Skip to Content
Go back
BAS-IP / Πολιτική ασφαλείας

Πολιτική αποκάλυψης ευπαθειών

Γενικές Πληροφορίες

Η BAS-IP ακολουθεί τις κορυφαίες πρακτικές του κλάδου στη διαχείριση και ανταπόκριση σε θέματα ευπάθειας ασφαλείας που ανακαλύπτονται στα προϊόντα μας. Είναι αδύνατο να εγγυηθούμε ότι τα προϊόντα και οι υπηρεσίες που παρέχονται από την εταιρεία μας είναι εντελώς απαλλαγμένα από ευπάθειες. Αυτό δεν είναι ένα μοναδικό χαρακτηριστικό, αλλά μάλλον μια κοινή συνθήκη για όλα τα λογισμικά και τις υπηρεσίες, αλλά μπορούμε να εγγυηθούμε ότι σε όλα τα στάδια ανάπτυξης, θα καταβάλλουμε προσπάθειες για τον εντοπισμό και την εξάλειψη πιθανών ευπαθειών, μειώνοντας έτσι τον κίνδυνο που σχετίζεται με την ανάπτυξη προϊόντων και υπηρεσιών BAS-IP σε περιβάλλοντα πελατών.

Η BAS-IP αναγνωρίζει ότι ορισμένα τυπικά πρωτόκολλα και υπηρεσίες δικτύου ενδέχεται να έχουν εγγενείς αδυναμίες που μπορούν να αξιοποιηθούν. Αν και η BAS-IP δεν είναι υπεύθυνη για αυτά τα πρωτόκολλα και τις υπηρεσίες, παρέχουμε συστάσεις για τη μείωση των κινδύνων που σχετίζονται με τα προϊόντα, το λογισμικό και τις υπηρεσίες BAS-IP, υπό τη μορφή διαφόρων οδηγών.

Τι καλύπτει η Πολιτική

Η πολιτική διαχείρισης ευπαθειών που περιγράφεται σε αυτό το έγγραφο ισχύει για όλα τα προϊόντα, λογισμικά και υπηρεσίες υπό την επωνυμία BAS-IP.

Τι δεν καλύπτει η Πολιτική

Ορισμένες ευπάθειες δεν καλύπτονται από την πολιτική διαχείρισης ευπαθειών της BAS-IP. Παρακαλούμε μην στέλνετε αναφορές ευπαθειών που δεν καλύπτονται από την πολιτική διαχείρισης ευπαθειών στη διεύθυνση [email protected]:

  • Ευπάθειες που απαιτούν υψηλά προνόμια και/ή κοινωνική μηχανική και οι οποίες ενεργοποιούνται/εκτελούνται με πρόσβαση root/administrator και/ή απαιτούν πολύπλοκη αλληλεπίδραση χρήστη
  • Κατάληψη υποτομέα (Subdomain takeover), για παράδειγμα, απόκτηση ελέγχου σε έναν κόμβο που παραπέμπει σε μια υπηρεσία που δεν χρησιμοποιείται επί του παρόντος
  • Λανθασμένες διαμορφώσεις χρήστη που μπορούν να αποφευχθούν ακολουθώντας τους οδηγούς της BAS-IP
  • Ευπάθειες σε περιεχόμενο ή εφαρμογές που έχουν δημιουργηθεί από τρίτους χρήστες ή συνεργάτες, όπως εφαρμογές που μπορούν να ληφθούν και να εκτελεστούν σε συσκευές BAS-IP
  • Ευπάθειες Cross-Site Request Forgery (CSRF) ή Cross-Site Scripting (XSS) που εξαπατούν τον χρήστη να επισκεφθεί έναν κακόβουλο ιστότοπο ή να κάνει κλικ σε έναν μεταμφιεσμένο σύνδεσμο κατά την πρόσβαση στη διεπαφή ιστού των συσκευών BAS-IP
  • Ευπάθειες ανοιχτού κώδικα τρίτων που έχουν καταχωριστεί με αναγνωριστικό CVE και βρίσκονται σε στοιχεία λογισμικού ή πακέτα που χρησιμοποιούνται σε προϊόντα, λογισμικό ή υπηρεσίες BAS-IP. Κοινά παραδείγματα τέτοιων στοιχείων λογισμικού περιλαμβάνουν τον πυρήνα Linux, το OpenSSL, το AOSP και άλλα
  • Έλλειψη κεφαλίδων ασφαλείας HTTP(S), όπως το X-Frame-Options
  • Αναφορές ευπαθειών που δημιουργούνται από σαρωτές ασφαλείας δικτύου τρίτων
  • Μη υποστηριζόμενα προϊόντα/λογισμικό/υπηρεσίες
  • Δοκιμές άρνησης εξυπηρέτησης δικτύου (DoS ή DDoS) ή άλλες δοκιμές που διακόπτουν την πρόσβαση στο σύστημα ή στα δεδομένα ή προκαλούν ζημιά σε αυτά

Υποχρεώσεις

Η BAS-IP εκτιμά και ενθαρρύνει τις προσπάθειες των ερευνητών στον εντοπισμό και την αναφορά ευπαθειών στα προϊόντα, το λογισμικό και τις υπηρεσίες BAS-IP. Ακολουθώντας τη διαδικασία υπεύθυνης αποκάλυψης, η ομάδα ασφάλειας προϊόντων της BAS-IP θα σέβεται, στο μέτρο του δυνατού, τα συμφέροντα των ερευνητών μέσω αμοιβαίας συνεργασίας και διαφάνειας καθ’ όλη τη διάρκεια της διαδικασίας αποκάλυψης.

Η Εταιρεία BAS-IP αναμένει ότι οι ερευνητές δεν θα αποκαλύψουν τις ευπάθειες έως τη λήξη της περιόδου των 90 ημερών ή μιας αμοιβαία συμφωνημένης ημερομηνίας και θα διεξάγουν την έρευνα ευπάθειας εντός των νόμιμων ορίων, χωρίς να προκαλέσουν ζημιά, να αποκαλύψουν εμπιστευτικότητα ή να θέσουν σε κίνδυνο την ασφάλεια της Εταιρείας BAS-IP, των συνεργατών και των πελατών της.

Vulnerability Management

Διαχείριση Ευπαθειών

Η Εταιρεία BAS-IP αξιολογεί τις ευπάθειες χρησιμοποιώντας το ευρέως γνωστό σύστημα αξιολόγησης CVSS.

Όσον αφορά τις ευπάθειες στοιχείων ανοιχτού κώδικα, η BAS-IP μπορεί να αξιολογήσει την ευπάθεια ανάλογα με τη σημασία της στο πλαίσιο του τρόπου με τον οποίο η BAS-IP συνιστά την υλοποίηση των προϊόντων, του λογισμικού και των υπηρεσιών της. Οι διαβουλεύσεις ασφαλείας παρέχονται συνήθως μόνο για ευπάθειες που είναι ειδικές για την BAS-IP.

Κατανομή προτεραιότητας όταν μια ευπάθεια έχει αξιολογηθεί και υπόκειται σε αποκατάσταση:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    Η BAS-IP προσπαθεί να αποκαταστήσει την ευπάθεια πριν ή εντός 4 εβδομάδων μετά την εξωτερική αποκάλυψη. Για στοιχεία ανοιχτού κώδικα, το χρονικό πλαίσιο είναι συνήθως μεγαλύτερο, καθώς η BAS-IP εξαρτάται από εξωτερικούς φορείς για πληροφορίες, διορθώσεις ή/και επαλήθευση
  • CVSS 3.1 medium (4.0 – 6.9)
    Η BAS-IP στοχεύει στην αποκατάσταση της ευπάθειας, συνήθως εντός 2-3 μηνών
  • CVSS 3.1 low (0.1 – 3.9)
    Η BAS-IP σχεδιάζει να αποκαταστήσει την ευπάθεια στην επόμενη προγραμματισμένη έκδοση
  • Υποστηριζόμενο λογισμικό/υπηρεσίες
    Το στάδιο υποστήριξης του λογισμικού/υπηρεσιών BAS-IP καθορίζεται εντός της συνολικής διαδικασίας κύκλου ζωής του λογισμικού. Το λογισμικό/υπηρεσίες BAS-IP υποστηρίζονται συνήθως για 1 χρόνο μετά την ανακοίνωση του τέλους του κύκλου ζωής (end-of-life).

Αναφορά Ευπάθειας

Η BAS-IP εργάζεται συνεχώς για τον εντοπισμό και τον μετριασμό των κινδύνων που σχετίζονται με τις ευπάθειες στα προϊόντα μας. Ωστόσο, εάν έχετε ανακαλύψει μια ευπάθεια του συστήματος ασφαλείας που σχετίζεται με ένα προϊόν, λογισμικό ή υπηρεσία της BAS-IP, συνιστούμε ανεπιφύλακτα να αναφέρετε το ζήτημα αμέσως. Η έγκαιρη αναφορά των ευπαθειών του συστήματος ασφαλείας είναι ζωτικής σημασίας για τη μείωση της πιθανότητας πρακτικής χρήσης τους. Οι ευπάθειες ασφαλείας που σχετίζονται με στοιχεία λογισμικού ανοιχτού κώδικα πρέπει να αναφέρονται απευθείας στον αρμόδιο οργανισμό.

Οι τελικοί χρήστες, οι συνεργάτες, οι προμηθευτές, οι βιομηχανικοί όμιλοι και οι ανεξάρτητοι ερευνητές που έχουν ανακαλύψει μια πιθανή ευπάθεια ενθαρρύνονται να αναφέρουν τα ευρήματά τους στη διεύθυνση [email protected] ή συμπληρώνοντας μια ανώνυμη φόρμα.

Η υποβληθείσα αναφορά πρέπει να περιλαμβάνει:

  • Τεχνικές πληροφορίες σχετικά με την πιθανή ευπάθεια
  • Βήματα αναπαραγωγής
  • Εκτιμώμενη επίπτωση και σοβαρότητα σε περίπτωση αξιοποίησης σύμφωνα με το CVSS 3.1
  • Την πολιτική αποκάλυψης ευπαθειών του ερευνητή, εάν υπάρχει

Μπορείτε να περιμένετε τα ακόλουθα από την Εταιρεία BAS-IP:

  • Χρόνος για την πρώτη απάντηση — εντός 3 εργάσιμων ημερών από τη λήψη του αρχικού μηνύματος
  • Χρόνος επεξεργασίας (από τη στιγμή λήψης της πρώτης απάντησης) — εντός 10 εργάσιμων ημερών
  • Θα είμαστε όσο το δυνατόν πιο διαφανείς σχετικά με τα βήματα που ακολουθούμε στη διαδικασία αποκατάστασης, συμπεριλαμβανομένων ερωτήσεων και ζητημάτων που ενδέχεται να καθυστερήσουν τη λύση
  • Θα διατηρήσουμε έναν ανοιχτό διάλογο για να συζητήσουμε τα ζητήματα

Αποκάλυψη Ευπάθειας

Μόλις εξεταστεί η αναφορά μιας ανακαλυφθείσας ευπάθειας και επιβεβαιωθεί ως γνήσια, η BAS-IP ξεκινά τη διαδικασία υπεύθυνης αποκάλυψης. Η BAS-IP προσπαθεί να συνεργαστεί με τον ερευνητή σχετικά με περαιτέρω λεπτομέρειες, όπως η αξιολόγηση CVSS 3.1, το περιεχόμενο της σύστασης ασφαλείας ή/και των δελτίων τύπου (εάν ισχύει) και η ημερομηνία εξωτερικής αποκάλυψης.

Μετά από συμφωνία μεταξύ της Εταιρείας BAS-IP και του ερευνητή, η ευπάθεια θα αποκαλυφθεί για εξωτερικούς σκοπούς μέσω της δημοσίευσης συστάσεων ασφαλείας ή/και δελτίου τύπου από την Εταιρεία BAS-IP.

Ιστορικό Αλλαγών Εγγράφου

ΈκδοσηΗμερομηνίαΠεριγραφή
1.015.02.2024Πρώτη έκδοση