Skip to Content
Go back
BAS-IP / Tietoturvakäytäntö

Haavoittuvuuksien julkistamiskäytäntö

Yleistä tietoa

BAS-IP noudattaa alan johtavia käytäntöjä tuotteissamme havaittujen tietoturva-aukkojen hallinnassa ja niihin reagoimisessa. On mahdotonta taata, että yrityksemme tarjoamat tuotteet ja palvelut ovat täysin vapaita haavoittuvuuksista. Tämä ei ole ainutlaatuinen piirre, vaan pikemminkin yleinen ehto kaikille ohjelmistoille ja palveluille, mutta voimme taata, että pyrimme kaikissa kehitysvaiheissa tunnistamaan ja poistamaan mahdolliset haavoittuvuudet, vähentäen siten riskiä, joka liittyy BAS-IP-tuotteiden ja -palveluiden käyttöönottoon asiakasympäristöissä.

BAS-IP tunnistaa, että joillakin standardeilla verkkoprotokollilla ja palveluilla voi olla luontaisia heikkouksia, joita voidaan hyödyntää. Vaikka BAS-IP ei ole vastuussa näistä protokollista ja palveluista, annamme suosituksia BAS-IP-tuotteisiin, -ohjelmistoihin ja -palveluihin liittyvien riskien vähentämiseksi erilaisten oppaiden muodossa.

Mitä käytäntö kattaa

Tässä asiakirjassa kuvattu haavoittuvuuksien hallintaa koskeva käytäntö koskee kaikkia BAS-IP-tuotemerkin alaisia tuotteita, ohjelmistoja ja palveluita.

Mitä käytäntö ei kata

Jotkin haavoittuvuudet eivät kuulu BAS-IP:n haavoittuvuuksien hallintaa koskevan käytännön piiriin. Älä lähetä haavoittuvuusraportteja, jotka eivät kuulu haavoittuvuuksien hallintaa koskevan käytännön piiriin, osoitteeseen [email protected]:

  • Haavoittuvuudet, jotka vaativat korkeita käyttöoikeuksia ja/tai sosiaalista manipulointia ja jotka laukeavat/toteutetaan root/järjestelmänvalvojan pääsyllä ja/tai vaativat monimutkaista käyttäjän vuorovaikutusta
  • Alidomainin haltuunotto (Subdomain takeover), esimerkiksi hallinnan saaminen solmuun, joka osoittaa tällä hetkellä käyttämättömään palveluun
  • Virheelliset käyttäjäkonfiguraatiot, jotka voidaan estää noudattamalla BAS-IP-oppaita
  • Haavoittuvuudet sisällössä tai sovelluksissa, jotka on luonut kolmannen osapuolen käyttäjät tai kumppanit, kuten sovellukset, jotka voidaan ladata ja suorittaa BAS-IP-laitteilla
  • Cross-Site Request Forgery (CSRF) tai Cross-Site Scripting (XSS) haavoittuvuudet, jotka huijaavat käyttäjän vierailemaan haitallisella verkkosivustolla tai napsauttamaan naamioitua linkkiä, kun hän käyttää BAS-IP-laitteiden verkkokäyttöliittymää
  • Kolmannen osapuolen avoimen lähdekoodin haavoittuvuudet, jotka on rekisteröity CVE-tunnisteella ja jotka sijaitsevat BAS-IP-tuotteissa, -ohjelmistoissa tai -palveluissa käytetyissä ohjelmistokomponenteissa tai paketeissa. Yleisiä esimerkkejä tällaisista ohjelmistokomponenteista ovat Linux-ydin, OpenSSL, AOSP ja muut
  • HTTP(S) -tietoturvaotsikoiden puute, kuten X-Frame-Options
  • Haavoittuvuusraportit, jotka on luotu kolmannen osapuolen verkkoturvaskannereilla
  • Tukemattomat tuotteet/ohjelmistot/palvelut
  • Verkon palvelunestotestit (DoS tai DDoS) tai muut testit, jotka häiritsevät pääsyä järjestelmään tai tietoihin tai aiheuttavat niille vahinkoa

Velvollisuudet

BAS-IP arvostaa ja kannustaa tutkijoiden pyrkimyksiä tunnistaa ja raportoida haavoittuvuuksia BAS-IP-tuotteissa, -ohjelmistoissa ja -palveluissa. Noudattaen vastuullisen julkistamisen prosessia, BAS-IP:n tuoteturvallisuustiimi kunnioittaa parhaan kykynsä mukaan tutkijoiden etuja molemminpuolisen yhteistyön ja avoimuuden kautta koko julkistamisprosessin ajan.

BAS-IP Company odottaa, että tutkijat eivät paljasta haavoittuvuuksia ennen 90 päivän jakson päättymistä tai molemminpuolisesti sovittua päivämäärää ja suorittavat haavoittuvuustutkimuksen lain sallimissa rajoissa, aiheuttamatta haittaa, paljastamatta luottamuksellisuutta tai vaarantamatta BAS-IP Companyn, sen kumppaneiden ja asiakkaiden turvallisuutta.

Haavoittuvuuksien hallinta

BAS-IP Company arvioi haavoittuvuudet käyttämällä tunnettua CVSS-luokitusjärjestelmää.

Avoimen lähdekoodin komponenttien haavoittuvuuksien osalta BAS-IP voi arvioida haavoittuvuuden sen merkityksen mukaan siinä yhteydessä, miten BAS-IP suosittelee tuotteidensa, ohjelmistojensa ja palveluidensa toteuttamista. Turvallisuuskonsultaatioita tarjotaan yleensä vain BAS-IP:lle ominaisille haavoittuvuuksille.

Prioriteettijakauma, kun haavoittuvuus on arvioitu ja siihen sovelletaan korjausta:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP pyrkii korjaamaan haavoittuvuuden ennen ulkoista julkistamista tai 4 viikon kuluessa siitä. Avoimen lähdekoodin komponenttien osalta aikataulu on yleensä pidempi, koska BAS-IP on riippuvainen ulkoisista tahoista tiedoista, korjauksista ja/tai varmennuksesta
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP pyrkii korjaamaan haavoittuvuuden, tyypillisesti 2-3 kuukauden kuluessa
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP suunnittelee korjaavansa haavoittuvuuden seuraavassa aikataulutetussa julkaisussa
  • Tuetut ohjelmistot/palvelut
    BAS-IP-ohjelmistojen/palveluiden tukivaihe määritellään yleisessä ohjelmiston elinkaariprosessissa. BAS-IP-ohjelmistoja/palveluita tuetaan yleensä 1 vuosi sen jälkeen, kun elinkaaren päättymisestä (end-of-life) on ilmoitettu.

Haavoittuvuuden raportointi

BAS-IP pyrkii jatkuvasti tunnistamaan ja lieventämään tuotteisiimme liittyviä riskejä. Jos olet kuitenkin havainnut BAS-IP:n tuotteeseen, ohjelmistoon tai palveluun liittyvän tietoturvajärjestelmän haavoittuvuuden, suosittelemme, että ilmoitat ongelmasta välittömästi. Tietoturvajärjestelmän haavoittuvuuksien oikea-aikainen raportointi on ratkaisevan tärkeää niiden käytännön hyödyntämisen todennäköisyyden vähentämiseksi. Avoimen lähdekoodin ohjelmistokomponentteihin liittyvistä tietoturva-aukoista tulee ilmoittaa suoraan vastuulliselle organisaatiolle.

Loppukäyttäjiä, kumppaneita, toimittajia, toimialaryhmiä ja riippumattomia tutkijoita, jotka ovat havainneet mahdollisen haavoittuvuuden, kehotetaan ilmoittamaan havainnoistaan osoitteeseen [email protected] tai täyttämällä anonyymi lomake.

Lähetetyn raportin tulee sisältää:

  • ekniset tiedot mahdollisesta haavoittuvuudesta
  • Toistovaiheet
  • Arvioitu vaikutus ja vakavuus hyödyntämisen tapauksessa CVSS 3.1:n mukaisesti
  • Tutkijan oma haavoittuvuuden julkistamiskäytäntö, jos sellainen on

Voit odottaa BAS-IP Companylta seuraavaa:

  • Aika ensimmäiseen vastaukseen — 3 työpäivän kuluessa ensimmäisen viestin vastaanottamisesta
  • Käsittelyaika (ensimmäisen vastauksen vastaanottamisesta) — 10 työpäivän kuluessa
  • Olemme mahdollisimman avoimia korjausprosessissa toteuttamistamme toimenpiteistä, mukaan lukien kysymykset ja ongelmat, jotka voivat viivästyttää ratkaisua
  • Ylläpidämme avointa vuoropuhelua ongelmien käsittelemiseksi

Haavoittuvuuden julkistaminen

Kun ilmoitus havaitusta haavoittuvuudesta on tutkittu ja sen aitous vahvistettu, BAS-IP aloittaa vastuullisen julkistamisen prosessin. BAS-IP pyrkii tekemään yhteistyötä tutkijan kanssa lisätietojen, kuten CVSS 3.1 -arvioinnin, turvasuosituksen sisällön ja/tai lehdistötiedotteiden (tarvittaessa) sekä ulkoisen julkistamispäivämäärän osalta.

BAS-IP Companyn ja tutkijan välisen sopimuksen jälkeen BAS-IP Company julkistaa haavoittuvuuden ulkoisiin tarkoituksiin julkaisemalla turvallisuussuosituksia ja/tai lehdistötiedotteen.

Asiakirjan muutoshistoria

VersioPäivämääräKuvaus
1.015.02.2024Ensimmäinen julkaisu