Política de resposta a incidentes de segurança de produtos da Aruba

Escopo

A Equipe de Resposta a Incidentes de Segurança (SIRT) da Aruba é responsável por receber, acompanhar, gerenciar e divulgar vulnerabilidades nos produtos da Aruba. A Aruba SIRT trabalha ativamente com empresas do setor, organizações sem fins lucrativos, organizações governamentais e a comunidade de segurança quando vulnerabilidades são denunciadas. Uma vulnerabilidade de segurança é definida como qualquer brecha em um produto que permite que um invasor comprometa a confidencialidade, integridade ou disponibilidade de um produto, a infraestrutura de um cliente ou um sistema de TI por meio de um produto Aruba nesse ambiente.

As atividades da Aruba SIRT envolvem produtos fabricados ou vendidos pela Aruba, uma empresa da Hewlett Packard Enterprise, e em nome da marca Aruba, incluindo as soluções SaaS da Aruba, como o Aruba Central. Apenas os produtos e versões de software atualmente suportados e que não atingiram a data de fim de suporte, conforme listado na página Fim da vida útil do produto na Aruba, são cobertos. Além dos produtos da marca Aruba, a Aruba SIRT também abrange produtos suportados atualmente e fabricados por subsidiárias ou aquisições da Aruba, bem como produtos de switching atualmente suportados com a marca HP ProCurve.

A Aruba SIRT opera em conformidade com a ISO/IEC 29147:2018.

Entrar em contato com a Aruba para obter assistência com segurança

Produtos Aruba - Consultas gerais sobre segurança

Muitos clientes têm dúvidas e preocupações relacionadas à segurança dos produtos Aruba, incluindo os itens a seguir:

  • Perguntas genéricas sobre segurança
  • Perguntas sobre configuração relacionadas à segurança não abordadas no guia de proteção
  • Perguntas sobre se você está ou não enfrentando uma vulnerabilidade em um produto
  • Perguntas relacionadas a CVEs específicos
  • Perguntas relacionadas aos resultados de uma verificação de vulnerabilidade
  • Precisa de assistência de suporte emergencial

Em geral, o seu primeiro contato para fazer esses tipos de consultas deve ser o Centro de Assistência Técnica da Aruba (TAC). Use as informações de contato a seguir.

Suporte emergencial para produtos de switching (incluindo HP ProCurve)Suporte emergencial para todos os outros produtos da Aruba
+1 844 806-3425 (América do Norte)+1 800 943-4526 ou +1 408 754-1200 (América do Norte)
Informações de contato fora da América do NorteInformações de contato fora da América do Norte

Produtos que não são Aruba HPE

Para denunciar vulnerabilidades em outros produtos HPE que não sejam da Aruba, entre em contato com a HPE PSIRT via https://www.hpe.com/h41268/live/index_e.aspx?qid=11503.

Sites da Aruba, sistemas digitais no local de trabalho ou incidentes não relacionados aos produtos

Envie um e-mail para security@hpe.com.

Suspeitas de vulnerabilidade em produtos da Aruba

Se você descobriu uma suspeita de vulnerabilidade em qualquer produto da Aruba, em posse do código ou dos procedimentos de POC (prova de conceito) e/ou todos os detalhes abaixo que indiquem um possível comprometimento de um produto Aruba ou do ambiente (devido a uma vulnerabilidade em um produto Aruba), entre em contato diretamente com a Aruba SIRT.

O método preferencial para denunciar para a Aruba vulnerabilidades semelhantes em produtos é enviar um e-mail para sirt@arubanetworks.com usando nossa chave PGP pública (ID 0x458586D9), que pode ser encontrada em serviços de chaves públicas e também em www.arubanetworks.com/support-services/public-key.

Por favor, certifique-se de incluir no seu e-mail:

  1. Uma descrição detalhada do problema, junto com um contato técnico com o qual podemos falar e que possa responder a todas as perguntas relacionadas ao assunto
  2. A lista de hardwares da Aruba envolvidos
  3. As versões dos softwares da Aruba envolvidos
  4. Uma descrição detalhada do problema que, idealmente, forneça informações suficientes para reproduzir o problema
  5. Logs, despejos de memória, capturas de tela e outras informações de suporte

Se o seu e-mail atender aos critérios acima, a Aruba SIRT confirmará o seu e-mail dentro de 24 horas. Após o recebimento do e-mail, pedimos cinco dias úteis para validar a descoberta denunciada e preparar uma resposta ou solicitar mais informações, se necessário. Agradecemos se você puder aguardar nossa resposta antes de revelar o problema para outras pessoas.

A Aruba SIRT não é responsável por nenhum sistema, rede ou site de TI que não seja um produto HPE ou Aruba. Consulte acima os contatos dos respectivos produtos e serviços.

A Aruba SIRT não pode realizar respostas a incidentes ou investigações forenses em produtos implantados em ambientes de clientes, mas oferecerá suporte se uma investigação iniciada pelo cliente descobrir evidências de uma vulnerabilidade de produto anteriormente desconhecida.

Compromisso da Aruba com a segurança e a integridade do produto

As práticas de desenvolvimento de produtos da Aruba geralmente se alinham com a estrutura OWASP OpenSAMM. A maioria dos produtos da Aruba é projetada para estar em conformidade com os perfis de proteção relevantes da ISO/IEC 15408 (Critérios Comuns).

As políticas corporativas da HPE e da Aruba proíbem, em um produto, recursos que intencionalmente possibilitam o acesso não autorizado a dispositivos ou à rede, a exposição de dados confidenciais de clientes ou a violação de recursos de segurança. Isso inclui, mas não está limitado a:

  • Métodos não autorizados e não divulgados de acesso a dispositivos (ou seja, "backdoors")
  • Vulnerabilidades intencionais de protocolo ou criptográficas
  • Contas e credenciais de conta inseridas diretamente no código ou não documentadas
  • Canais de comunicação ocultos
  • Recursos não documentados que permitem a cópia ou o desvio de tráfego de rede

A Aruba classifica esses comportamentos de produtos como vulnerabilidades graves e os tratará como tal corrigindo a vulnerabilidade e publicando divulgações de vulnerabilidade.

O compromisso da Aruba com a comunidade de segurança

A Aruba tem dado apoio constante ao trabalho da comunidade de segurança e dos pesquisadores de segurança e valoriza o trabalho realizado por essa comunidade para melhorar a segurança dos produtos de tecnologia. A Aruba tem o compromisso de trabalhar com a comunidade de segurança para descobrir, verificar e responder a vulnerabilidades encontradas nos nossos produtos e incentiva a comunidade a participar de um processo de divulgação responsável.

Para incentivar a denúncia responsável de vulnerabilidades de segurança, a Aruba não tomará medidas legais nem solicitará medidas de aplicação da lei contra qualquer indivíduo ou grupo que realize pesquisas de segurança legítimas e de boa-fé e denuncie vulnerabilidades em produtos ou serviços da Aruba, desde que esses indivíduos ou grupos cumpram as seguintes diretrizes:

  • Forneçam todas as informações necessárias para a reprodução da vulnerabilidade.
  • Não violem a privacidade dos clientes, parceiros ou usuários da Aruba. Se você obtiver informações que afetem questões de privacidade, comunique essas informações com segurança à Aruba e, em seguida, destrua-as.
  • Não modifique informações que não pertencem a você.
  • Deem à Aruba um tempo razoável para corrigir e divulgar a vulnerabilidade antes de tornar qualquer informação pública. A Aruba SIRT está disposta a fornecer atualizações de status sobre denúncias de vulnerabilidade mediante solicitação.
  • Não violem nenhuma lei.

Em específico:

  • A Aruba não considera pesquisas legítimas de segurança feitas em boa-fé uma violação do Contrato de Licenciamento do Usuário Final da Aruba, mesmo que essa pesquisa envolva engenharia reversa da tecnologia da Aruba.
  • A Aruba não apresentará uma denúncia de violação de direitos autorais sob a Lei de Direitos Autorais Digitais do Milênio contra um pesquisador de segurança legítimo agindo em boa fé, mesmo que essa pesquisa envolva burlar os mecanismos de segurança dos produtos da Aruba.
  • A Aruba não considerará que o acesso a um produto coberto pela Aruba SIRT feito por um pesquisador de segurança agindo em boa fé e legítimo seja um acesso sem autorização ou que exceda a autorização regida pela Lei de Fraudes e Abuso de Computador, desde que o pesquisador cumpra a política.

A Aruba reconhecerá e creditará publicamente os pesquisadores de segurança envolvidos nas orientações de vulnerabilidade publicadas. Alguns produtos da Aruba fazem parte de um programa de recompensas por detecção de erros gerenciado pela Bugcrowd. A Aruba pagará recompensas aos pesquisadores que decidirem participar desse programa. Os pagamentos serão feitos mesmo que um pesquisador relate primeiro a vulnerabilidade diretamente à Aruba e depois a relate por meio do programa de recompensas por detecção de erros.

No decorrer de uma pesquisa de segurança legítima, os produtos da Aruba podem ficar inoperantes (“bricked”), intencionalmente ou não. A Aruba fará um esforço comercialmente viável para ajudar os pesquisadores a consertar esses produtos uma única vez.

Processo de resposta a vulnerabilidades de segurança da Aruba

Todas as denúncias enviadas à Aruba SIRT sobre a suspeita de ou a possível existência de uma vulnerabilidade nos produtos da Aruba são analisados e processados pelos membros da Aruba SIRT. Essa análise é realizada usando a descrição escrita da suspeita de vulnerabilidade e quaisquer outros dados de apoio coletados pelo denunciante. Em alguns casos, é necessário solicitar informações adicionais à entidade denunciante para iniciar a análise.

A Aruba SIRT usa um processo completo de revisão e análise projetado para melhor qualificar e categorizar as vulnerabilidades denunciadas. Exigimos informações técnicas detalhadas e descrições baseadas em cenários por parte do denunciante para garantir que uma avaliação bem-sucedida possa ser realizada. Depois que a Aruba SIRT realiza uma avaliação inicial, é feita a atribuição do nível de gravidade. A SIRT entrará em contato com o denunciante para atualizar o status da investigação e o nível de gravidade da vulnerabilidade, caso ela exista. A Aruba SIRT trabalhará com o denunciante para determinar os prazos planejados para a solução do problema, bem como os planos de comunicação com o cliente e o público.

A Aruba SIRT tem a responsabilidade geral de gerenciar o processo de desenvolvimento e distribuição de soluções alternativas e lançamentos de patches para a vulnerabilidade. Essa supervisão é necessária para garantir que, durante o processo de notificação, as questões pertinentes do suporte ao cliente sejam atendidas. Assim que as soluções alternativas e os lançamentos de patches estiverem prontos para serem distribuídos aos clientes, a Aruba SIRT publicará orientações no site da SIRT para facilitar o acesso dos clientes.

Todas as informações recebidas pela Aruba SIRT são consideradas confidenciais e, como tal, estão restritas a um grupo limitado de especialistas da Aruba no assunto com as habilidades específicas necessárias para fornecer o plano de ação de solução mais abrangente possível. Além disso, a SIRT pedirá ao denunciante que trate as informações como confidenciais até que a Aruba possa fornecer aos clientes planos de solução e opções de mitigação e fazer divulgação coordenada para os clientes e o público. Quando o denunciante desejar receber reconhecimento ou “crédito” público por ter encontrado a vulnerabilidade, a Aruba o incluirá na orientação de segurança publicada.

Diretrizes de divulgação

A Aruba soluciona e divulga vulnerabilidades em conformidade com a ISO/IEC 30111.

A divulgação pública de vulnerabilidades geralmente ocorrerá somente depois que correções permanentes estiverem disponíveis. Quando a vulnerabilidade ocorrer em várias ramificações de um software ou em vários softwares, a Aruba publicará orientações assim que a última ramificação ou produto for atualizado e lançado. Entretanto, se a Aruba souber que informações sobre uma vulnerabilidade não divulgada estão sendo comunicadas externamente, um aviso de vulnerabilidade será publicado imediatamente, junto com detalhes de uma possível solução ou defesa. No caso de vulnerabilidades em softwares de código aberto que estão sendo discutidas publicamente, a Aruba emitirá imediatamente uma orientação de segurança assim que for determinado que a vulnerabilidade está afetando um produto da Aruba.

A orientação de vulnerabilidade inicial será composta por informações gerais sobre a vulnerabilidade, soluções alternativas e etapas para solucionar a vulnerabilidade. A orientação pública é a única informação que a Aruba fornecerá a qualquer pessoa nos primeiros 60 dias. Após 60 dias, a Aruba poderá, conforme desejar, tornar públicos os todos os detalhes da vulnerabilidade. Os pesquisadores de segurança que desejarem divulgar os detalhes da vulnerabilidade da Aruba (como em um blog ou em uma conferência) devem aguardar o mesmo período de 60 dias após a publicação de uma orientação. Como cortesia, solicitamos que você informe a Aruba que tal apresentação será realizada.

Em nenhuma circunstância a divulgação é seletiva. É política da Aruba notificar todos os clientes sobre vulnerabilidades ao mesmo tempo. Nenhum cliente, parceiro ou terceirizado da Aruba recebe uma notificação antecipada ou detalhes adicionais de uma vulnerabilidade. Os parceiros OEM da Aruba geralmente são notificados três dias antes da divulgação pública para permitir que suas respectivas equipes de resposta de segurança se preparem para receber as notificações dos seus próprios clientes. Os parceiros OEM da Aruba concordaram contratualmente em coordenar as notificações de vulnerabilidade com a Aruba para que todos os usuários finais sejam alertados ao mesmo tempo. Os funcionários da Aruba voltados para o relacionamento com o cliente (TAC, SE etc.) recebem uma cópia da orientação aproximadamente 18 horas antes da divulgação pública, mas estão proibidos de compartilhar essas informações até que sejam divulgadas oficialmente. Parceiros OEM e funcionários voltados para o relacionamento com o cliente recebem apenas uma cópia da orientação pública; eles não recebem todos os detalhes de uma vulnerabilidade.

Receber orientações de segurança

As orientações de segurança são publicadas no site da Aruba SIRT. Esse site inclui as orientações mais recentes, além de um arquivo com as orientações anteriores.

A Aruba oferece um serviço de e-mail de notificação voltado para orientações de segurança. Para assinar esse serviço, acesse o portal de autoatendimento. Esse serviço gratuito está disponível para o público e é oferecido por meio de um provedor de lista de discussão comercial mediante a viabilidade do esforço. A Aruba pode oferecer outros canais de notificação por meio de ofertas de serviços de suporte premium, mas sob nenhuma circunstância a Aruba oferecerá um serviço de “notificação antecipada”.

Sobre este documento

Este documento é fornecido “no estado em que se encontra” e não implica qualquer tipo de garantia, incluindo garantias de comercialização ou adequação a um uso específico. O uso das informações no documento ou nos materiais vinculados ao documento ocorre por sua conta e risco. A Aruba reserva-se o direito de alterar ou atualizar este documento sem aviso prévio a qualquer momento.