Skip to Content
Go back
BAS-IP / Beveiligingsbeleid

Beleid voor het openbaar maken van kwetsbaarheden

Algemene Informatie

BAS-IP volgt toonaangevende praktijken in de sector bij het beheer en de reactie op beveiligingskwetsbaarheden die in onze producten worden ontdekt. Het is onmogelijk te garanderen dat de producten en diensten die door ons bedrijf worden geleverd volledig vrij zijn van kwetsbaarheden. Dit is geen unieke eigenschap, maar eerder een veelvoorkomende voorwaarde voor alle software en diensten, maar we kunnen garanderen dat we in alle stadia van de ontwikkeling inspanningen zullen leveren om potentiële kwetsbaarheden te identificeren en te elimineren, waardoor het risico dat gepaard gaat met de implementatie van BAS-IP producten en diensten in klantomgevingen wordt verminderd.

BAS-IP erkent dat sommige standaard netwerkprotocollen en diensten inherente zwakheden kunnen hebben die kunnen worden uitgebuit. Hoewel BAS-IP niet verantwoordelijk is voor deze protocollen en diensten, bieden we aanbevelingen voor het verminderen van risico’s die gepaard gaan met BAS-IP producten, software en diensten in de vorm van verschillende handleidingen.

Wat de Policy dekt

Het beleid voor kwetsbaarheidsbeheer dat in dit document wordt beschreven, is van toepassing op alle producten, software en diensten onder het merk BAS-IP.

Wat de Policy niet dekt

Sommige kwetsbaarheden vallen niet onder het BAS-IP beleid voor kwetsbaarheidsbeheer. Gelieve geen kwetsbaarheidsrapporten die niet onder het beleid voor kwetsbaarheidsbeheer vallen, naar [email protected] te sturen :

  • Kwetsbaarheden die hoge privileges en/of social engineering vereisen, die worden geactiveerd/uitgevoerd met root/beheerdersrechten en/of complexe gebruikersinteractie vereisen
  • Overname van subdomeinen (Subdomain takeover), bijvoorbeeld het verkrijgen van controle over een knooppunt dat naar een momenteel ongebruikte dienst wijst
  • Onjuiste gebruikersconfiguraties die kunnen worden voorkomen door de BAS-IP handleidingen te volgen
  • Kwetsbaarheden in inhoud of applicaties gemaakt door derden of partners, zoals applicaties die kunnen worden gedownload en uitgevoerd op BAS-IP apparaten
  • Cross-Site Request Forgery (CSRF) of Cross-Site Scripting (XSS) kwetsbaarheden die de gebruiker misleiden om een kwaadaardige website te bezoeken of op een vermomde link te klikken bij toegang tot de webinterface van BAS-IP apparaten
  • Open source kwetsbaarheden van derden geregistreerd met een CVE-identificatie, die zich bevinden in softwarecomponenten of pakketten gebruikt in BAS-IP producten, software of diensten. Veelvoorkomende voorbeelden van dergelijke softwarecomponenten zijn de Linux-kernel, OpenSSL, AOSP en andere
  • Gebrek aan HTTP(S) beveiligingsheaders, zoals X-Frame-Options
  • Kwetsbaarheidsrapporten gegenereerd door netwerkbeveiligingsscanners van derden
  • Niet-ondersteunde producten/software/diensten
  • Netwerk Denial of Service (DoS of DDoS) tests of andere tests die de toegang tot het systeem of gegevens verstoren of schade aan hen veroorzaken

Verplichtingen

BAS-IP waardeert en moedigt de inspanningen van onderzoekers aan bij het identificeren en melden van kwetsbaarheden in BAS-IP producten, software en diensten. In navolging van het proces van verantwoorde openbaarmaking zal het BAS-IP productbeveiligingsteam, naar beste vermogen, de belangen van onderzoekers respecteren door middel van wederzijdse samenwerking en transparantie gedurende het gehele openbaarmakingsproces.

Bedrijf BAS-IP verwacht dat onderzoekers geen kwetsbaarheden zullen openbaren tot na het verstrijken van de periode van 90 dagen of een wederzijds overeengekomen datum en dat zij onderzoek naar kwetsbaarheden zullen uitvoeren binnen wettelijke grenzen, zonder schade te veroorzaken, vertrouwelijkheid openbaar te maken of de veiligheid van Bedrijf BAS-IP, haar partners en klanten in gevaar te brengen.

Kwetsbaarheidsbeheer

Bedrijf BAS-IP beoordeelt kwetsbaarheden met behulp van het bekende CVSS classificatiesysteem.

Met betrekking tot kwetsbaarheden van open source componenten kan BAS-IP de kwetsbaarheid beoordelen afhankelijk van de significantie ervan in de context van hoe BAS-IP de implementatie van haar producten, software en diensten aanbeveelt. Beveiligingsconsultaties worden meestal alleen gegeven voor kwetsbaarheden die specifiek zijn voor BAS-IP.

Prioriteitsverdeling wanneer een kwetsbaarheid is beoordeeld en onderhevig is aan herstel:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP streeft ernaar de kwetsbaarheid te herstellen vóór of binnen 4 weken na externe openbaarmaking. Voor open source componenten is het tijdsbestek meestal langer, aangezien BAS-IP afhankelijk is van externe partijen voor informatie, fixes en/of verificatie
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP streeft ernaar de kwetsbaarheid te herstellen, doorgaans binnen 2-3 maanden
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP is van plan de kwetsbaarheid te herstellen in de volgende geplande release
  • Ondersteunde software/diensten
    De ondersteuningsfase van BAS-IP software/diensten wordt bepaald binnen het algemene softwarelevenscyclusproces. BAS-IP software/diensten worden meestal ondersteund gedurende 1 jaar na de aankondiging van het einde van de levensduur (end-of-life).

Melden van een kwetsbaarheid

BAS-IP werkt voortdurend aan het identificeren en beperken van risico’s die gepaard gaan met kwetsbaarheden in onze producten. Als u echter een kwetsbaarheid in het beveiligingssysteem heeft ontdekt die verband houdt met een product, software of dienst van BAS-IP, raden wij u ten zeerste aan om het probleem onmiddellijk te melden. Tijdige melding van kwetsbaarheden in het beveiligingssysteem is cruciaal voor het verminderen van de kans op hun praktische gebruik. Beveiligingskwetsbaarheden met betrekking tot open source softwarecomponenten moeten rechtstreeks worden gemeld aan de verantwoordelijke organisatie.

Eindgebruikers, partners, leveranciers, branchegroepen en onafhankelijke onderzoekers die een potentiële kwetsbaarheid hebben ontdekt, worden aangemoedigd om hun bevindingen te melden aan [email protected] of door een anoniem formulier in te vullen.

Het ingediende rapport moet het volgende bevatten:

  • Technische informatie over de potentiële kwetsbaarheid
  • Stappen om te reproduceren
  • Geschatte impact en ernst in geval van uitbuiting volgens CVSS 3.1
  • Het eigen beleid voor openbaarmaking van kwetsbaarheden van de onderzoeker, indien aanwezig

U kunt het volgende verwachten van Bedrijf BAS-IP:

  • Tijd voor eerste reactie — binnen 3 werkdagen na ontvangst van het eerste bericht
  • Verwerkingstijd (vanaf het moment van ontvangst van de eerste reactie) — binnen 10 werkdagen
  • We zullen zo transparant mogelijk zijn over de stappen die we ondernemen in het herstelproces, inclusief vragen en problemen die de oplossing kunnen vertragen
  • We zullen een open dialoog onderhouden om problemen te bespreken

Openbaarmaking van kwetsbaarheden

Zodra het rapport over een ontdekte kwetsbaarheid is onderzocht en als authentiek is bevestigd, start BAS-IP het proces van verantwoorde openbaarmaking. BAS-IP streeft ernaar om met de onderzoeker samen te werken met betrekking tot verdere details, zoals CVSS 3.1-beoordeling, inhoud van de beveiligingsaanbeveling en/of persberichten (indien van toepassing), en de datum van externe openbaarmaking.

Na een overeenkomst tussen Bedrijf BAS-IP en de onderzoeker zal de kwetsbaarheid voor externe doeleinden openbaar worden gemaakt door Bedrijf BAS-IP middels het publiceren van beveiligingsaanbevelingen en/of een persbericht.

Geschiedenis van wijzigingen in het document

VersieDatumBeschrijving
1.015.02.2024Eerste release