核心概念

TLP(Traffic Light Protocol,交通燈協議)是一套標準化的資訊共享分級框架,由 FIRST(Forum of Incident Response and Security Teams)制定,現行版本為 TLP 2.0(2022 年發布)。其目的是讓資安情資(threat intelligence)在組織間流通時,資訊接收方能明確知道「這份情資可以分享到哪個範圍」,避免敏感情資外洩或被誤用。

核心邏輯是用顏色標記代表擴散範圍,從最嚴格到最開放共四個等級。TLP 不是加密機制,而是一種社會契約:接收方承諾遵守分享範圍,而非技術層面的強制限制。

四個等級定義

TLP:RED(紅) 最高限制等級。資訊僅限於當次會議或交流的直接參與者,不得以任何形式轉發。典型場景:資安事件即時應變通話、高度機密的 0-day 漏洞交換。接收方不得複製、傳遞或引用,即使在組織內部也不行。

TLP:AMBER(琥珀) 限組織內部有需要知道的人(need-to-know)。接收方可以在自己組織內部分享,但不得對外。TLP 2.0 新增了 TLP:AMBER+STRICT,進一步限制只能分享給直接參與的個人,不擴展至整個組織。典型場景:供應商通知合作客戶存在的資安風險。

TLP:GREEN(綠) 可分享至特定社群,例如同業 ISAC 成員或特定資安組織網絡,但不得公開於網路或媒體。接收方可在所屬社群或組織內自由流通。典型場景:ISAC 成員間的惡意 IP 清單交換。

TLP:CLEAR(白,原 TLP:WHITE) 無限制流通,可公開發布。這是 TLP 2.0 將原本的 WHITE 改名為 CLEAR,強調「沒有任何限制」的語意。典型場景:公開資安公告、CVE 說明、研究報告。

在政府資安情資共享中的適用

台灣的 TWCERT/CC、政府資安應變中心(G-CERT)以及各部會的資安長辦公室,均參照 TLP 框架進行情資分享。常見應用場景:

  1. 跨部會情資通報:TWCERT/CC 向各部會 CERT 發送 APT 攻擊指標(IoC)時,若情資來自國際夥伴,標記 TLP:AMBER,限部會內部處理,不得對外揭露攻擊者身份。
  2. ISAC 成員通報:金融業 F-ISAC、電信業 T-ISAC 等垂直 ISAC 在成員間交換惡意指標(惡意 IP、C2 domain)時,使用 TLP:GREEN 表示僅限 ISAC 成員知悉。
  3. 公開資安公告:官方資安預警(如 CVE 修補通知)標記 TLP:CLEAR,鼓勵廣泛傳播。
  4. 即時事件應變:發生重大資安事故時,與特定國際夥伴(如 US-CERT、JPCERT)交換攻擊鏈細節,使用 TLP:RED 防止資訊外洩影響溯源調查。

TLP 的核心價值在於它是接收方驅動的分享決策:情資發送方透過標記傳遞意圖,接收方負責遵守,這讓情報能在互信基礎上快速流通,而非事事需要簽保密協議。

關鍵要點

  • TLP 2.0 四級:RED(最嚴)> AMBER / AMBER+STRICT > GREEN > CLEAR(無限制)
  • 社會契約而非技術限制:TLP 依賴社群信任,不提供加密或存取控制
  • FIRST 是維護機構:TLP 由 FIRST 組織管理,各國 CERT 普遍採用,是事實上的國際標準
  • AMBER+STRICT 是 2.0 新增:解決 AMBER 對「組織」定義模糊的問題,強化個人層級控制
  • 與 STIX/TAXII 整合:TLP 可作為 STIX data marking,TAXII channel 可依 TLP 等級控制訂閱權限

實務應用

與 STIX/TAXII 的整合方式

STIX(Structured Threat Information eXpression) 是描述網路威脅情資的標準化語言,用 JSON 格式定義攻擊者、攻擊模式、IoC 等物件。TAXII(Trusted Automated eXchange of Indicator Information) 是 STIX 情資的傳輸協議,定義 API 端點讓組織訂閱情資 feed。

TLP 在這套體系中的位置是 Data Marking Definition

{
  "type": "marking-definition",
  "id": "marking-definition--e828b379-4e03-4974-9ac4-c5e47...",
  "created": "2017-01-20T00:00:00.000Z",
  "definition_type": "tlp",
  "definition": {
    "tlp": "green"
  }
}

每個 STIX 物件(如 Indicator、Malware)的 object_marking_refs 欄位可引用對應的 TLP marking-definition,接收方系統讀取後自動套用分享限制。

TAXII 伺服器可設定 Collection 存取控制

  • TLP:CLEAR collection → 任何人可訂閱
  • TLP:GREEN collection → 需先驗證 ISAC 成員身份
  • TLP:AMBER collection → 需特定組織憑證
  • TLP:RED collection → 點對點直接傳輸,不走公開 TAXII server

實務上,MISP(Malware Information Sharing Platform)等開源情資平台原生支援 TLP 標記,並可輸出符合 STIX 格式的情資,搭配 TAXII 伺服器形成自動化情資共享管道。

相關主題:協調漏洞揭露(CVD)機制

延伸觀點

來源:FIRST TLP 2.0 規範、OASIS TAXII 2.1 文件

TLP 2.0 於 2022 年已成為國際事實標準,CISA(美國網路安全暨基礎設施安全局)於 2022 年 11 月 1 日正式宣布採用 TLP 2.0,同步廢除 TLP 1.0。各國 CERT 與 CSIRT 組織快速跟進,形成全球一致的情資標記語言。這代表舊版的 TLP:WHITE 標記在現行系統中已屬過時,應換為 TLP:CLEAR。

STIX 與 TAXII 在技術上彼此獨立但互補。TAXII 2.1 規範強制要求伺服器支援 STIX 2.1 格式內容,但 TAXII 本身設計上不依賴 STIX——任何結構化的情資格式理論上都可透過 TAXII 傳輸。在自動化情資共享生態中,STIX 2.1 + TAXII 2.1 的組合是當前最主流的選擇,MISP 等平台也已原生支援輸出 STIX 格式並整合 TAXII 伺服器。(來源:OASIS TAXII 2.1 規範)

TLP 與 IEP(Information Exchange Policy)的關係:FIRST 的 TLP 聚焦在「分享範圍」,而 IEP 則提供更細緻的「使用條件」(例如可否用於偵測規則、可否作為法庭證據)。兩者可並用,TLP 負責邊界控制,IEP 負責用途控制,適合有更複雜合規需求的政府或金融機構。(來源:first.org)

反向連結

以下頁面引用了本頁: