Traffic Light Protocol

Traffic Light Protocol: condividere l’intelligence senza perderne il controllo

Il Traffic Light Protocol è il sistema di etichette che, nella condivisione di informazioni sulle minacce, dice a chi riceve un dato fin dove può ridiffonderlo. Quattro colori, una regola semplice: ogni informazione viaggia con un’etichetta che ne stabilisce il raggio di diffusione, da “solo per te” a “liberamente pubblicabile”. Risolve un problema che precede qualsiasi tecnologia di scambio, perché condividere intelligence richiede fiducia, e senza una convenzione condivisa su cosa il destinatario possa farne le organizzazioni oscillano tra due errori opposti: diffondere troppo, esponendo fonti e operazioni, oppure trattenere tutto, rinunciando ai benefici della condivisione.

Il protocollo non nasce nel mondo della cyber threat intelligence in senso stretto. Secondo il FIRST fu istituito nel 1999 dall’agenzia britannica NISCC per favorire lo scambio di informazioni sensibili tra chi proteggeva le infrastrutture critiche, e si è poi diffuso ben oltre quel perimetro. Lo stesso FIRST, la principale comunità internazionale dei team di risposta agli incidenti, ne ha assunto l’unificazione e la standardizzazione internazionale nel 2015 e oggi ne cura la versione 2.0, autorevole dall’agosto 2022. È diventato la lingua comune con cui CSIRT, comunità settoriali e agenzie governative si scambiano informazioni senza doverne rinegoziare ogni volta le regole di riservatezza.

Le quattro etichette del Traffic Light Protocol

Secondo le definizioni del FIRST, il protocollo prevede quattro etichette, a cui si aggiunge una variante più restrittiva. TLP:RED è il livello massimo di riservatezza: l’informazione è destinata ai soli destinatari individuali a cui è comunicata e non può essere ridiffusa a nessun altro. TLP:AMBER consente una diffusione limitata, all’interno della propria organizzazione e dei propri clienti, ma solo in base al criterio della necessità di conoscere; la sua variante TLP:AMBER+STRICT restringe ulteriormente la condivisione alla sola organizzazione, escludendo i clienti. TLP:GREEN allarga il cerchio alla propria comunità di pari e partner, ma vieta la pubblicazione su canali aperti. TLP:CLEAR, infine, non pone limiti: l’informazione può essere diffusa liberamente, nel rispetto delle normali regole sul diritto d’autore.

La forza dello schema sta nella sua semplicità. Pochi livelli, un colore, nessun manuale da consultare: chi riceve un’informazione marcata sa immediatamente cosa può farne.

Un esempio rende concreta la logica. Un centro di condivisione settoriale individua un nuovo indirizzo di comando e controllo usato in una campagna in corso e lo distribuisce ai propri membri marcandolo come TLP:AMBER. Ogni azienda che lo riceve può inserirlo nei propri strumenti di difesa e avvisare i clienti direttamente esposti, ma non può pubblicarlo né girarlo a soggetti esterni alla propria organizzazione. Se la stessa informazione fosse marcata TLP:GREEN, le aziende potrebbero condividerla con i partner della loro comunità; se fosse TLP:RED, dovrebbe restare nelle mani dei soli destinatari della comunicazione originaria. La stessa informazione, lo stesso valore difensivo, ma un confine di diffusione diverso deciso da chi la mette in circolo.

Una convenzione, non un controllo tecnico

Il punto che spesso si fraintende è che il Traffic Light Protocol non è un meccanismo di sicurezza tecnica. Non cifra nulla, non impedisce materialmente la ridiffusione, non è un sistema di gestione dei diritti digitali. È una convenzione fondata sulla fiducia: l’etichetta accompagna l’informazione e vincola chi la riceve, ma la sua efficacia dipende dal rispetto reciproco, non da un controllo automatico. Chi tradisce un’etichetta TLP non viola un sistema, viola un patto, e la sanzione è reputazionale: l’esclusione dai circuiti di condivisione che rendono utile far parte di una comunità di intelligence.

Questa natura spiega anche cosa il protocollo non fa. Non stabilisce come l’informazione vada conservata o protetta, né con quali misure tecniche, ma regola soltanto la sua ridistribuzione. Decidere fin dove un’informazione può spingersi spetta sempre alla fonte che la produce, non a chi la riceve, ed è la fonte ad apporre l’etichetta al momento della condivisione.

Proprio perché la scelta dell’etichetta spetta alla fonte, il rischio più diffuso non è la diffusione eccessiva ma il suo opposto: la tentazione di sovra-classificare. Marcare tutto come TLP:RED per eccesso di prudenza svuota di senso il protocollo, perché trasforma ogni scambio in un vicolo cieco e impedisce all’informazione di raggiungere chi potrebbe usarla per difendersi. Una buona pratica di condivisione richiede di assegnare l’etichetta più aperta che il rischio consente, non la più chiusa che l’ansia suggerisce. È un equilibrio di giudizio, e il Traffic Light Protocol fornisce il vocabolario per esprimerlo, non la regola per deciderlo al posto della fonte.

Che cosa è cambiato con la versione 2.0

La revisione del 2022 ha introdotto due cambiamenti sostanziali rispetto alla versione precedente. Il primo è la sostituzione dell’etichetta TLP:WHITE con TLP:CLEAR, una scelta lessicale pensata per rendere più immediato il significato di “nessuna restrizione” ed evitare ambiguità. Il secondo è l’aggiunta di TLP:AMBER+STRICT, che colma una zona grigia della versione precedente distinguendo i casi in cui la condivisione può estendersi ai clienti da quelli in cui deve restare confinata alla sola organizzazione. Insieme a una serie di affinamenti del linguaggio, questi ritocchi hanno reso il protocollo più preciso senza appesantirne l’uso.

Il TLP nel flusso della threat intelligence

Collocato nel processo di condivisione, il Traffic Light Protocol è ciò che rende praticabile la disseminazione di informazioni sensibili. Si integra con gli standard tecnici di scambio, che prevedono campi appositi per trasportare l’etichetta insieme al dato, così che la marcatura sopravviva al passaggio da uno strumento all’altro; lo stesso FIRST precisa però che l’uso del TLP negli scambi automatizzati non è definito dallo standard ed è lasciato a chi progetta quei sistemi. È particolarmente prezioso negli ecosistemi in cui molte organizzazioni dipendono le une dalle altre, come una supply chain estesa, dove un’informazione su una minaccia deve raggiungere rapidamente più soggetti senza però finire in mani sbagliate. Non a caso agenzie come la CISA lo hanno adottato come modalità ordinaria per classificare ciò che pubblicano e ciò che condividono in modo riservato: la CISA è passata ufficialmente al TLP 2.0 il 1° novembre 2022.

Va aggiunta una precisazione, per evitare un equivoco frequente: il Traffic Light Protocol non è un sistema di classificazione di sicurezza nel senso giuridico del termine. Non sostituisce le categorie di riservatezza previste da normative o contratti, né conferisce alcuno status legale all’informazione. Opera su un piano diverso e complementare, quello della prassi operativa tra chi condivide, e proprio per questo funziona attraverso i confini organizzativi e nazionali, dove categorie giuridiche differenti renderebbero altrimenti difficile capirsi. È un linguaggio comune sovrapposto, non un’alternativa, alle regole formali di ciascuna organizzazione.

Il Traffic Light Protocol non aggiunge sicurezza a un’informazione, aggiunge chiarezza su come trattarla, ed è proprio questa chiarezza a sbloccare la condivisione. In un settore in cui il valore dell’intelligence dipende dalla velocità con cui circola e dalla fiducia di chi la mette in comune, una convenzione semplice e universalmente compresa vale più di qualunque controllo sofisticato. Adottare il TLP significa accettare un patto: condividere di più, perché si sa esattamente fin dove ciò che si condivide potrà arrivare.

Fonti

Condividi sui Social Network:

Ultimi Articoli