Vai al contenuto
Prova RSA Cloud Security gratuitamente

Inizia subito il tuo periodo di prova ID Plus.

Inizia

Introduzione

RSA si impegna ad aiutare i propri clienti a ridurre al minimo il rischio associato alle vulnerabilità di sicurezza dei propri prodotti. Il nostro obiettivo è fornire ai clienti informazioni tempestive, indicazioni e opzioni di mitigazione per risolvere le vulnerabilità. Il Product Security Incident Response Team (RSA PSIRT) di RSA è stato istituito ed è responsabile del coordinamento della risposta e della divulgazione di tutte le vulnerabilità dei prodotti segnalate a RSA.

Come segnalare una vulnerabilità di sicurezza

Se si identifica una vulnerabilità di sicurezza in un prodotto RSA, si prega di segnalarla immediatamente. Ricercatori di sicurezza, gruppi industriali, venditori e altri utenti che non hanno accesso al supporto tecnico dovrebbero inviare le segnalazioni di vulnerabilità direttamente a RSA. PSIRT via e-mail. L'identificazione tempestiva delle vulnerabilità di sicurezza è fondamentale per ridurre i rischi potenziali per i nostri clienti.

I clienti e i partner dei prodotti RSA devono contattare il rispettivo team di assistenza tecnica per segnalare eventuali problemi di sicurezza riscontrati nei prodotti RSA. Il team di supporto tecnico, il team di prodotto appropriato e il PSIRT di RSA collaboreranno per risolvere il problema segnalato e fornire ai clienti i passi successivi.

Quando si segnala una potenziale vulnerabilità, si prega di includere il maggior numero di informazioni possibili per aiutarci a comprendere meglio la natura e la portata del problema segnalato:

  • Nome del prodotto e versione contenente la vulnerabilità
  • Informazioni sull'ambiente o sul sistema in cui è stato riprodotto il problema (ad esempio, numero di modello del prodotto, versione del sistema operativo, ecc.)
  • Tipo e/o classe di vulnerabilità (XSS, buffer overflow, RCE, CWE, ecc..)
  • Istruzioni passo-passo per riprodurre la vulnerabilità
  • Codice di prova o di exploit
  • Impatto potenziale della vulnerabilità

Gestione dei rapporti di vulnerabilità

RSA crede nel mantenimento di un buon rapporto con i ricercatori di sicurezza e, con il loro consenso, può riconoscere al ricercatore la scoperta di una vulnerabilità valida del prodotto e la segnalazione privata del problema. In cambio, chiediamo ai ricercatori di darci l'opportunità di rimediare alla vulnerabilità prima di divulgarla pubblicamente. RSA ritiene che il coordinamento della divulgazione pubblica di una vulnerabilità sia fondamentale per proteggere i nostri clienti.

Secondo questa politica, tutte le informazioni divulgate sulle vulnerabilità sono destinate a rimanere tra RSA e la parte che le ha segnalate, se non sono già di dominio pubblico, fino a quando non è disponibile un rimedio e le attività di divulgazione sono coordinate.

Bonifica delle vulnerabilità

Dopo aver indagato e convalidato una vulnerabilità segnalata, cercheremo di sviluppare e qualificare il rimedio appropriato per i prodotti con supporto attivo da parte di RSA. Un rimedio può assumere una o più delle seguenti forme:

  • Una nuova release del prodotto interessato confezionata da RSA;
  • Una patch fornita da RSA che può essere installata sopra il prodotto interessato;
  • Istruzioni per scaricare e installare un aggiornamento o una patch da un fornitore di terze parti necessaria per mitigare la vulnerabilità;
  • Una procedura correttiva o workaround pubblicata da RSA che istruisce gli utenti sulla regolazione della configurazione del prodotto per mitigare la vulnerabilità.

RSA si impegna al massimo per fornire il rimedio o l'azione correttiva nel più breve tempo commercialmente ragionevole. Le tempistiche di risposta dipendono da molti fattori, quali la gravità, l'impatto, la complessità del rimedio, il componente interessato (ad esempio, alcuni aggiornamenti richiedono cicli di convalida più lunghi o possono essere aggiornati solo in una major release), la fase del prodotto all'interno del suo ciclo di vita e lo stato delle operazioni aziendali, tra gli altri.

Valutazione dell'impatto e della gravità

Attualmente RSA utilizza il metodo Sistema di valutazione delle vulnerabilità comuni versione 3.1 (CVSS v3.1) per comunicare le caratteristiche e la gravità delle vulnerabilità software di RSA. Vengono presi in considerazione molti fattori, tra cui il livello di impegno richiesto per sfruttare una vulnerabilità e il potenziale impatto sui dati o sulle attività aziendali derivante da un exploit riuscito.

L'impatto complessivo di un avviso di sicurezza è una rappresentazione testuale della gravità (ossia, critica, alta, media e bassa) che segue la scala di valutazione qualitativa della gravità CVSS per il punteggio base CVSS più elevato di tutte le vulnerabilità identificate. Quando e dove applicabile, RSA fornirà un impatto complessivo per l'advisory e per ogni vulnerabilità identificata il CVSS v3.1 Base Score e il corrispondente CVSS v3.1 Vector. RSA raccomanda a tutti i clienti di prendere in considerazione sia il punteggio di base che qualsiasi metrica temporale e/o ambientale che possa essere rilevante per il proprio ambiente per valutare il rischio complessivo.

Comunicazione Remedy

Di solito, comunichiamo i rimedi ai clienti attraverso gli avvisi di sicurezza RSA, ove applicabili. Per proteggere i nostri clienti, RSA si sforza di rilasciare un avviso di sicurezza una volta che è stato predisposto un rimedio per qualsiasi prodotto interessato. RSA può rilasciare avvisi di sicurezza prima per rispondere in modo appropriato a divulgazioni pubbliche o a vulnerabilità ampiamente note nei componenti utilizzati nei nostri prodotti.

Gli avvisi di sicurezza hanno lo scopo di fornire dettagli sufficienti per consentire ai clienti di valutare l'impatto delle vulnerabilità e di porre rimedio ai prodotti potenzialmente vulnerabili. I dettagli completi possono essere limitati per ridurre la probabilità che utenti malintenzionati possano trarre vantaggio dalle informazioni e sfruttarle a danno dei nostri clienti.

Gli avvisi di sicurezza di RSA includono in genere le seguenti informazioni, se applicabili:

  • L'impatto complessivo, che è una rappresentazione testuale della gravità (cioè critica, alta, media e bassa) che segue la CVSS Severity Qualitative Severity Rating Scale per il CVSS Base Score più alto di tutte le vulnerabilità identificate;
  • Prodotti e versioni interessate;
  • Il CVSS Base Score e il Vector per tutte le vulnerabilità identificate;
  • Enumerazione delle vulnerabilità comuni (CVE) per tutte le vulnerabilità identificate, in modo che le informazioni per ogni vulnerabilità unica possano essere condivise tra le varie funzionalità di gestione delle vulnerabilità (ad esempio, strumenti come scanner di vulnerabilità, repository e servizi);
  • Breve descrizione della vulnerabilità e dell'impatto potenziale se sfruttata;
  • Dettagli sulla correzione con informazioni sull'aggiornamento/sui rimedi;
  • Riconoscimento all'autore della segnalazione della vulnerabilità e collaborazione con RSA per un rilascio coordinato, se applicabile.

Informazioni aggiuntive sulla divulgazione

La politica di RSA è di non fornire informazioni sulle specifiche vulnerabilità al di là di quanto indicato nel Security Advisory e nella relativa documentazione, come note di rilascio, articoli della knowledgebase, FAQ, ecc. Non distribuiamo codice di exploit/prova di concetto per le vulnerabilità identificate. In conformità con le pratiche del settore, RSA non condivide i risultati dei suoi test di sicurezza interni o di altri tipi di attività di sicurezza con entità esterne..

Notifica a RSA di altri problemi di sicurezza

Per segnalare qualsiasi altro problema di sicurezza a RSA, utilizzare i contatti appropriati elencati di seguito:

Problema di sicurezza Informazioni di contatto
Per segnalare una vulnerabilità o un problema di sicurezza in RSA.com o in altri servizi online, applicazioni web o proprietà Invia un rapporto a responsibledisclosure@rsa.com con istruzioni passo-passo per riprodurre il problema.
Per inviare richieste o domande relative alla privacy Vedi Privacy RSA pagina.

 

Diritti del cliente: Garanzie, assistenza e manutenzione

I diritti dei clienti RSA in materia di garanzie, assistenza e manutenzione, comprese le vulnerabilità di qualsiasi prodotto software RSA, sono disciplinati dal contratto applicabile tra RSA e il singolo cliente. Le dichiarazioni contenute in questa pagina web non modificano, ampliano o emendano in altro modo alcun diritto del cliente né creano alcuna garanzia aggiuntiva.

Esclusione di responsabilità

Tutti gli aspetti della politica di risposta alle vulnerabilità di RSA sono soggetti a modifiche senza preavviso e su base individuale. La risposta non è garantita per alcun problema specifico o classe di problemi. L'utilizzo delle informazioni contenute in questo documento o dei materiali ad esso collegati è a rischio dell'utente. RSA si riserva il diritto di modificare o aggiornare il presente documento a propria discrezione e senza preavviso in qualsiasi momento.