Loncat ke konten
Coba RSA Cloud Security Secara Gratis

Mulai uji coba ID Plus Anda sekarang.

Memulai

Pendahuluan

RSA berupaya membantu pelanggan kami meminimalkan risiko yang terkait dengan kerentanan keamanan pada produk kami. Tujuan kami adalah memberikan informasi, panduan, dan opsi mitigasi yang tepat waktu kepada pelanggan untuk mengatasi kerentanan. Tim Respons Insiden Keamanan Produk RSA (RSA PSIRT) disewa dan bertanggung jawab untuk mengoordinasikan respons dan pengungkapan untuk semua kerentanan produk yang dilaporkan kepada RSA.

Cara Melaporkan Kerentanan Keamanan

Jika Anda mengidentifikasi kerentanan keamanan pada produk RSA apa pun, segera laporkan kepada kami. Peneliti keamanan, kelompok industri, vendor, dan pengguna lain yang tidak memiliki akses ke Dukungan Teknis harus mengirimkan laporan kerentanan secara langsung ke RSA PSIRT melalui email. Identifikasi kerentanan keamanan secara tepat waktu sangat penting untuk mengurangi potensi risiko bagi pelanggan kami.

Pelanggan dan mitra produk RSA harus menghubungi tim Dukungan Teknis masing-masing untuk melaporkan masalah keamanan yang ditemukan pada produk RSA. Tim Dukungan Teknis, tim produk yang sesuai, dan PSIRT RSA akan bekerja sama untuk mengatasi masalah yang dilaporkan dan memberikan langkah selanjutnya kepada pelanggan.

Saat melaporkan potensi kerentanan, mohon sertakan informasi di bawah ini sebanyak mungkin untuk membantu kami lebih memahami sifat dan cakupan masalah yang dilaporkan:

  • Nama dan versi produk yang mengandung kerentanan
  • Informasi lingkungan atau sistem di mana masalah tersebut direproduksi (misalnya nomor model produk, versi OS, dll.)
  • Jenis dan/atau kelas kerentanan (XSS, buffer overflow, RCE, CWE, dll.)
  • Petunjuk langkah demi langkah untuk mereproduksi kerentanan
  • Bukti konsep atau kode eksploitasi
  • Dampak potensial dari kerentanan

Menangani Laporan Kerentanan

RSA percaya dalam menjaga hubungan yang baik dengan para peneliti keamanan, dan dengan persetujuan mereka, dapat memberikan penghargaan kepada peneliti yang telah menemukan kerentanan produk yang valid dan secara pribadi melaporkan masalah tersebut. Sebagai gantinya, kami meminta agar para peneliti memberi kami kesempatan untuk memperbaiki kerentanan tersebut sebelum mengungkapkannya kepada publik. RSA percaya bahwa mengoordinasikan pengungkapan kerentanan kepada publik adalah kunci untuk melindungi pelanggan kami.

Menurut kebijakan ini, semua informasi yang diungkapkan tentang kerentanan dimaksudkan untuk tetap berada di antara RSA dan pihak pelapor - jika informasi tersebut belum diketahui publik - sampai ada upaya pemulihan dan kegiatan pengungkapan dikoordinasikan.

Remediasi Kerentanan

Setelah menyelidiki dan memvalidasi kerentanan yang dilaporkan, kami akan berusaha mengembangkan dan memenuhi syarat perbaikan yang sesuai untuk produk yang berada di bawah dukungan aktif RSA. Perbaikan dapat berupa satu atau beberapa bentuk berikut ini:

  • Rilis baru dari produk yang terkena dampak yang dikemas oleh RSA;
  • Patch yang disediakan RSA yang dapat dipasang di atas produk yang terpengaruh;
  • Petunjuk untuk mengunduh dan menginstal pembaruan atau tambalan dari vendor pihak ketiga yang diperlukan untuk mengurangi kerentanan;
  • Prosedur korektif atau solusi yang diterbitkan oleh RSA yang menginstruksikan pengguna untuk menyesuaikan konfigurasi produk untuk mengurangi kerentanan.

RSA melakukan segala upaya untuk menyediakan perbaikan atau tindakan korektif dalam waktu sesingkat mungkin secara komersial. Jadwal tanggapan bergantung pada banyak faktor, seperti tingkat keparahan, dampak, kompleksitas perbaikan, komponen yang terpengaruh (misalnya, beberapa pembaruan memerlukan siklus validasi yang lebih lama atau hanya dapat diperbarui dalam rilis besar), tahap produk dalam siklus hidupnya, dan status operasi bisnis, dan lain-lain.

Peringkat Dampak dan Tingkat Keparahan

RSA saat ini menggunakan sistem Sistem Penilaian Kerentanan Umum versi 3.1 (CVSS v3.1) kerangka kerja terbuka untuk mengomunikasikan karakteristik dan tingkat keparahan kerentanan perangkat lunak RSA. Banyak faktor, termasuk tingkat upaya yang diperlukan untuk mengeksploitasi kerentanan serta potensi dampak terhadap data atau aktivitas bisnis dari eksploitasi yang berhasil, menjadi bahan pertimbangan.

Dampak keseluruhan dari peringatan keamanan adalah representasi tekstual dari tingkat keparahan (yaitu, kritis, tinggi, sedang, dan rendah) yang mengikuti Skala Penilaian Tingkat Keparahan Kualitatif CVSS Severity untuk Skor Dasar CVSS tertinggi dari semua kerentanan yang teridentifikasi. Jika dan jika berlaku, RSA akan memberikan dampak keseluruhan untuk saran dan untuk setiap kerentanan yang teridentifikasi, Skor Dasar CVSS v3.1 dan Vektor CVSS v3.1 yang sesuai. RSA merekomendasikan agar semua pelanggan memperhitungkan skor dasar dan metrik temporal dan/atau lingkungan apa pun yang mungkin relevan dengan lingkungan mereka untuk menilai risiko mereka secara keseluruhan.

Komunikasi Perbaikan

Biasanya, kami menyampaikan solusi kepada pelanggan melalui Peringatan Keamanan RSA, jika berlaku. Untuk melindungi pelanggan kami, RSA berusaha untuk merilis Peringatan Keamanan setelah kami memiliki solusi untuk produk yang terdampak. RSA dapat merilis Pemberitahuan Keamanan lebih cepat untuk merespons pengungkapan publik atau kerentanan yang diketahui secara luas pada komponen yang digunakan dalam produk kami.

Peringatan Keamanan dimaksudkan untuk memberikan rincian yang cukup agar pelanggan dapat menilai dampak kerentanan dan memperbaiki produk yang berpotensi rentan. Rincian lengkap mungkin dibatasi untuk mengurangi kemungkinan pengguna jahat dapat memanfaatkan informasi dan mengeksploitasinya sehingga merugikan pelanggan kami.

Peringatan Keamanan RSA biasanya akan mencakup informasi berikut ini, sebagaimana berlaku:

  • Dampak keseluruhan, yang merupakan representasi tekstual dari tingkat keparahan (yaitu kritis, tinggi, sedang, dan rendah) yang mengikuti Skala Penilaian Tingkat Keparahan Kualitatif CVSS Severity untuk Skor Dasar CVSS tertinggi dari semua kerentanan yang teridentifikasi;
  • Produk dan versi yang terpengaruh;
  • Skor Dasar dan Vektor CVSS untuk semua kerentanan yang teridentifikasi;
  • Penghitungan Kerentanan Umum (CVE) untuk semua kerentanan yang teridentifikasi sehingga informasi untuk setiap kerentanan unik dapat dibagikan di berbagai kemampuan manajemen kerentanan (misalnya, alat seperti pemindai kerentanan, repositori, dan layanan);
  • Penjelasan singkat mengenai kerentanan dan dampak potensial jika dieksploitasi;
  • Detail remediasi dengan informasi pembaruan/penyelesaian;
  • Ucapan terima kasih kepada penemu yang telah melaporkan kerentanan dan bekerja sama dengan RSA dalam rilis yang terkoordinasi, sebagaimana berlaku.

Informasi Pengungkapan Tambahan

Kebijakan RSA adalah untuk tidak memberikan informasi tentang kerentanan secara spesifik di luar apa yang disediakan dalam Penasihat Keamanan dan dokumentasi terkait, seperti catatan rilis, artikel basis pengetahuan, FAQ, dll. Kami tidak mendistribusikan kode eksploitasi/bukti konsep untuk kerentanan yang teridentifikasi. Sesuai dengan praktik industri, RSA tidak membagikan temuan dari pengujian keamanan internal atau jenis aktivitas keamanan lainnya dengan entitas eksternal.

Memberitahukan RSA tentang Masalah Keamanan lainnya

Jika Anda perlu melaporkan masalah keamanan lainnya kepada RSA, silakan gunakan kontak yang sesuai yang tercantum di bawah ini:

Masalah Keamanan Informasi Kontak
Untuk melaporkan kerentanan atau masalah keamanan di RSA.com atau layanan online, aplikasi web, atau properti lainnya Kirimkan laporan di responsibledisclosure@rsa.com dengan petunjuk langkah demi langkah untuk mereproduksi masalah tersebut.
Untuk mengirimkan permintaan atau pertanyaan terkait privasi Lihat Privasi RSA halaman.

 

Hak Pelanggan: Jaminan, Dukungan, dan Pemeliharaan

Hak-hak pelanggan RSA terkait jaminan, dukungan, dan pemeliharaan-termasuk kerentanan dalam produk perangkat lunak RSA- diatur oleh perjanjian yang berlaku antara RSA dan masing-masing pelanggan. Pernyataan di halaman web ini tidak mengubah, memperbesar, atau mengubah hak-hak pelanggan atau membuat jaminan tambahan apa pun.

Penafian

Semua aspek dari Kebijakan Tanggapan Kerentanan RSA dapat berubah tanpa pemberitahuan dan berdasarkan kasus per kasus. Tanggapan tidak dijamin untuk masalah atau kelompok masalah tertentu. Penggunaan informasi yang terkandung dalam dokumen ini atau materi yang ditautkan di sini merupakan risiko Anda sendiri. RSA berhak untuk mengubah atau memperbarui dokumen ini atas kebijakannya sendiri dan tanpa pemberitahuan kapan saja.