Spoločnosť HDS, a.s. (ďalej len HDS) dodržiava osvedčené postupy v oblasti riadenia a reakcie na bezpečnostné zraniteľnosti objavené v našich produktoch. Neexistuje však žiadny spôsob, ako zaručiť, že výrobky a služby dodávané spoločnosťou HDS sú úplne bez zraniteľných miest. To nie je jedinečné pre HDS, ale skôr všeobecná podmienka pre všetky softvér a služby. Čo môže spoločnosť HDS zaručiť, je, že v každej fáze vývoja vynaložíme spoločné úsilie na identifikáciu a zmiernenie potenciálnych zraniteľností, čím minimalizujeme riziko spojené s nasadením produktov a služieb spoločnosti HDS v prostredí zákazníkov. Spoločnosť HDS uznáva, že určité štandardné sieťové protokoly a služby môžu mať inherentné nedostatky, ktoré by sa mohli využiť. Zatiaľ čo spoločnosť HDS nepreberá zodpovednosť za tieto protokoly a služby, poskytujeme odporúčania, ako znížiť riziká súvisiace s vašimi produktmi, softvérom a službami spoločnosti HDS.
Rozsah pôsobnosti
Politika riadenia zraniteľnosti opísaná v tomto dokumente sa vzťahuje na všetky produkty ULTRA, HDS a softvér Molekula.
Záväzok
Spoločnosť HDS oceňuje a podporuje úsilie výskumníkov pri identifikácii a hlásení zraniteľností v produktoch, softvéri a službách spoločnosti HDS. Posunutím zodpovedného procesu zverejňovania bude tím HDS Cyber Security podľa svojich najlepších schopností rešpektovať záujem výskumníka prostredníctvom vzájomnej spolupráce a transparentnosti počas celého procesu zverejňovania.
Spoločnosť HDS očakáva, že výskumníci nezverejnia zraniteľnosti pred 90-dňovým alebo vzájomne dohodnutým dátumom a vykonajú výskum zraniteľnosti v rámci právnych hraníc, ktoré by nespôsobili ujmu, neodhalili súkromie ani neohrozili bezpečnosť spoločnosti HDS a jej partnerov a zákazníkov.
Riadenie zraniteľnosti
HDS používa rovnakú klasifikáciu pre komponenty s otvoreným zdrojovým kódom tretích strán a zraniteľnosti špecifické pre HDS. Zraniteľnosti sú hodnotené pomocou bežne známeho systému spoločného hodnotenia zraniteľnosti (CVSS). Pokiaľ ide o zraniteľnosti s otvoreným zdrojovým kódom, spoločnosť HDS môže posúdiť zraniteľnosť podľa svojho významu z hľadiska spôsobu, akým spoločnosť HDS odporúča nasadzovať svoje produkty, softvér a služby. Bezpečnostné poradenstvo sa zvyčajne poskytuje len pre zraniteľnosti špecifické pre HDS. V nasledujúcej časti sa opisuje prioritizácia v prípade posúdenia zraniteľnosti a je oprávnená na opravu:
CVSS v4.0 vysoký/kritický (7.0 – 10.0)
Cieľom spoločnosti HDS je vyriešiť zraniteľnosť najneskôr 4 týždne po externom zverejnení. V prípade komponentov s otvoreným zdrojovým kódom je čas dodania zvyčajne dlhší, pretože to závisí od externých strán, pokiaľ ide o informácie, záplaty a/alebo overenie. Vyriešenie zraniteľnosti buď zahŕňa opravu softvéru alebo zmiernenie zraniteľnosti zablokovaním postihnutého komponentu alebo funkčnosti.
CVSS v4.0 nízke/stredné (0.1 – 6.9)
Nízka/stredná zraniteľnosť zvyčajne má menej významné dôsledky pre bezpečnosť výrobku, pretože buď vyžadujú privilegovaný prístup k zariadeniu, alebo majú obmedzený vplyv na dôvernosť, integritu alebo dostupnosť. Preto môže HDS vyriešiť zraniteľnosť nakoniec ako súčasť nadchádzajúceho plánovaného vydania, ak sa to považuje za potrebné. V prípade komponentov s otvoreným zdrojovým kódom je čas dodania zvyčajne dlhší, pretože to závisí od externých strán, pokiaľ ide o informácie, záplaty a/alebo overenie. Vyriešenie zraniteľnosti buď zahŕňa opravu softvéru alebo zmiernenie zraniteľnosti zablokovaním postihnutého komponentu alebo funkčnosti.
Podporovaný softvér/služby
Fáza podpory softvéru / služby HDS je definovaná prostredníctvom spoločného procesu životného cyklu softvéru. Softvér/služby spoločnosti HDS sa zvyčajne podporujú tri roky po oznámení ukončenia vývoja.
Zatiaľ čo v tejto fáze sa softvér/služby spoločnosti HDS považujú za podporované, až kým nedosiahnu fázu ukončenia podpory služieb.
Podporované produkty
Podpora produktu HDS je definovaná prostredníctvom bežného procesu životného cyklu hardvérového produktu. Výrobky HDS sa považujú za podporované, až kým nedosiahnu produkt ukončený. Iba fáza podpory online
Informácie o skutočnom stave produktov HDS je možné získať na príslušnej stránke produktu HDS na www.hds.sk.
Hlásenie zraniteľností
HDS pracuje nepretržite na identifikácii a obmedzovaní rizika spojeného so zraniteľnosťami v našej ponuke. Ak však identifikujete bezpečnostnú zraniteľnosť spojenú s produktom, softvérom alebo službou spoločnosti HDS, vyzývame vás, aby ste problém okamžite nahlásili. Včasné nahlasovanie bezpečnostných zraniteľností je rozhodujúce pre zníženie pravdepodobnosti, že môžu byť zneužité v praxi. Bezpečnostné zraniteľnosti súvisiace s otvorenými softvérovými komponentmi by sa mali riešiť priamo zodpovednému subjektu.
Koncoví používatelia, partneri, predajcovia, priemyselné skupiny a nezávislí výskumníci, ktorí identifikovali potenciálnu zraniteľnosť, sa vyzývajú, aby predložili svoje zistenia prostredníctvom tohto formulára. Predložená správa by mala obsahovať:
- Technické informácie o potenciálnej zraniteľnosti.
- Kroky na reprodukciu.
- Odhadované hodnotenie skóre CVSS v4.0 a výsledný vektorový reťazec.
- Návrh na nápravu.
- Vlastná politika zverejňovania zraniteľností výskumníka, ak je k dispozícii.
Nasledujúce reakčné časy z HDS možno očakávať:
- Čas do prvej odpovede do 2 pracovných dní po obdržaní pôvodného podania.
- Čas na triedenie (od času do prvej odpovede) do 10 pracovných dní.
Zverejňovanie zraniteľných miest
Akonáhle bolo oznámené zistenie vyšetrené a potvrdené ako legitímna zraniteľnosť, HDS priradí CVE ID a začne zodpovedný proces zverejňovania. Spoločnosť HDS sa snaží spolupracovať s výskumníkmi v oblasti bezpečnosti na ďalších podrobnostiach, ako je skóre CVSS v4.0, obsah bezpečnostných odporúčaní a/alebo tlačových správ (ak je to vhodné) a súhlasí s dátumom externého zverejnenia.
HDS nasleduje po štruktúrovanom štvrťročnom cykle zverejňovania CVE, ktorý sa uskutoční v druhý utorok vo februári, máji, auguste a novembri. Tento harmonogram slúži ako štandardné okno pre verejné zverejnenie validovaných zraniteľností, ktoré zahŕňajú predloženie ID CVE MITRE a zverejnenie bezpečnostného poradenstva alebo tlačovej správy pre dotknuté produkty a služby spoločnosti HDS. Zverejnenia mimo pásma sa môžu uskutočniť, ak sa to považuje za potrebné. Zverejnenia sa robia len vtedy, keď existujú CVE na zverejnenie.
Mimo rozsahu zraniteľnosti
Niektoré zraniteľnosti sú mimo rozsahu pôsobnosti pre politiku riadenia zraniteľnosti HDS. Na product.security@hds.sk nepredkladajte správy o zraniteľných miestach mimo rozsahu v zozname nižšie.
- Zraniteľnosti DLL-hijacking / DLL-sideloading v softvérových aplikáciách HDS, ktoré sú spustené v systéme Microsoft Windows OS. Ďalšie informácie nájdete v nasledujúcom článku.
- Zraniteľnosti vyžadujúce vysoké privilégiá a/alebo sociálne inžinierstvo, ktoré sa začínajú/vykonávajú s prístupom root/správcov a/alebo vyžadujú komplexné interakcie používateľov.
- Subdomény prevzatia, ako je získanie kontroly nad hostiteľom, ktorý poukazuje na službu, ktorá sa v súčasnosti nepoužíva.
- Nesprávne konfigurácie používateľov, ktorým sa dalo zabrániť dodržiavaním príručiek HDS:
- Zraniteľnosti v obsahu alebo aplikáciách vytvorených používateľmi alebo partnermi tretích strán, ktoré je možné nahrať a spustiť na zariadeniach HDS.
- Zraniteľnosti krížového vyhľadávania (CSRF) alebo skriptovania na viacerých miestach (XSS), ktoré oklamú používateľa pri prístupe k škodlivej webovej stránke alebo kliknutím na skrytý odkaz pri prístupe k webovému rozhraniu zariadení HDS.
- Akýkoľvek útok typu DoS, príklady z nich sú:
- Vyčerpanie zdrojov zariadenia prostredníctvom normálneho používania API s modifikovanými parametrami.
- Vyčerpanie zdrojov vďaka vysokofrekvenčným volaniam API.
- Vyčerpanie zdrojov pomocou pomalých útokov.
- Zraniteľnosti tretích strán s otvoreným zdrojovým kódom, ktoré sú registrované v CVE ID umiestnené v softvérových komponentoch alebo balíkoch používaných v produktoch, softvéri alebo službách spoločnosti HDS. Bežnými príkladmi takýchto softvérových komponentov sú Linux Kernel, OpenSSL, Apache a ďalšie.
- Chýbajúce bezpečnostné hlavičky HTTP (S), ako napríklad X-Frame-Options.
- Správy o zraniteľnosti generované sieťovými bezpečnostnými skenermi tretích strán.
- Nepodporované produkty/softvér/služby, ktoré sa dostali do fázy „Ukončenému produktu. Iba online podpora“.
- Nahlásené problémy, ktoré jasne nezdokumentujú skutočný, zneužiteľný problém s bezpečnostným vplyvom. Napríklad nesprávne zlučiteľné chyby na úrovni aplikácie a kódy odpovedí HTTP pri vykonávaní rozhrania API fuzzing.
Bezpečnostná notifikačná služba
Spoločnosť HDS uverejňuje usmernenia, bezpečnostné odporúčania a vyhlásenia o politike riadenia zraniteľnosti spoločnosti HDS. Okrem toho je možné získať informácie prihlásením sa k bezpečnostnej oznamovacej službe HDS v bezpečnostnej notifikačnej službe.
Oznámenia sa posielajú pre zraniteľnosti špecifické pre HDS bez ohľadu na ich skóre CVSS v4.0.
Nahlásiť zraniteľnosť
Ak ste objavili novú zraniteľnosť v niektorom z našich produktov alebo služieb, odporúčame vám, aby ste nám tento nález nahlásili.