VALITSE MAA / ALUE

Haavoittuvuuksien paljastamiskäytäntö

Esittely

Ansell on maailmanlaajuinen turvallisuusratkaisujen asiantuntija, joka on keksinyt henkilökohtaisen suojauksen uudelleen 125 vuoden ajan. Tarjoamme edistyksellisimpiä suojausratkaisuja miljoonille ihmisille töissä ja kotona, jotta he pysyvät turvassa. Asiantuntemuksemme, innovatiiviset tuotteemme ja edistyksellinen teknologiamme antavat asiakkaillemme mielenrauhan ja luottamuksen, jota mikään muu tuotemerkki ei pysty tarjoamaan. Ansellin tehtävänä on tarjota innovatiivisia turvallisuusratkaisuja luotettavalla ja luotettavalla tavalla ja luoda Ansellin suojaama maailma.

Tämän käytännön tarkoituksena on antaa tietoturvatutkijoille selkeät ohjeet haavoittuvuuksien löytämiseen ja välittää meille mieltymyksemme siitä, miten löydetyt kyberturvallisuuden haavoittuvuudet toimitetaan meille.

Tässä politiikassa kuvataan, mitkä järjestelmät ja tutkimustyypit kuuluvat tämän politiikan piiriin, miten haavoittuvuusraportit lähetetään meille ja kuinka kauan pyydämme tietoturvatutkijoita odottamaan, ennen kuin he julkistavat kyberturvallisuuden haavoittuvuuden.

Kehotamme sinua ottamaan meihin yhteyttä ja ilmoittamaan kaikista mahdollisista haavoittuvuuksista järjestelmissämme.

Lupa

Jos pyrit vilpittömässä mielessä noudattamaan tätä käytäntöä tietoturvatutkimuksen aikana, pidämme tutkimustasi luvallisena ja työskentelemme kanssasi kyberturvallisuusongelmien ymmärtämiseksi ja ratkaisemiseksi nopeasti, eikä Ansell suosittele tai ryhdy oikeustoimiin tutkimukseen liittyen. Jos kolmas osapuoli ryhtyy oikeustoimiin sinua vastaan tämän politiikan mukaisesti toteutetun toiminnan vuoksi, ilmoitamme tästä luvasta.

Suuntaviivat

  1. Ilmoita uusista, ainutlaatuisista kyberturvallisuuden haavoittuvuuksista: Näin voimme keskittyä korjaamaan meille ja asiakkaillemme merkittävimmät riskit. Älä lähetä suuria määriä heikkolaatuisia/matalan riskin raportteja.
  2. Älä vaaranna järjestelmiä tai poista tietoja: Käytä hyväksikäyttöjä vain siinä määrin kuin on tarpeen kyberturvallisuuden haavoittuvuuden vahvistamiseksi. Kun olet saanut tarpeeksi tietoa tietoturvaongelman osoittamiseksi, älä yritä luoda pysyvyyttä, kohdistaa, luetteloida tai siirtää sisäisiä tietoja, luoda komentorivin käyttöoikeuksia tai käyttää haavoittuvuutta muihin järjestelmiin siirtymiseen. Keskeytä testi ja ilmoita välittömästi vain Ansellille, jos havaitset arkaluonteisia tietoja (mukaan lukien henkilötiedot, taloudelliset tiedot tai minkä tahansa osapuolen teollis- tai tekijänoikeudelliset tiedot tai liikesalaisuudet).
  3. Kunnioita muita: Älä: loukata Ansellin työntekijöiden tai asiakkaiden yksityisyyttä, käyttää tai yrittää käyttää tietoja, jotka eivät kuulu sinulle; aiheuttaa käyttäjäkokemuksen heikkenemistä, tehdä ei-teknisiä hyökkäyksiä (esim. sosiaalinen manipulointi, tietojenkalasteluhyökkäykset tai luvaton pääsy Ansellin infrastruktuuriin ja työntekijöihin) tai suorittaa toimia, jotka voivat vaikuttaa haitallisesti Anselliin tai sen asiakkaisiin; aiheuttaa häiriöitä tuotantojärjestelmiin ja tietojen paljastumista, tuhoutumista tai manipulointia.
  4. Yhteistyö: Tee yhteistyötä kanssamme vain koordinoidun ilmoitusprosessimme kautta heti, kun kyberturvallisuushaavoittuvuus on havaittu. Sähköpostiosoite ja HTTPS-verkkolomake ovat saatavilla alla.
  5. Ilmoita meille (alla olevien ohjeiden mukaisesti) heti, kun havaitset todellisen tai mahdollisen tietoturvaongelman järjestelmässämme. Haluamme puuttua näihin kysymyksiin nopeasti ja pyydämme, että meille ei uhrata ajoissa tehtyä ilmoitusta, kun teillä on esimerkiksi muita tuotteita koskevia lisätutkimuksia.
  6. Anna meille kohtuullinen aika ratkaista ongelma ennen kuin julkistat sen. 90 kalenteripäivää siitä, kun olemme vastaanottaneet ne (ohjelmistot, mukaan lukien pilvipohjaiset järjestelmät ja mobiilisovellukset) tai 120 kalenteripäivää siitä, kun olemme vastaanottaneet ne (laitteistot, laiteohjelmistot ja langattomat laitteet).

Julkisuus

Kuten edellä mainituissa ohjeissa todetaan, pyydämme sinua tämän politiikan noudattamiseksi olemaan jakamatta Ansellia koskevaa raporttiasi muiden kanssa ennen kuin olet lähettänyt sen meille ja sillä välin, kun tutkimme epäiltyä kyberturvallisuushaavoittuvuutta ja työskentelemme mahdollisesti korjauksen tai muiden ratkaisujen parissa. Ota kaikki Anselliin liittyvät kysymykset esille kanssamme ennen ilmoituksen tekemistä.

Ilmoitamme sinulle, kun olemme saaneet tuloksemme valmiiksi sen jälkeen, kun tietoturva-aukko on korjattu. Tämän politiikan noudattamiseksi edellytämme, että linkität Ansellin havainnot omien havaintojesi ohella kaikkiin blogikirjoituksiin, julkisiin raportteihin, esityksiin tai muihin asiaa koskeviin julkisiin lausuntoihin. Emme julkaise tietoja sinusta tai yhteydenpidostamme kanssasi ilman lupaasi, lukuun ottamatta mahdollista yleistä aikajanaa, joka koskee haavoittuvuutta, josta kerroit meille. Jos haluat, että sinut tunnistetaan, kiitämme sinua nimellä tai nimimerkillä neuvonnassamme. Ansell ei anna Ansellin ja sen tytäryhtiöiden työntekijöille tai alihankkijoille luottoa löytämistään haavoittuvuuksista.

Siltä osin kuin tässä käytännössämme viitataan "haavoittuvuuteen" tai "haavoittuvuuksiin", tarkoitamme ja ymmärrämme, että kaikki tällaiset viittaukset tarkoittavat potentiaalisia tai epäiltyjä kyberturvallisuuden haavoittuvuuksia, riippumatta siitä, onko ne mainittu vai ei, kunnes Ansell on tutkinut ja vahvistanut tällaisen haavoittuvuuden. Se, tunnustetaanko haavoittuvuuden paljastaminen ja tunnustamisen ajankohta, on täysin meidän harkintamme mukaan, ja voimme peruuttaa ohjelman milloin tahansa. Testauksesi ei saa rikkoa mitään lakeja.

Testimenetelmät

Seuraavia testimenetelmiä ei hyväksytä:

  • DoS- tai DDoS-testit tai muut testit, jotka haittaavat pääsyä järjestelmään tai tietoihin tai vahingoittavat niitä.
  • Fyysinen testaus (esim. toimistoon pääsy, avoimet ovet, salakatselu), sosiaalinen manipulointi (esim. phishing, vishing) tai muu ei-tekninen haavoittuvuustestaus.

Laajuus

Tätä käytäntöä sovelletaan seuraaviin järjestelmiin ja palveluihin:

Kaikki asiakashakemukset eivät kuulu tämän politiikan piiriin.

Soveltamisalan ulkopuoliset haavoittuvuudet

Kun ilmoitat haavoittuvuuksista, ota huomioon (1) hyökkäysskenaario/hyödynnettävyys ja (2) vian turvallisuusvaikutus. Seuraavien asioiden katsotaan olevan soveltamisalan ulkopuolella:

  • Klikkaushyökkäys sivuilla, joilla ei ole arkaluonteisia toimintoja
  • CSRF (Cross-Site Request Forgery) auktorisoimattomilla lomakkeilla tai lomakkeilla, joissa ei ole arkaluonteisia toimintoja.
  • Hyökkäykset, jotka edellyttävät MITM-menetelmää tai fyysistä pääsyä käyttäjän laitteeseen.
  • Aiemmin tunnetut haavoittuvat kirjastot, joilla ei ole toimivaa konseptitestiä
  • CSV (Comma Separated Values) -injektio osoittamatta haavoittuvuutta.
  • SSL/TLS-konfiguraation parhaiden käytäntöjen puuttuminen.
  • Mikä tahansa toiminta, joka voi johtaa palvelumme keskeyttämiseen (DoS).
  • Sisällön väärentämiseen ja tekstin injektioon liittyvät ongelmat ilman, että hyökkäysvektoria näytetään tai HTML/CSS:ää pystytään muuttamaan.
  • Nopeuden rajoittaminen tai brute-force-ongelmat muissa kuin todennuspäätepisteissä.
  • Sisällön suojauskäytännöstä puuttuvat parhaat käytännöt
  • Evästeistä puuttuvat Http Only tai Secure -liput
  • Puuttuvat sähköpostin parhaat käytännöt (virheelliset, epätäydelliset tai puuttuvat SPF/DKIM/DMARC-tietueet jne.).
  • Haavoittuvuudet, jotka vaikuttavat vain vanhentuneiden tai korjaamattomien selainten käyttäjiin [alle 2 vakaa versiota viimeisintä julkaistua vakaata versiota jäljessä].
  • Ohjelmistoversion paljastaminen / Bannerin tunnistamiseen liittyvät ongelmat / Kuvailevat virheilmoitukset tai otsikot (esim. pinojäljet, sovelluksen tai palvelimen virheet).
  • Tabnabbing
  • Avoin uudelleenohjaus - paitsi jos voidaan osoittaa, että sillä on ylimääräinen turvallisuusvaikutus.
  • Asiat, jotka edellyttävät epätodennäköistä käyttäjän vuorovaikutusta

Kaikki palvelut, joita ei ole nimenomaisesti lueteltu edellä, kuten liitännäispalvelut, eivät kuulu soveltamisalaan, eikä niitä saa testata. Lisäksi toimittajiemme järjestelmissä havaitut kyberturvallisuushaavoittuvuudet eivät kuulu tämän politiikan soveltamisalaan, vaan niistä on ilmoitettava suoraan toimittajalle tämän mahdollisen tiedonantokäytännön mukaisesti. Jos et ole varma, kuuluuko jokin järjestelmä soveltamisalaan vai ei, ota yhteyttä osoitteeseen security.vdr@ansell.com ennen tutkimuksen aloittamista.

Vaikka kehitämme ja ylläpidämme muitakin internetin kautta käytettäviä järjestelmiä ja palveluja, pyydämme, että aktiivista tutkimusta ja testausta tehdään vain tämän asiakirjan soveltamisalaan kuuluvissa järjestelmissä ja palveluissa. Jos on olemassa jokin tietty järjestelmä, joka ei kuulu soveltamisalaan ja joka mielestäsi ansaitsee testauksen, ota meihin yhteyttä, niin keskustellaan siitä ensin. Aiomme laajentaa tämän politiikan soveltamisalaa ajan myötä.

Haavoittuvuudesta ilmoittaminen

Tämän käytännön mukaisesti toimitettuja tietoja käytetään ainoastaan puolustustarkoituksiin - kyberturvallisuuden haavoittuvuuksien lieventämiseen tai korjaamiseen. Emme jaa nimeäsi tai yhteystietojasi ilman nimenomaista lupaa.

Otamme vastaan haavoittuvuusilmoituksia alla olevalla lomakkeella tai osoitteessa security.vdr@ansell.com. Ilmoitukset voidaan tehdä nimettöminä. Jos jaat yhteystietosi, ilmoitamme vastaanottaneemme raporttisi 3 työpäivän kuluessa.

Emme tue PGP-salattuja sähköposteja. Erityisen arkaluonteiset tiedot voit lähettää alla olevan HTTPS-lomakkeemme kautta.

Mitä haluaisimme nähdä sinulta

Jotta voimme helpommin luokitella ja priorisoida lähetetyt aineistot, suosittelemme, että raporttisi:

  • Kuvaile, missä kyberturvallisuuden haavoittuvuus havaittiin ja mitä vaikutuksia sen hyödyntämisellä voi olla.
  • Tarjoa yksityiskohtainen kuvaus vaiheista, joita tarvitaan kyberturvallisuushaavoittuvuuden jäljentämiseen (konseptin todisteena käytettävät skriptit tai kuvakaappaukset ovat hyödyllisiä), mukaan luettuna (soveltuvin osin):
    o Mobiilisovelluksen versio
    o Laitteen tyyppi, käyttöjärjestelmän versio, selaimen versio.
  • Mahdollisuuksien mukaan englanniksi.

Mitä voit odottaa meiltä

Kun päätät jakaa yhteystietosi kanssamme, sitoudumme koordinoimaan kanssasi mahdollisimman avoimesti ja nopeasti.

  • Ilmoitamme 5 arkipäivän kuluessa, että raporttisi on vastaanotettu.
  • Vahvistamme parhaan kykymme mukaan kyberturvallisuushaavoittuvuuden olemassaolon sinulle ja kerromme mahdollisimman avoimesti, mihin toimenpiteisiin ryhdymme korjaamisprosessin aikana, mukaan lukien ongelmat tai haasteet, jotka saattavat viivästyttää ratkaisua.
  • Pidämme yllä avointa vuoropuhelua keskustellaksemme asioista.
  • Ilmoittamalla tietoturvaongelmasta tai haavoittuvuudesta annat meille oikeuden käyttää raporttiasi mihin tahansa tarkoitukseen.

Kysymykset

Tätä politiikkaa koskevat kysymykset voi lähettää osoitteeseen security.vdr@ansell.com. Pyydämme sinua myös ottamaan meihin yhteyttä ja esittämään ehdotuksia tämän politiikan parantamiseksi.


lähettää haavoittuvuusraportteja

Liity keskusteluun