIRIS.
Principio básico
El TLP usa colores (como un semáforo) para indicar el alcance de distribución permitido: cuanto más claro sea el color, más amplia es la posibilidad de compartir.
Define expectativas comunes para proteger la información sensible.
Niveles oficiales de TLP (versión 2.0)
Comunidad sectorial
Se comparte dentro del sector o comunidad de confianza, sin hacerlo público.
Compartir un aviso de ciberamenaza con todos los bancos del país para que se preparen, sin publicarlo abiertamente.
Organización + clientes/partners
La información puede compartirse dentro de la organización y con terceros de confianza que necesiten saberlo.
Un CERT nacional comparte indicadores de compromiso (IoCs) con un banco, que puede alertar a sus clientes afectados.
Solo dentro de la organización
La información debe compartirse exclusivamente dentro de la organización receptora. No se permite divulgarla a partners, afiliados ni clientes.
Un CERT nacional alerta a un banco de un ataque inminente, pero no se permite compartir la información con clientes externos.
Solo para la persona que recibe la información
La información es extremadamente sensible y no debe compartirse ni siquiera dentro de la organización.
Un investigador comparte detalles extremadamente sensibles de una brecha con un contacto de confianza y no desea que se comparta con nadie más.
Uso en RedIRIS
En RedIRIS por lo general toda la información publica sin restricciones de acceso es .
La información que se accede de forma autenticada como las estadísticas y configuración de servicios, listas de coordinación de servicios, etc. se consideran que tienen por defecto, aunque en algunas otras pueden tener un TLP más restrictivo.
La información que se comparte con las institiciones por un problema de seguridad en el servicio IRISCERT, la activación de los sistemas de mitigación, se consideran por defecto . Son pocos casos en los que la información será , puede haber casos en los que se solicite información a una institición pero se indique que no se contacte con el usuario final.
Finalmente, no contemplamos utilizar salvo que se detecten, por ejemplo, problemas de seguridad que impliquen únicamente a un usuario de una organización, cuya información sensible no pueda ser mostrada a la propia organización.
Ejemplo Práctico
Escenario: RedIRIS es informada o detecta un detecta un ataque dirigido contra institiciones de RedIRIS, vulnerabilidad critica que puede afectar a varias institiciones, etc.
- RED: Alerta solo a un contacto específico y de forma individual.
- AMBER: Alerta a una institución, que puede avisar a sus usuarios afectados.
- AMBER+STRICT: Alerta a una institución, que solo puede compartirlo con su equipo interno, pero no avisar a sus usuarios individuales.
- GREEN: Alerta a todos las institiciones para prepararse, sin hacerlo público.
- CLEAR: Publica la alerta en su web para todos los usuarios
Referencia Oficial
Para más información, consulta la especificación oficial en https://www.first.org/tlp