Policy för offentliggörande av sårbarheter

Inledning

Ansell är en global expert på säkerhetslösningar som har förnyat personligt skydd i 125 år. Vi levererar de mest avancerade skyddslösningarna till miljontals människor på jobbet och i hemmet, och håller dem borta från faror. Vår expertis, våra innovativa produkter och vår avancerade teknik ger kunderna sinnesro och ett förtroende som inget annat varumärke kan leverera. Ansells uppdrag är att tillhandahålla innovativa säkerhetslösningar på ett tillförlitligt sätt och därmed skapa en Ansell-skyddad värld.

Denna policy är avsedd att ge säkerhetsforskare tydliga riktlinjer för hur de ska utföra aktiviteter för att upptäcka sårbarheter och att förmedla våra preferenser för hur upptäckta cybersäkerhetssårbarheter ska skickas till oss.

I denna policy beskrivs vilka system och typer av forskning som omfattas av denna policy, hur man skickar sårbarhetsrapporter till oss och hur länge vi ber säkerhetsforskare att vänta innan de offentliggör en cybersäkerhetssårbarhet.

Vi uppmanar dig att kontakta oss för att rapportera eventuella sårbarheter i våra system.

Tillstånd

Om du i god tro försöker följa denna policy under din säkerhetsundersökning kommer vi att anse att din undersökning är godkänd och vi kommer att arbeta med dig för att förstå och snabbt lösa eventuella cybersäkerhetsproblem, och Ansell kommer inte att rekommendera eller vidta rättsliga åtgärder i samband med din undersökning. Om en tredje part inleder rättsliga åtgärder mot dig för aktiviteter som utförts i enlighet med denna policy, kommer vi att informera om detta tillstånd.

Vägledningar

1. Rapportera nya, unika sårbarheter när det gäller cybersäkerhet: Detta hjälper oss att fokusera på att åtgärda de risker som har störst inverkan på oss och våra kunder. Lämna inte in en stor mängd rapporter av låg kvalitet/låg risk
2. Kompromissa inte med system eller exfiltrera data: Använd endast exploits i den utsträckning som krävs för att bekräfta förekomsten av en cybersäkerhetssårbarhet. När du har fått tillräckligt med information för att indikera ett säkerhetsproblem ska du inte försöka upprätta persistens, rikta in dig på, räkna upp eller exfiltrera interna data, skapa åtkomst till kommandoraden eller använda en sårbarhet för att gå vidare till andra system. Avbryt testet och meddela Ansell omedelbart om du stöter på några känsliga uppgifter (inklusive personligt identifierbar information, finansiell information eller någon parts äganderättsligt skyddade information eller affärshemligheter).
3. Respektera andra: Gör inte det: kränka integriteten för någon av Ansells anställda eller kunder, komma åt eller försöka komma åt data som inte tillhör dig; orsaka försämrad användarupplevelse, utföra icke-tekniska attacker (t.ex. social ingenjörskonst, nätfiske eller obehörig tillgång till infrastruktur och anställda hos Ansell) eller utföra åtgärder som kan påverka Ansell eller dess kunder negativt; orsaka störningar i produktionssystem och exponering, förstörelse eller manipulation av data.
4. Samarbeta: Samarbeta endast med oss genom vår samordnade informationsprocess så snart en cybersäkerhetsbrist har identifierats. E-postadressen och HTTPS Web Form finns nedan.
5. Meddela oss (enligt stegen nedan) så snart du upptäcker ett verkligt eller potentiellt säkerhetsproblem i vårt system. Vi vill omgående ta itu med dessa frågor och ber er att inte avstå från att meddela oss i tid medan ni kanske genomför ytterligare forskning, t.ex. om andra produkter.
6. Ge oss rimlig tid att lösa problemet innan du offentliggör det. 90 kalenderdagar från mottagandet hos oss (programvara, inklusive molnbaserade system och mobilappar) eller 120 kalenderdagar från mottagandet hos oss (hårdvara, firmware och trådlöst).

Offentliggörande av information

I enlighet med riktlinjerna ovan ber vi dig att avstå från att dela din rapport om Ansell med andra innan du skickar den till oss och medan vi undersöker den misstänkta cybersäkerhetssårbarheten och eventuellt arbetar på en patch eller andra lösningar för att följa den här policyn. Ta upp eventuella Ansell-frågor med oss innan du gör en anmälan.

Vi kommer att informera er när vi har slutfört våra slutsatser efter det att sårbarheten i cybersäkerheten har åtgärdats. För att följa denna policy kräver vi att du länkar till Ansells resultat tillsammans med dina resultat i alla blogginlägg, offentliga rapporter, presentationer eller andra offentliga uttalanden i frågan. Förutom att eventuellt ange en övergripande tidslinje för den sårbarhet som du har uppmärksammat oss på, kommer vi inte att publicera information om dig eller vår kommunikation med dig utan ditt tillstånd. Om du vill bli omnämnd kommer vi att tacka dig med namn eller adress i vår rådgivning. Ansell krediterar inte anställda eller entreprenörer hos Ansell och dess dotterbolag för sårbarheter som de har upptäckt.

I den mån denna policy hänvisar till en "sårbarhet" eller "sårbarheter" är det avsett och underförstått att alla sådana hänvisningar avser potentiella eller misstänkta cybersäkerhetssårbarheter, oavsett om det anges så eller inte, tills en sådan sårbarhet har undersökts och bekräftats av Ansell. Vi avgör själva om vi ska erkänna avslöjandet av en sårbarhet och tidpunkten för erkännandet, och vi kan när som helst avbryta programmet. Din testning får inte strida mot några lagar.

Testmetoder

Följande provningsmetoder är inte godkända:

• Nätverksöverbelastningsförsök (DoS eller DDoS) eller andra försök som försämrar åtkomsten till eller skadar ett system eller data
• Fysiska tester (t.ex. tillträde till kontor, öppna dörrar, "tailgating"), social ingenjörskonst (t.ex. phishing, vishing) eller andra icke-tekniska sårbarhetstester

Omfattning

Denna policy gäller för följande system och tjänster:

• https://ansell.com
• https://guardian.ansell.com
• https://ansellguardianpartner.com
• https://motion.inteliforz.com
• https://demo.motion.inteliforz.com
• Alla andra underdomäner till ansell.com

Alla kundapplikationer är undantagna från denna policy.

Sårbarheter utanför räckvidden

När du rapporterar sårbarheter, vänligen beakta (1) angreppsscenario/utnyttjbarhet och (2) säkerhetseffekten av felet. Följande frågor anses ligga utanför tillämpningsområdet:

• Clickjacking på sidor utan känsliga åtgärder
• Cross-Site Request Forgery (CSRF) på oautentiserade formulär eller formulär utan känsliga åtgärder
• Angrepp som kräver MITM eller fysisk åtkomst till en användares enhet
• Tidigare kända sårbara bibliotek utan ett fungerande Proof of Concept
• CSV-injektion (Comma Separated Values) utan att påvisa en sårbarhet.
• Saknar bästa praxis för SSL/TLS-konfiguration.
• Alla aktiviteter som kan leda till avbrott i våra tjänster (DoS)
• Problem med innehållsspoofing och textinjektion utan att visa en attackvektor/utan att kunna modifiera HTML/CSS
• Problem med hastighetsbegränsning eller brute-force på slutpunkter utan autentisering
• Saknar bästa praxis i säkerhetspolicyn för innehåll
• Flaggorna Http Only eller Secure saknas i cookies
• Saknar bästa praxis för e-post (ogiltiga, ofullständiga eller saknade SPF/DKIM/DMARC-poster etc.)
• Sårbarheter som endast påverkar användare av föråldrade eller opatchade webbläsare [Mindre än 2 stabila versioner efter den senast släppta stabila versionen]
• Uppgift om programvaruversion / Problem med banneridentifiering / Beskrivande felmeddelanden eller rubriker (t.ex. stackspår, applikations- eller serverfel)
• Tabnabbing
• Öppen omdirigering - såvida inte ytterligare säkerhetspåverkan kan påvisas
• Frågor som kräver osannolik användarinteraktion

Alla tjänster som inte uttryckligen anges ovan, t.ex. anslutna tjänster, omfattas inte och är inte tillåtna för testning. Dessutom faller cybersäkerhetsproblem som upptäcks i system från våra leverantörer utanför denna policy och ska rapporteras direkt till leverantören i enlighet med deras policy för offentliggörande (om någon). Om du är osäker på om ett system omfattas eller inte, kontakta oss på security.vdr@ansell.com innan du påbörjar din forskning.

Även om vi utvecklar och underhåller andra system eller tjänster som är tillgängliga via Internet, ber vi att aktiv forskning och testning endast utförs på de system och tjänster som omfattas av detta dokument. Om det finns ett särskilt system som inte ingår i omfattningen och som du anser bör testas, vänligen kontakta oss för att diskutera det först. Vi avser att öka omfattningen av denna policy med tiden.

Rapportering av en sårbarhet

Information som lämnas enligt denna policy kommer endast att användas i defensivt syfte - för att minska eller åtgärda sårbarheter i cybersäkerheten. Vi kommer inte att dela ditt namn eller din kontaktinformation utan uttryckligt tillstånd.

Vi tar emot rapporter om sårbarheter via formuläret nedan eller via security.vdr@ansell.com. Rapporter kan lämnas anonymt. Om du anger kontaktuppgifter kommer vi att bekräfta mottagandet av din rapport inom 3 arbetsdagar.

Vi stöder inte PGP-krypterade e-postmeddelanden. För särskilt känslig information, skicka via vårt HTTPS-webbformulär nedan.

Vad vi vill se från dig

För att hjälpa oss att sortera och prioritera inlämningar rekommenderar vi att dina rapporter:

• Beskriv var sårbarheten i cybersäkerheten upptäcktes och den potentiella effekten av utnyttjandet.
• Ge en detaljerad beskrivning av de steg som krävs för att återskapa sårbarheten (konceptbeskrivningar eller skärmdumpar är till hjälp), inklusive (i tillämpliga fall):
  o Version av mobilapplikation
  o Enhetstyp, version av operativsystem, version av webbläsare
• Om möjligt på engelska.

Vad du kan förvänta dig av oss

När du väljer att dela din kontaktinformation med oss åtar vi oss att samordna med dig så öppet och så snabbt som möjligt.

• Inom 5 arbetsdagar kommer vi att bekräfta att din rapport har tagits emot.
• Vi kommer efter bästa förmåga att bekräfta för dig att det finns en cybersäkerhetsbrist och vara så öppna som möjligt om vilka steg vi tar under åtgärdsprocessen, inklusive om problem eller utmaningar som kan försena lösningen
• Vi kommer att upprätthålla en öppen dialog för att diskutera frågor.
• Genom att rapportera ett säkerhetsproblem eller en sårbarhet ger du oss rätt att använda din rapport för vilket ändamål som helst.

Frågor

Frågor om denna policy kan skickas till security.vdr@ansell.com. Vi uppmanar dig också att kontakta oss med förslag till förbättringar av denna policy.