RSA si impegna ad aiutare i propri clienti a ridurre al minimo il rischio associato alle vulnerabilit\u00e0 di sicurezza dei propri prodotti. Il nostro obiettivo \u00e8 fornire ai clienti informazioni tempestive, indicazioni e opzioni di mitigazione per risolvere le vulnerabilit\u00e0. Il Product Security Incident Response Team (RSA PSIRT) di RSA \u00e8 stato istituito ed \u00e8 responsabile del coordinamento della risposta e della divulgazione di tutte le vulnerabilit\u00e0 dei prodotti segnalate a RSA.<\/p>\n
Se si identifica una vulnerabilit\u00e0 di sicurezza in un prodotto RSA, si prega di segnalarla immediatamente. Ricercatori di sicurezza, gruppi industriali, venditori e altri utenti che non hanno accesso al supporto tecnico dovrebbero inviare le segnalazioni di vulnerabilit\u00e0 direttamente a RSA.\u00a0PSIRT via e-mail<\/a>. L'identificazione tempestiva delle vulnerabilit\u00e0 di sicurezza \u00e8 fondamentale per ridurre i rischi potenziali per i nostri clienti.<\/p>\n I clienti e i partner dei prodotti RSA devono contattare il rispettivo team di assistenza tecnica per segnalare eventuali problemi di sicurezza riscontrati nei prodotti RSA. Il team di supporto tecnico, il team di prodotto appropriato e il PSIRT di RSA collaboreranno per risolvere il problema segnalato e fornire ai clienti i passi successivi.<\/p>\n Quando si segnala una potenziale vulnerabilit\u00e0, si prega di includere il maggior numero di informazioni possibili per aiutarci a comprendere meglio la natura e la portata del problema segnalato:<\/p>\n RSA crede nel mantenimento di un buon rapporto con i ricercatori di sicurezza e, con il loro consenso, pu\u00f2 riconoscere al ricercatore la scoperta di una vulnerabilit\u00e0 valida del prodotto e la segnalazione privata del problema. In cambio, chiediamo ai ricercatori di darci l'opportunit\u00e0 di rimediare alla vulnerabilit\u00e0 prima di divulgarla pubblicamente. RSA ritiene che il coordinamento della divulgazione pubblica di una vulnerabilit\u00e0 sia fondamentale per proteggere i nostri clienti.<\/p>\n Secondo questa politica, tutte le informazioni divulgate sulle vulnerabilit\u00e0 sono destinate a rimanere tra RSA e la parte che le ha segnalate, se non sono gi\u00e0 di dominio pubblico, fino a quando non \u00e8 disponibile un rimedio e le attivit\u00e0 di divulgazione sono coordinate.<\/p>\n Dopo aver indagato e convalidato una vulnerabilit\u00e0 segnalata, cercheremo di sviluppare e qualificare il rimedio appropriato per i prodotti con supporto attivo da parte di RSA. Un rimedio pu\u00f2 assumere una o pi\u00f9 delle seguenti forme:<\/p>\n RSA si impegna al massimo per fornire il rimedio o l'azione correttiva nel pi\u00f9 breve tempo commercialmente ragionevole. Le tempistiche di risposta dipendono da molti fattori, quali la gravit\u00e0, l'impatto, la complessit\u00e0 del rimedio, il componente interessato (ad esempio, alcuni aggiornamenti richiedono cicli di convalida pi\u00f9 lunghi o possono essere aggiornati solo in una major release), la fase del prodotto all'interno del suo ciclo di vita e lo stato delle operazioni aziendali, tra gli altri.<\/p>\n Attualmente RSA utilizza il metodo\u00a0Sistema di valutazione delle vulnerabilit\u00e0 comuni<\/a>\u00a0versione 3.1 (CVSS v3.1) per comunicare le caratteristiche e la gravit\u00e0 delle vulnerabilit\u00e0 software di RSA. Vengono presi in considerazione molti fattori, tra cui il livello di impegno richiesto per sfruttare una vulnerabilit\u00e0 e il potenziale impatto sui dati o sulle attivit\u00e0 aziendali derivante da un exploit riuscito.<\/p>\n L'impatto complessivo di un avviso di sicurezza \u00e8 una rappresentazione testuale della gravit\u00e0 (ossia, critica, alta, media e bassa) che segue la scala di valutazione qualitativa della gravit\u00e0 CVSS per il punteggio base CVSS pi\u00f9 elevato di tutte le vulnerabilit\u00e0 identificate. Quando e dove applicabile, RSA fornir\u00e0 un impatto complessivo per l'advisory e per ogni vulnerabilit\u00e0 identificata il CVSS v3.1 Base Score e il corrispondente CVSS v3.1 Vector. RSA raccomanda a tutti i clienti di prendere in considerazione sia il punteggio di base che qualsiasi metrica temporale e\/o ambientale che possa essere rilevante per il proprio ambiente per valutare il rischio complessivo.<\/p>\n Di solito, comunichiamo i rimedi ai clienti attraverso gli avvisi di sicurezza RSA, ove applicabili. Per proteggere i nostri clienti, RSA si sforza di rilasciare un avviso di sicurezza una volta che \u00e8 stato predisposto un rimedio per qualsiasi prodotto interessato. RSA pu\u00f2 rilasciare avvisi di sicurezza prima per rispondere in modo appropriato a divulgazioni pubbliche o a vulnerabilit\u00e0 ampiamente note nei componenti utilizzati nei nostri prodotti.<\/p>\n Gli avvisi di sicurezza hanno lo scopo di fornire dettagli sufficienti per consentire ai clienti di valutare l'impatto delle vulnerabilit\u00e0 e di porre rimedio ai prodotti potenzialmente vulnerabili. I dettagli completi possono essere limitati per ridurre la probabilit\u00e0 che utenti malintenzionati possano trarre vantaggio dalle informazioni e sfruttarle a danno dei nostri clienti.<\/p>\n Gli avvisi di sicurezza di RSA includono in genere le seguenti informazioni, se applicabili:<\/p>\n La politica di RSA \u00e8 di non fornire informazioni sulle specifiche vulnerabilit\u00e0 al di l\u00e0 di quanto indicato nel Security Advisory e nella relativa documentazione, come note di rilascio, articoli della knowledgebase, FAQ, ecc. Non distribuiamo codice di exploit\/prova di concetto per le vulnerabilit\u00e0 identificate. In conformit\u00e0 con le pratiche del settore, RSA non condivide i risultati dei suoi test di sicurezza interni o di altri tipi di attivit\u00e0 di sicurezza con entit\u00e0 esterne..<\/a><\/p>\n Per segnalare qualsiasi altro problema di sicurezza a RSA, utilizzare i contatti appropriati elencati di seguito:<\/p>\n\n
Gestione dei rapporti di vulnerabilit\u00e0<\/h3>\n
Bonifica delle vulnerabilit\u00e0<\/h3>\n
\n
Valutazione dell'impatto e della gravit\u00e0<\/h3>\n
Comunicazione Remedy<\/h3>\n
\n
Informazioni aggiuntive sulla divulgazione<\/h3>\n
Notifica a RSA di altri problemi di sicurezza<\/h3>\n