تخطي إلى المحتوى
جرب الأمان السحابي من RSA مجانًا

ابدأ الإصدار التجريبي الخاص بك لID Plus الآن.

ابدأ الآن

مقدمة

تسعى RSA جاهدة لمساعدة عملائنا على تقليل المخاطر المرتبطة بالثغرات الأمنية في منتجاتنا. هدفنا هو تزويد العملاء بالمعلومات والإرشادات وخيارات التخفيف من المخاطر في الوقت المناسب لمعالجة الثغرات الأمنية. إن فريق الاستجابة لحوادث أمن المنتجات التابع لشركة RSA (RSA PSIRT) هو فريق معتمد ومسؤول عن تنسيق الاستجابة والإفصاح عن جميع الثغرات الأمنية في المنتجات التي يتم الإبلاغ عنها إلى RSA.

كيفية الإبلاغ عن ثغرة أمنية

إذا حددت ثغرة أمنية في أي منتج من منتجات RSA، يرجى إبلاغنا بها على الفور. يجب على الباحثين في مجال الأمن ومجموعات الصناعة والبائعين والمستخدمين الآخرين الذين ليس لديهم إمكانية الوصول إلى الدعم الفني إرسال تقارير الثغرات الأمنية مباشرة إلى RSA PSIRT عبر البريد الإلكتروني. يعد تحديد الثغرات الأمنية في الوقت المناسب أمرًا بالغ الأهمية لتخفيف المخاطر المحتملة على عملائنا.

يجب على عملاء وشركاء منتجات RSA الاتصال بفريق الدعم الفني الخاص بهم للإبلاغ عن أي مشاكل أمنية تم اكتشافها في منتجات RSA. سيعمل فريق الدعم الفني وفريق المنتج المناسب وفريق الدعم الفني المختص وفريق الاستجابة لحالات الطوارئ الأمنية في RSA معًا لمعالجة المشكلة المبلغ عنها وتزويد العملاء بالخطوات التالية.

عند الإبلاغ عن ثغرة أمنية محتملة، يُرجى تضمين أكبر قدر ممكن من المعلومات الواردة أدناه لمساعدتنا على فهم طبيعة ونطاق المشكلة المُبلغ عنها بشكل أفضل:

  • اسم المنتج والإصدار الذي يحتوي على الثغرة الأمنية
  • معلومات البيئة أو النظام الذي تم في إطاره إعادة إنتاج المشكلة (مثل رقم طراز المنتج، وإصدار نظام التشغيل، وما إلى ذلك).
  • نوع و/أو فئة الثغرة الأمنية (XSS، تجاوز سعة المخزن المؤقت، RCE، CWE, إلخ.)
  • تعليمات خطوة بخطوة لإعادة إنتاج الثغرة الأمنية
  • رمز إثبات المفهوم أو رمز الاستغلال
  • التأثير المحتمل للضعف

التعامل مع تقارير الثغرات الأمنية

تؤمن RSA بالحفاظ على علاقة جيدة مع الباحثين في مجال الأمن، وبموافقتهم، قد نقدر الباحث لاكتشافه ثغرة أمنية صالحة في المنتج والإبلاغ عن المشكلة بشكل خاص. وفي المقابل، نطلب من الباحثين منحنا فرصة لمعالجة الثغرة الأمنية قبل الكشف عنها علناً. تؤمن RSA بأن تنسيق الكشف العلني عن الثغرة الأمنية هو أمر أساسي لحماية عملائنا.

ووفقًا لهذه السياسة، فإن جميع المعلومات التي يتم الكشف عنها حول الثغرات الأمنية يجب أن تبقى بين RSA والطرف المُبلِّغ - إذا لم تكن المعلومات معروفة للعامة بالفعل - حتى يتوفر علاج لها ويتم تنسيق أنشطة الكشف عنها.

معالجة الثغرات الأمنية

بعد التحقيق في الثغرة المبلغ عنها والتحقق من صحتها، سنحاول تطوير وتأهيل العلاج المناسب للمنتجات الخاضعة للدعم النشط من RSA. قد يأخذ العلاج واحدًا أو أكثر من الأشكال التالية:

  • إصدار جديد من المنتج المتأثر المعبأ بواسطة RSA;
  • تصحيح مقدم من RSA يمكن تثبيته فوق المنتج المتأثر;
  • إرشادات لتنزيل وتثبيت تحديث أو تصحيح من مورد خارجي مطلوب للتخفيف من الثغرة الأمنية;
  • إجراء تصحيحي أو حل بديل منشور من قبل RSA يرشد المستخدمين إلى تعديل تكوين المنتج للتخفيف من الثغرة الأمنية.

تبذل RSA كل جهد ممكن لتوفير العلاج أو الإجراء التصحيحي في أقصر وقت معقول تجاريًا. تعتمد الجداول الزمنية للاستجابة على العديد من العوامل، مثل الخطورة والتأثير وتعقيد العلاج والمكون المتأثر (على سبيل المثال، تتطلب بعض التحديثات دورات تحقق أطول أو لا يمكن تحديثها إلا في إصدار رئيسي)، ومرحلة المنتج ضمن دورة حياته، وحالة العمليات التجارية، من بين عوامل أخرى.

تقييمات التأثير والشدة

تستخدم RSA حاليًا نظام تسجيل نقاط الضعف المشتركة الإصدار 3.1 (CVSS v3.1) إطار عمل مفتوح للإبلاغ عن خصائص الثغرات البرمجية في برمجيات RSA ومدى خطورتها. يتم أخذ العديد من العوامل في الاعتبار، بما في ذلك مستوى الجهد المطلوب لاستغلال الثغرة الأمنية بالإضافة إلى التأثير المحتمل على البيانات أو الأنشطة التجارية من الاستغلال الناجح.

إن التأثير الكلي للاستشارة الأمنية هو تمثيل نصي للخطورة (أي حرجة وعالية ومتوسطة ومنخفضة) يتبع مقياس التصنيف النوعي للخطورة CVSS لأعلى درجة أساسية من CVSS لجميع الثغرات الأمنية المحددة. عندما وحيثما أمكن، ستقدم RSA تأثيرًا إجماليًا للاستشارة ولكل ثغرة تم تحديدها الدرجة الأساسية CVSS v3.1 وناقل CVSS v3.1 المقابل. توصي RSA بأن يأخذ جميع العملاء في الاعتبار كلاً من الدرجة الأساسية وأي مقاييس زمنية و/أو بيئية قد تكون ذات صلة ببيئتهم لتقييم المخاطر الإجمالية.

علاج الاتصالات

وعادةً ما نقوم بإبلاغ العملاء بالعلاجات من خلال إرشادات RSA الأمنية، حيثما أمكن. ولحماية عملائنا، تسعى شركة RSA جاهدة لإصدار إرشادات أمنية بمجرد أن يكون لدينا علاج لأي منتج (منتجات) متأثرة. قد تقوم RSA بإصدار إشعارات أمنية في وقت أقرب للاستجابة بشكل مناسب للإفصاحات العامة أو نقاط الضعف المعروفة على نطاق واسع في المكونات المستخدمة في منتجاتنا.

تهدف الإرشادات الأمنية إلى تقديم تفاصيل كافية للسماح للعملاء بتقييم تأثير الثغرات الأمنية ومعالجة المنتجات التي يحتمل أن تكون عرضة للاختراق. قد تكون التفاصيل الكاملة محدودة لتقليل احتمالية استفادة المستخدمين الضارين من المعلومات واستغلالها على حساب عملائنا.

عادةً ما تتضمن الإرشادات الأمنية الخاصة بـ RSA المعلومات التالية، حسب الاقتضاء:

  • التأثير الكلي، وهو عبارة عن تمثيل نصي للخطورة (أي حرجة وعالية ومتوسطة ومنخفضة) يتبع مقياس التصنيف النوعي للخطورة CVSS لأعلى درجة أساسية من CVSS لجميع الثغرات الأمنية المحددة;
  • المنتجات والإصدارات المتأثرة;
  • النتيجة الأساسية وناقل CVSS لجميع نقاط الضعف التي تم تحديدها;
  • تعداد نقاط الضعف الشائعة معرّف (CVE) لجميع الثغرات الأمنية التي تم تحديدها بحيث يمكن مشاركة المعلومات الخاصة بكل ثغرة أمنية فريدة من نوعها عبر مختلف إمكانيات إدارة الثغرات الأمنية (مثل أدوات مثل ماسحات الثغرات الأمنية والمستودعات والخدمات);
  • وصف موجز للثغرة الأمنية والأثر المحتمل في حال استغلالها;
  • تفاصيل الإصلاح مع معلومات التحديث/الحل البديل;
  • شكرًا للباحث على الإبلاغ عن الثغرة والعمل مع RSA على إصدار منسق، حسب الاقتضاء.

معلومات الإفصاح الإضافية

تتمثل سياسة RSA في عدم تقديم معلومات حول تفاصيل الثغرات الأمنية بخلاف ما هو مذكور في الاستشارات الأمنية والوثائق ذات الصلة، مثل ملاحظات الإصدار ومقالات قاعدة المعارف والأسئلة الشائعة وغيرها. نحن لا نقوم بتوزيع رمز استغلال/إثبات المفهوم للثغرات الأمنية التي تم تحديدها. وفقًا لممارسات الصناعة، لا تشارك RSA نتائج اختباراتها الأمنية الداخلية أو أنواع أخرى من الأنشطة الأمنية مع كيانات خارجية.

إخطار RSA بمشكلات أمنية أخرى

إذا كنت بحاجة إلى إبلاغ RSA عن أي مشكلة أمنية أخرى، يرجى استخدام جهات الاتصال المناسبة المدرجة أدناه:

مشكلة أمنية معلومات الاتصال
للإبلاغ عن وجود ثغرة أمنية أو مشكلة في RSA.com أو أي خدمة أو تطبيق ويب أو خاصية أخرى عبر الإنترنت تقديم تقرير على responsibledisclosure@rsa.com مع إرشادات خطوة بخطوة لإعادة إنتاج المشكلة.
لتقديم الطلبات أو الأسئلة المتعلقة بالخصوصية انظر خصوصية RSA الصفحة.

 

استحقاقات العملاء: الضمانات والدعم والصيانة

تخضع استحقاقات عملاء RSA فيما يتعلق بالضمانات والدعم والصيانة - بما في ذلك الثغرات في أي منتج برمجيات RSA - للاتفاقية المعمول بها بين RSA والعميل الفردي. لا تعدل البيانات الواردة في صفحة الويب هذه أو توسع أو تعدل أي حقوق للعميل أو تنشئ أي ضمانات إضافية.

إخلاء المسؤولية

تخضع جميع جوانب سياسة الاستجابة للثغرات الأمنية في RSA للتغيير دون إشعار مسبق وعلى أساس كل حالة على حدة. الاستجابة غير مضمونة لأي مشكلة أو فئة محددة من المشاكل. إن استخدامك للمعلومات الواردة في هذا المستند أو المواد المرتبطة به يكون على مسؤوليتك الخاصة. تحتفظ RSA بالحق في تغيير أو تحديث هذا المستند وفقًا لتقديرها الخاص ودون إشعار في أي وقت.