Zum Inhalt springen
RSA Cloud Security kostenlos testen

Starten Sie jetzt Ihre ID Plus Testversion

Jetzt starten

Einführung

RSA ist bestrebt, seinen Kunden dabei zu helfen, das mit Sicherheitslücken in unseren Produkten verbundene Risiko zu minimieren. Unser Ziel ist es, unseren Kunden rechtzeitig Informationen, Anleitungen und Optionen zur Behebung von Schwachstellen zur Verfügung zu stellen. Das RSA Product Security Incident Response Team (RSA PSIRT) wurde gegründet und ist für die Koordinierung der Reaktion und Offenlegung aller Produktschwachstellen verantwortlich, die RSA gemeldet werden.

Wie man eine Sicherheitsschwachstelle meldet

Wenn Sie eine Sicherheitslücke in einem RSA-Produkt entdecken, melden Sie uns diese bitte umgehend. Sicherheitsforscher, Branchengruppen, Anbieter und andere Benutzer, die keinen Zugang zum technischen Support haben, sollten Berichte über Sicherheitslücken direkt an die RSA PSIRT per E-Mail. Die rechtzeitige Erkennung von Sicherheitsschwachstellen ist entscheidend für die Abschwächung potenzieller Risiken für unsere Kunden.

Kunden und Partner von RSA-Produkten sollten sich an ihr jeweiliges technisches Support-Team wenden, um Sicherheitsprobleme zu melden, die in RSA-Produkten entdeckt wurden. Das Team des technischen Supports, das entsprechende Produktteam und das RSA PSIRT arbeiten zusammen, um das gemeldete Problem zu beheben und die Kunden über die nächsten Schritte zu informieren.

Wenn Sie eine potenzielle Schwachstelle melden, geben Sie bitte möglichst viele der unten aufgeführten Informationen an, damit wir Art und Umfang des gemeldeten Problems besser verstehen können:

  • Produktname und Version, die die Schwachstelle enthält
  • Umgebungs- oder Systeminformationen, unter denen das Problem reproduziert wurde (z. B. Produktmodellnummer, Betriebssystemversion usw.)
  • Typ und/oder Klasse der Sicherheitslücke (XSS, Pufferüberlauf, RCE, CWE, usw..)
  • Schritt-für-Schritt-Anleitung zur Reproduktion der Schwachstelle
  • Proof-of-Concept oder Exploit-Code
  • Mögliche Auswirkungen der Schwachstelle

Umgang mit Schwachstellenberichten

RSA ist bestrebt, eine gute Beziehung zu Sicherheitsforschern aufrechtzuerhalten, und kann mit deren Einverständnis den Forscher dafür anerkennen, dass er eine gültige Produktschwachstelle gefunden und das Problem vertraulich gemeldet hat. Im Gegenzug bitten wir die Forscher, uns die Möglichkeit zu geben, die Schwachstelle zu beheben, bevor wir sie öffentlich bekannt geben. RSA ist der Ansicht, dass die Koordinierung der öffentlichen Bekanntgabe einer Schwachstelle der Schlüssel zum Schutz unserer Kunden ist.

Gemäß dieser Richtlinie sollen alle offengelegten Informationen über Schwachstellen zwischen RSA und der meldenden Partei verbleiben - sofern die Informationen nicht bereits öffentlich bekannt sind -, bis eine Abhilfe verfügbar ist und die Offenlegungsaktivitäten koordiniert werden.

Behebung von Schwachstellen

Nach der Untersuchung und Validierung einer gemeldeten Schwachstelle versuchen wir, eine geeignete Abhilfemaßnahme für Produkte zu entwickeln und zu qualifizieren, die von RSA aktiv unterstützt werden. Eine Abhilfe kann eine oder mehrere der folgenden Formen annehmen:

  • Eine neue Version des betroffenen Produkts, das von RSA verpackt wurde;
  • Ein von RSA bereitgestellter Patch, der über das betroffene Produkt installiert werden kann;
  • Anweisungen zum Herunterladen und Installieren eines Updates oder Patches von einem Drittanbieter, das zur Behebung der Sicherheitslücke erforderlich ist;
  • Ein von RSA veröffentlichtes Korrekturverfahren oder eine Umgehungslösung, die die Benutzer anweist, die Produktkonfiguration anzupassen, um die Schwachstelle zu entschärfen.

RSA bemüht sich nach Kräften, die Abhilfe oder Korrekturmaßnahme in der kürzesten kommerziell vertretbaren Zeit bereitzustellen. Die Reaktionszeiten hängen von vielen Faktoren ab, wie z. B. dem Schweregrad, der Auswirkung, der Komplexität der Abhilfemaßnahmen, der betroffenen Komponente (z. B. erfordern einige Updates längere Validierungszyklen oder können nur in einer Hauptversion aktualisiert werden), dem Stadium des Produkts innerhalb seines Lebenszyklus und dem Status des Geschäftsbetriebs, um nur einige zu nennen.

Auswirkungen und Schweregrad

RSA verwendet derzeit die Gemeinsames System zur Bewertung von Schwachstellen Version 3.1 (CVSS v3.1) ein offenes Rahmenwerk für die Mitteilung der Merkmale und des Schweregrads von Software-Schwachstellen von RSA. Dabei werden viele Faktoren berücksichtigt, darunter der Aufwand, der zur Ausnutzung einer Schwachstelle erforderlich ist, sowie die potenziellen Auswirkungen eines erfolgreichen Angriffs auf Daten oder Geschäftsaktivitäten.

Die Gesamtauswirkung eines Sicherheitshinweises ist eine textuelle Darstellung des Schweregrads (d. h. kritisch, hoch, mittel und niedrig), die der CVSS Severity Qualitative Severity Rating Scale für den höchsten CVSS Base Score aller identifizierten Schwachstellen folgt. Sofern zutreffend, gibt RSA die Gesamtauswirkungen der Empfehlung und für jede identifizierte Schwachstelle den CVSS v3.1 Base Score und den entsprechenden CVSS v3.1 Vector an. RSA empfiehlt allen Kunden, sowohl den Base Score als auch alle zeitlichen und/oder umgebungsbezogenen Metriken zu berücksichtigen, die für ihre Umgebung relevant sein können, um ihr Gesamtrisiko zu bewerten.

Abhilfe Kommunikation

In der Regel informieren wir unsere Kunden über Abhilfemaßnahmen in Form von RSA-Sicherheitshinweisen, sofern zutreffend. Zum Schutz unserer Kunden ist RSA bestrebt, einen Sicherheitshinweis zu veröffentlichen, sobald wir eine Abhilfemaßnahme für ein oder mehrere betroffene Produkte getroffen haben. RSA kann Sicherheitshinweise früher veröffentlichen, um angemessen auf öffentliche Enthüllungen oder weithin bekannte Schwachstellen in den in unseren Produkten verwendeten Komponenten zu reagieren.

Sicherheitshinweise sollen genügend Details liefern, damit die Kunden die Auswirkungen von Schwachstellen abschätzen und potenziell gefährdete Produkte abstellen können. Um die Wahrscheinlichkeit zu verringern, dass böswillige Benutzer die Informationen ausnutzen und zum Nachteil unserer Kunden auswerten können, können die Einzelheiten eingeschränkt werden.

RSA-Sicherheitshinweise enthalten in der Regel die folgenden Informationen, sofern zutreffend:

  • Die Gesamtauswirkungen, d. h. eine textuelle Darstellung des Schweregrads (d. h. kritisch, hoch, mittel und gering), die der qualitativen CVSS-Schweregradskala für den höchsten CVSS-Basis-Score aller identifizierten Schwachstellen folgt;
  • Betroffene Produkte und Versionen;
  • CVSS Base Score und Vector für alle identifizierten Schwachstellen;
  • Gemeinsame Aufzählung von Schwachstellen (CVE) Kennung für alle identifizierten Schwachstellen, so dass die Informationen für jede einzelne Schwachstelle über verschiedene Schwachstellenmanagement-Funktionen (z.B. Tools wie Schwachstellen-Scanner, Repositories und Dienste) gemeinsam genutzt werden können;
  • Kurze Beschreibung der Schwachstelle und der möglichen Auswirkungen, wenn sie ausgenutzt wird;
  • Einzelheiten zur Abhilfe mit Informationen zur Aktualisierung/Abhilfe;
  • Danksagung an den Finder für die Meldung der Schwachstelle und die Zusammenarbeit mit RSA bei einer koordinierten Freigabe, sofern zutreffend.

Zusätzliche Informationen zur Offenlegung

Die RSA-Richtlinie sieht vor, keine Informationen über die Besonderheiten von Schwachstellen bereitzustellen, die über die Sicherheitshinweise und die zugehörige Dokumentation (z. B. Versionshinweise, Knowledgebase-Artikel, FAQs usw.) hinausgehen. Wir verbreiten keinen Exploit- oder Proof-of-Concept-Code für identifizierte Schwachstellen. In Übereinstimmung mit den branchenüblichen Praktiken gibt RSA die Ergebnisse seiner internen Sicherheitstests oder andere Arten von Sicherheitsaktivitäten nicht an externe Stellen weiter.

Benachrichtigung von RSA über andere Sicherheitsprobleme

Wenn Sie RSA ein anderes Sicherheitsproblem melden möchten, wenden Sie sich bitte an die unten aufgeführten Ansprechpartner:

Sicherheitsproblem Kontaktinformationen
Um eine Sicherheitsschwachstelle oder ein Problem bei RSA.com oder einem anderen Online-Dienst, einer Webanwendung oder einem Objekt zu melden Einen Bericht einreichen unter responsibledisclosure@rsa.com mit einer Schritt-für-Schritt-Anleitung, um das Problem zu reproduzieren.
Um Anträge oder Fragen zum Datenschutz zu stellen Siehe RSA-Datenschutz Seite.

 

Kundenansprüche: Garantien, Support und Wartung

Die Ansprüche von RSA-Kunden in Bezug auf Garantien, Support und Wartung - einschließlich Schwachstellen in einem RSA-Softwareprodukt - werden durch die jeweilige Vereinbarung zwischen RSA und dem einzelnen Kunden geregelt. Die Aussagen auf dieser Webseite ändern, erweitern oder ergänzen keine Kundenrechte und schaffen keine zusätzlichen Garantien.

Haftungsausschluss

Alle Aspekte der RSA-Richtlinie zur Reaktion auf Schwachstellen können ohne vorherige Ankündigung und von Fall zu Fall geändert werden. Eine Reaktion auf ein bestimmtes Problem oder eine bestimmte Gruppe von Problemen wird nicht garantiert. Die Verwendung der in diesem Dokument enthaltenen Informationen oder der darin verlinkten Materialien erfolgt auf eigene Gefahr. RSA behält sich das Recht vor, dieses Dokument nach eigenem Ermessen und ohne Vorankündigung jederzeit zu ändern oder zu aktualisieren.