hexo
type
Post
status
Published
date
Nov 16, 2022
slug
cti-4
summary
交通灯协议(TLP) 是一种颜色代码系统,用于控制与受众的信息共享。它由英国政府的国家基础设施安全协调中心 (NISCC) 创建,并由美国计算机应急准备小组 (US-CERT)、事件响应和安全团队论坛 (FIRST) 等使用。
tags
知识点
笔记积累
category
威胁情报
icon
password
Property
Nov 26, 2022 03:56 AM

前言

交通灯协议(TLP) 是一种颜色代码系统,用于控制与受众的信息共享。它由英国政府的国家基础设施安全协调中心 (NISCC) 创建,并由美国计算机应急准备小组 (US-CERT)、事件响应和安全团队论坛 (FIRST) 等使用。
全文使用交通灯协议缩写:TLP
TLP 2.0 于 2022 年 8 月发,11月1日,CISA 将正式采用FIRST 标准定义和使用指南出版的TLP 2.0版本,TLP涉及以下概念:
实体:共享信息的分享方(人/组织/机构/公司/国家)、接收信息的接收方(人/组织/机构/公司/国家)
目的:为了促进更高效的信息共享流程,同时确保向适合的接收方共享敏感信息
方式:采用四种颜色来明确共享信息的等级、共享范围。
TLP 在易用性、可读性、机读性实现了最大范围的兼容,对,就是咱们日常说的红绿灯!
notion image

协议要点

分享方要确保 TLP 标记信息,可以被接收方准确理解并能够遵循 TLP 共享指南的要求。
【大家都理解并遵守红灯停,绿灯行的信息】
分享方可以按照信息内容指定共享限制。接收方必须遵守这些规定。
【红灯就是红色信号灯,绿色就是绿色信号灯】
如果接收方对TLP 的信息要进行信息扩张,则必须获得分享方的明确许可。
【有意见可以提,等审批】

TLP 2.0 定义

颜色
什么时候应该使用?
如何共享?
文件
当信息无法被实体有效处理时,分享方可能会使用 TLPRED。如果滥用,可能会对分享方的隐私、声誉或运营产生影响。
接收方不得与分享方之外的任何实体共享 TLP:RED 信息。
https://www.cisa.gov/sites/default/files/tlp/TLP-icon-red.png
当信息需要支持才能有效采取行动时,分享方可能会使用 TLP:AMBER。如果滥用,则会给隐私、声誉或运营带来风险。
接收方只能与自己组织的成员共享 TLP:AMBER 信息。
https://www.cisa.gov/sites/default/files/tlp/TLP-icon-amber.png
当信息对所有参与组织以及更广泛的社区或部门的同行的认识有用时,分享方可以使用 TLP:GREEN。
接收方可以与其部门或社区内的同行和合作伙伴组织共享TLP:GREEN信息,但不能通过可公开访问的渠道。这一类信息可以在特定社区内广泛传播。TLP:GREEN信息不得在社区之外发布。
https://www.cisa.gov/sites/default/files/tlp/TLP-icon-green.png
根据适用的公开发布规则和程序,当信息具有最小或没有可预见的滥用风险时,分享方可以使用TLP:WHITE。
根据标准版权规则,TLP:WHITE信息可以不受限制地分发。
https://www.cisa.gov/sites/default/files/tlp/TLP-icon-white.png

特别注意

如果分享方希望仅将共享限制
为组织
notion image
,则应该使用TLP:AMBER+STRICT,
这是在TLP 2.0中引入的。

使用规范

电子邮件:在电子邮件的主题和正文(在指定信息上方)中指明 TLP 颜色。TLP 颜色必须大写(例如,TLP:RED)。
文档:在每个页面的页眉和页脚中指明 TLP 颜色。TLP 颜色必须大写(例如 TLP:RED)和 12 磅或更大的字体。
如果要使用可见颜色,这些是官方颜色代码:

参考文献

如何客观地评估威胁情报的来源威胁情报的生命周期