摘要

• 戰略情報：提供長期威脅趨勢、新興技術和地緣政治因素的分析和預測。
• 紅綠燈協定 TLP (Traffic Light Protocol) 用於資訊共享
• PAP (Permissible Actions Protocol) 用於資訊處理與行動

TLP 紅綠燈協定

• 目前版本： 2.0
  • https://www.first.org/tlp/

簡介

紅綠燈協定（Traffic Light Protocol, TLP）旨在促進潛在敏感資訊的更廣泛共享和更有效的協作。TLP 包含四個標籤，用於指示接收者應遵守的共享界限。

TLP 標籤

這些標籤在書面形式中必須不含空格，應該使用大寫字母。
即使在其他語言中使用，TLP 標籤也必須保持原始形式。

• TLP:RED
• TLP:AMBER
• TLP:GREEN
• TLP:CLEAR

標籤適用的定義

• 社群：共享共同目標、實踐和非正式信任關係的群體
• 組織：透過正式成員資格共享共同從屬關係並受組織制定的共同政策約束的群體
• 客戶：從組織接收資安服務的個人或實體

TLP:RED

• 僅供個別接收者的眼睛和耳朵，不得進一步披露
• 用於無法有效採取行動而不會對涉及組織的隱私、聲譽或運營造成重大風險的資訊

TLP:AMBER

• 有限披露，接收者只能在其組織及其客戶內部按需要知道的基礎上傳播
• 注意：TLP:AMBER+STRICT 將共享限制在僅組織內部

TLP:GREEN

• 有限披露，接收者可以在其社群內傳播
• 不得透過公開管道共享，也不得在社群外共享

TLP:CLEAR

• 接收者可以向全世界傳播，對披露沒有限制
• 用於根據適用的公開發布規則和流程，不會造成可預見風險的資訊

TLP 的特點

• TLP 不是正式的分類方案
• 不用於處理許可條款、資訊處理或加密規則
• 優化為易於採用、可讀性和個人對個人共享
• 可用於自動化資訊交換系統

訊息中使用 TLP

• TLP 標籤必須直接在資訊之前指明
• 電子郵件中，TLP 標籤應該在標題中

在文件中使用 TLP

• 每頁的頁首和頁腳中必須指明 TLP 標籤
• 建議使用 12 點或更大的字體
• 建議將 TLP 標籤右對齊

TLP 標籤有特定顏色編碼

TLP 標籤有特定的顏色編碼，包括 RGB、CMYK 和十六進制值。

PAP (Permissible Actions Protocol)

簡介

PAP (Permissible Actions Protocol) 旨在指示如何使用接收到的資訊。PAP 定義了一組可能的行動，考慮到這些行動可能向惡意行為者揭示的資訊。

PAP 標籤

PAP 有四個不同的級別，使用與 TLP 相同的顏色代碼：

• PAP:RED
• PAP:AMBER
• PAP:GREEN
• PAP:CLEAR

這些標籤在書面形式中應該使用大寫字母。

PAP:RED

• 處理限於專門用於調查和檢測的基礎設施
• 這些基礎設施只能在需要知道的基礎上訪問
• 這些基礎設施受到保護，不受公共網路（如網路）和實體資訊系統共享基礎設施的影響
• 只允許對潛在威脅行為者不可見的行動，如在非正式環境中對先前收集的日誌進行搜索
• 不允許與第三方服務的直接或間接互動，也不允許向此類服務發出請求

PAP:AMBER

• 處理限於對資料的被動利用，即只限於惡意來源無法看到的行動
• 可以進行開源搜索或查詢在線知識庫以更好地限定資訊
• 可以在受感染的基礎設施中使用資訊來識別惡意元素
• 禁止與威脅行為者的系統或基礎設施進行互動，即使是間接的

PAP:GREEN

• 允許受控處理，允許與惡意來源進行非侵入性互動
• 可以在防火牆級別阻止來自特定 IP 地址的惡意 input 流量
• 可以在代理伺服器級別阻止到特定網址的惡意 output 流量

PAP:CLEAR

• 在遵守法律和許可的情況下自由處理，對資訊的利用或處理沒有限制

PAP 的特點

• PAP 指定了可以暴露給定資訊的程度
• 旨在定義一組可能的行動，考慮到這些行動可能向惡意行為者揭示的資訊
• 與 TLP 結合使用，可以更全面地管理敏感資訊

在實踐中使用 PAP

• PAP 標記應與 TLP 標記一起使用
• 在處理資訊時，應考慮 PAP 級別所允許的行動
• PAP 級別可能會隨著時間的推移而改變，應定期審查

PAP 與 TLP 的協同

• PAP 控制基於資訊的行動，而 TLP 控制資訊的流動
• 兩者共同確保敏感資訊的安全處理和適當使用
• PAP 和 TLP 可以根據資訊的變化而動態調整

三者的相互作用

戰略情報與 TLP

1. 分類：TLP 為戰略情報提供分類框架，確定資訊的分享範圍。
2. 分發：根據 TLP 標籤，戰略情報可以在適當的範圍內分發。
3. 協作：TLP 促進了不同組織間的戰略情報交流。

戰略情報與 PAP

1. 行動指導：PAP 根據戰略情報的性質，指導組織如何採取適當的行動。
2. 風險管理：PAP 幫助組織在利用戰略情報時評估和管理潛在風險。
3. 策略實施：PAP 將戰略情報轉化為可操作的步驟。

TLP 與 PAP 的協作

1. 資訊流控制：TLP 控制資訊的流動，而 PAP 控制基於該資訊的行動。
2. 安全性保障：兩者共同確保敏感資訊的安全處理和適當使用。
3. 靈活性：TLP 和 PAP 可以根據情報的變化而動態調整。

實際應用場景

PT 威脅情報處理

• 戰略情報：分析某 APT 組織的長期活動模式。
• TLP 應用：可能標記為 TLP:AMBER，限制在特定安全社群內分享。
• PAP 應用：可能為 PAP:AMBER，允許被動防禦措施，但不直接與威脅行為者互動。

新興技術威脅評估

• 戰略情報：評估新興技術（如 AI）在網路攻擊中的潛在應用。
• TLP 應用：可能標記為 TLP:GREEN，在更廣泛的資訊安全社群中分享。
• PAP 應用：可能為 PAP:GREEN，允許進行受控實驗以了解潛在影響。

關鍵基礎設施保護

• 戰略情報：預測針對關鍵基礎設施的未來攻擊趨勢。
• TLP 應用：可能標記為 TLP:RED，僅在極少數關鍵人員間分享。
• PAP 應用：可能為 PAP:RED，僅允許最高級別的內部調查和準備。

TLP/PAP 組合使用範例表格

挑戰與最佳實踐

1. 整合挑戰：確保 TLP 和 PAP 標籤與戰略情報的性質一致。
2. 培訓需求：對人員進行全面培訓，使其理解三者的關係和正確應用。
3. 動態調整：根據情報的演變及時調整 TLP 和 PAP 標籤。
4. 跨組織協調：在不同組織間建立共同的理解和應用標準。
5. 技術支持：開發支持 TLP 和 PAP 的自動化工具，以輔助戰略情報的處理。

結論

戰略情報、TLP 和 PAP 形成了一個相互依存的生態系統，共同為資訊安全情報的管理和利用提供了全面的框架。透過正確理解和應用這三個概念，組織可以更有效地收集、分析、分享敏感資訊，並採取適當的行動來應對網路威脅。這種綜合方法不僅提高了單個組織的安全態勢，也增強了整個資訊安全社群的韌性。

參考

• https://cert.ssi.gouv.fr/csirt/tlp-pap_faq-en/
• https://www.first.org/tlp/
• https://www.ithome.com.tw/news/152352

小試身手

1. TLP:AMBER 的正確應用是什麼？
   A) 可以公開分享資訊
   B) 只能在組織內部分享
   C) 可以在特定社群內分享
   D) 只能在組織及其客戶內部按需要知道的基礎上傳播

   答案：D
   解析：TLP:AMBER 限制資訊只能在組織及其客戶內部按需要知道的基礎上傳播，不能公開分享或在更廣泛的社群內分享。

2. 哪一個 PAP 級別允許與惡意來源進行非侵入性互動？
   A) PAP:RED
   B) PAP:AMBER
   C) PAP:GREEN
   D) PAP:CLEAR

   答案：C
   解析：PAP:GREEN 允許受控處理，允許與惡意來源進行非侵入性互動，如在防火牆級別阻止特定 IP 地址的惡意流量。

3. 在處理關鍵基礎設施保護的戰略情報時，最適合的 TLP 和 PAP 組合是？
   A) TLP:GREEN / PAP:GREEN
   B) TLP:AMBER / PAP:AMBER
   C) TLP:RED / PAP:RED
   D) TLP:CLEAR / PAP:CLEAR

   答案：C
   解析：對於關鍵基礎設施保護的高度敏感情報，TLP:RED（僅在極少數關鍵人員間分享）和 PAP:RED（僅允許最高級別的內部調查和準備）是最適合的組合。

4. TLP 和 PAP 的主要區別是什麼？
   A) TLP 用於資訊分類，PAP 用於資訊加密
   B) TLP 控制資訊流動，PAP 控制基於資訊的行動
   C) TLP 用於內部通訊，PAP 用於外部通訊
   D) TLP 適用於技術資訊，PAP 適用於非技術資訊

   答案：B
   解析：TLP 控制資訊的流動和分享範圍，而 PAP 控制基於該資訊可以採取的行動。

5. 哪種情況下可以使用 TLP:CLEAR / PAP:CLEAR 組合？
   A) 處理高度機密的政府資訊時
   B) 分享關鍵基礎設施漏洞資訊時
   C) 發布公開的資安威脅報告時
   D) 在封閉的安全社群內分享資訊時

   答案：C
   解析：TLP:CLEAR / PAP:CLEAR 組合適用於可以公開分享且沒有使用限制的資訊，如公開發布的資安威脅報告。

藍隊看完文章後的下一步清單

1. 審查現有的資訊分類和處理政策，確保與 TLP 和 PAP 框架一致。
2. 制定或更新組織的 TLP 和 PAP 使用指南，包括具體的應用場景和最佳實踐。
3. 對藍隊成員進行 TLP 和 PAP 的培訓，確保他們理解並正確應用這些協定。
4. 評估現有的資訊共享管道和工具，確保它們支持 TLP 和 PAP 標記。
5. 建立一個資訊分類和處理的審核機制，定期檢查 TLP 和 PAP 標記的適當性。
6. 與其他組織或安全社群建立或強化資訊共享，確保遵循 TLP 和 PAP 規範。
7. 開發或更新自動化工具，以支持 TLP 和 PAP 標記的應用和遵守。
8. 制定針對不同 TLP 和 PAP 組合的具體處理流程和安全措施。
9. 建立一個機制，用於處理 TLP 和 PAP 標記可能隨時間變化的情況。
10. 定期進行模擬演練，測試團隊在不同 TLP 和 PAP 情境下的反應和處理能力。