Política de respuesta ante incidentes de seguridad de productos de Aruba

Ámbito

El equipo de respuesta ante incidentes de seguridad de productos (SIRT) se ocupa de recibir, supervisar, gestionar y dar a conocer vulnerabilidades en los productos de Aruba. Cada vez que se notifican vulnerabilidades, el SIRT de Aruba colabora de forma activa con la industria, organizaciones sin ánimo de lucro, la administración pública y la comunidad de seguridad. Se considera una vulnerabilidad de seguridad cualquier debilidad de un producto por la que un atacante puede poner en riesgo la confidencialidad, integridad o disponibilidad de un producto, infraestructura de cliente o sistema de TI a través de un producto de Aruba presente en dicho entorno.

Las actividades del SIRT de Aruba cubren los productos que fabrica o vende Aruba, una empresa de Hewlett Packard Enterprise, con la marca Aruba, incluidas las soluciones SaaS de Aruba, como Aruba Central. Solamente se cubren los productos y las versiones de software que reciben asistencia en cada momento y que no han alcanzado la fecha de finalización del servicio técnico, tal y como se indica en la página web de finalización del ciclo de vida de productos. Además de los productos de la marca Aruba, el SIRT de Aruba también cubre los productos que reciben asistencia en cada momento y que fabrican filiales o adquisiciones de Aruba, así como los productos de conmutación de la marca HP ProCurve que reciben asistencia en cada momento.

El SIRT de Aruba trabaja de acuerdo con la norma ISO/IEC 29147:2018.

Contacto con Aruba para obtener asistencia en materia de seguridad

Productos Aruba - Consultas generales sobre seguridad

Muchos clientes tienen preguntas y dudas sobre la seguridad de los productos de Aruba, estas son algunas de ellas:

  • Preguntas genéricas sobre seguridad
  • Preguntas de configuración relacionadas con la seguridad no contempladas en la guía de protección
  • Dudas sobre la posible vulnerabilidad de un producto
  • Preguntas relacionadas con vulnerabilidades y exposiciones comunes (CVE) concretas
  • Preguntas relacionadas con los resultados de una exploración de vulnerabilidad
  • Necesidad de asistencia de emergencia

Por norma general, si tiene estas consultas debe dirigirse en primer lugar al Centro de asistencia técnica de Aruba (TAC) con la siguiente información de contacto.

Servicio de emergencia para productos de conmutación (incluidos productos HP ProCurve)Servicio de emergencia para todos los demás productos Aruba
+1 844 806-3425 (Norteamérica)+1 800 943-4526 o +1 408 754-1200 (Norteamérica)
Información de contacto para otras regionesInformación de contacto para otras regiones

Productos que no son Aruba HPE

Para notificar vulnerabilidades en otros productos que no son Aruba HPE, póngase en contacto con el equipo HPE PSIRT en esta dirección: https://www.hpe.com/h41268/live/index_e.aspx?qid=11503.

Sitios web de Aruba, sistemas de espacio de trabajo digital o incidentes no relacionados con productos

Envíe un correo electrónico a security@hpe.com.

Sospecha de vulnerabilidades en productos de Aruba

Si ha descubierto una sospecha de vulnerabilidad con cualquier producto de Aruba y puede crear procedimientos o código POC (prueba de concepto) o dispone de los datos que se indican a continuación para documentar un posible riesgo para la seguridad para el producto de Aruba o su entorno (a causa de una vulnerabilidad en el producto de Aruba), póngase en contacto directamente con el SIRT de Aruba.

El método preferente para notificar vulnerabilidades de este tipo es directamente a Aruba por correo electrónico (sirt@arubanetworks.com) o con nuestra clave PGP pública (ID 0x458586D9) disponible en servidores de claves públicas o en la dirección web www.arubanetworks.com/support-services/public-key.

En su correo electrónico, incluya esta información:

  1. Descripción general del problema junto con una persona de contacto de carácter técnico con la que podamos comunicarnos y que pueda responder a todas las preguntas relacionadas
  2. Lista del hardware Aruba afectado
  3. Versiones de software Aruba afectadas
  4. Una descripción detallada del problema (lo recomendable es que proporcione suficiente información para reproducir el problema)
  5. Registros, descargas de fallos, capturas de pantalla y otra información de respaldo

Si su mensaje cumple estos requisitos, el SIRT de Aruba acusará recibo en un plazo de 24 horas. Una vez confirmada la recepción del mensaje, solicitamos cinco días hábiles para verificar el hallazgo notificado y preparar una respuesta o solicitar más información si fuera necesario. Le rogamos que espere a recibir nuestra respuesta antes de notificar el problema en otras instancias.

El SIRT de Aruba no es responsable de ninguna red, sitio web o sistema TI Aruba o HPE que no sean «de producto». Más arriba puede consultar la dirección de contacto de los productos y servicios respectivos.

El SIRT de Aruba no puede llevar a cabo respuestas a incidentes ni investigaciones forenses relacionadas con productos implementados en entornos de cliente, pero proporcionará asistencia si en una investigación iniciada por un cliente se determina que existen pruebas de una vulnerabilidad de producto previamente desconocida.

Compromiso de Aruba con la seguridad e integridad de los productos

Por lo general, las prácticas de desarrollo de productos de Aruba siguen el marco OWASP OpenSAMM, y la mayoría de los productos de Aruba se han diseñado para cumplir con los perfiles de protección ISO/IEC 15408 (criterios comunes) correspondientes.

Las políticas corporativas de HPE y Aruba prohíben que haya características o capacidades de producto que permitan de forma deliberada el acceso no autorizado a los dispositivos o a la red, la exposición de datos confidenciales de los clientes o el sorteo de funciones de seguridad. Esto incluye (de forma no exhaustiva) lo siguiente:

  • Métodos de acceso a dispositivos no autorizados no revelados («puertas traseras»)
  • Debilidades criptográficas o de protocolo intencionadas
  • Cuentas y credenciales de cuentas codificadas de forma rígida o no documentadas
  • Canales de comunicación encubiertos
  • Funciones no documentadas que permitan copiar o desviar el tráfico de red

Aruba considera vulnerabilidades graves tales comportamientos del producto y los tratará como tales, corrigiendo la vulnerabilidad y dándola a conocer.

El compromiso de Aruba con la comunidad de seguridad

Aruba ha apoyado constantemente el trabajo de la comunidad de seguridad y de los investigadores en este ámbito, y valora su trabajo para mejorar la seguridad de los productos tecnológicos. Aruba se compromete a colaborar con la comunidad de seguridad para descubrir, verificar y responder a las vulnerabilidades encontradas en nuestros productos, y anima a la comunidad a participar en un proceso de divulgación responsable.

Para fomentar la notificación responsable de las vulnerabilidades de seguridad, Aruba no emprenderá acciones legales ni solicitará la aplicación de la ley contra ningún individuo o grupo que realice una investigación de seguridad legítima y de buena fe y que comunique las vulnerabilidades de los productos o servicios de Aruba, siempre que dichos individuos o grupos cumplan con las siguientes pautas:

  • Proporcionen toda la información necesaria para reproducir la vulnerabilidad.
  • No infrinjan la privacidad de clientes, partners o usuarios de Aruba. Si llegan a estar en posesión de información que afecte a la privacidad, deberán transmitir dicha información de forma segura a Aruba y después destruirla.
  • No modifiquen información que no les pertenece.
  • Den a Aruba un tiempo razonable para corregir y divulgar la vulnerabilidad antes de hacer pública cualquier información. El SIRT de Aruba está dispuesto a proporcionar información actualizada sobre las vulnerabilidades notificadas previa solicitud.
  • No infrinjan ninguna ley.

En concreto:

  • Aruba no considera que la investigación legítima y de buena fe en materia de seguridad constituya una infracción del acuerdo de licencia de usuario final de Aruba, aun en el caso de que dicha investigación implique ingeniería inversa de la tecnología de Aruba.
  • Aruba no presentará una reclamación por infracción de derechos de autor en virtud de la Ley de Derechos de Autor de la Era Digital de Estados Unidos contra un investigador de seguridad legítimo y de buena fe, aun en el caso de que dicha investigación implique el sorteo de los mecanismos de seguridad de los productos de Aruba.
  • Aruba no considerará que el acceso a un producto cubierto por el SIRT de Aruba por parte de un investigador de seguridad legítimo y de buena fe constituya un acceso sin autorización o un acceso que supere los límites de autorización definidos por la Ley de Fraude y Abuso Informático de Estados Unidos, siempre que dicho investigador cumpla con esta política.

Aruba proporcionará crédito y reconocimiento público a los investigadores de seguridad en los avisos de vulnerabilidad que se publiquen. Algunos productos de Aruba forman parte de un programa de recompensas por errores, gestionado por Bugcrowd, y Aruba pagará recompensas a aquellos investigadores que decidan participar en él. Los pagos también se harán aunque el investigador notifique primero la vulnerabilidad directamente a Aruba y luego lo haga a través del programa de recompensas por errores.

Durante el curso de una investigación de seguridad legítima, los productos de Aruba pueden quedar inoperativos («bricked»), ya sea de forma intencionada o no. Aruba hará un esfuerzo comercialmente razonable para ayudar a los investigadores a reparar dichos productos de forma puntual.

Procedimiento de respuesta a las vulnerabilidades de seguridad de Aruba

El SIRT de Aruba revisará y procesará todos los informes que se le remitan relativos a la existencia supuesta o posible de una vulnerabilidad relacionada con los productos de Aruba. Esta revisión se lleva a cabo a partir de la descripción proporcionada de la presunta vulnerabilidad y cualquier otro dato de respaldo que recoja el informante. En algunos casos, será necesario solicitar información adicional a la entidad informante para comenzar la revisión.

El SIRT de Aruba sigue un exhaustivo procedimiento de revisión y análisis, diseñado para proporcionar la mejor calificación y categorización de las vulnerabilidades que se le notifiquen. Para que se pueda llevar a cabo una correcta evaluación, el informante deberá proporcionar información técnica detallada y descripciones basadas en situaciones. Una vez que el SIRT de Aruba realice una evaluación inicial, se asignará el nivel de gravedad. El SIRT se pondrá en contacto con el informante para darle a conocer el estado de la investigación y el nivel de gravedad de la vulnerabilidad (si esta existe). El SIRT de Aruba colaborará con el informante para determinar los plazos previstos para la resolución, así como los planes de comunicación a clientes y público.

El SIRT de Aruba tiene la responsabilidad general de gestionar el proceso de desarrollo y distribución de soluciones y parches para la vulnerabilidad. Esta supervisión es necesaria para garantizar que, durante el proceso de notificación, se cumplan los aspectos adecuados de la asistencia al cliente. Una vez que las soluciones y los parches estén listos para su distribución a los clientes, el SIRT de Aruba publicará los avisos en el sitio web del SIRT para facilitar el acceso de los clientes.

Toda la información que reciba el SIRT de Aruba se considera confidencial y, como tal, está restringida a un grupo reducido de expertos en la materia de Aruba con habilidades específicas para proporcionar el plan de acción de resolución más completo. Además, el SIRT solicitará al informante que trate la información como confidencial hasta el momento en que Aruba pueda proporcionar planes de resolución y opciones de mitigación, así como una divulgación coordinada a clientes y público. En aquellos casos en los que el informante desee recibir reconocimiento público o «crédito» por detectar la vulnerabilidad, Aruba así lo hará en el aviso de seguridad que se publique.

Pautas para la divulgación

Aruba gestiona y divulga las vulnerabilidades de acuerdo con la norma ISO/IEC 30111.

Por lo general, las vulnerabilidades solo tendrán divulgación pública una vez que haya disponibles correcciones permanentes. Cuando la vulnerabilidad se produzca en varias ramas o en varios productos de software, Aruba publicará avisos una vez que se actualice y publique la última rama o producto. Sin embargo, si Aruba conoce que la información sobre una vulnerabilidad no publicada se está comunicando de forma externa, se publicará inmediatamente un aviso de vulnerabilidad junto con detalles de cualquier posible solución o defensa. En el caso de las vulnerabilidades en software de código abierto que se estén comentando públicamente, Aruba publicará inmediatamente un aviso de seguridad en cuanto se haya determinado que la vulnerabilidad afecta a un producto de Aruba.

El aviso de vulnerabilidad inicial constará de información general sobre la vulnerabilidad, junto con soluciones y pasos para resolverla. El aviso público es la única información que Aruba proporcionará a cualquier persona durante los primeros 60 días. Después del plazo de 60 días, Aruba podrá, a su entera discreción, hacer públicos todos los detalles sobre la vulnerabilidad. A los investigadores de seguridad que deseen hacer públicos los detalles de la vulnerabilidad de Aruba (por ejemplo, en un blog o en una conferencia), se les pide que esperen ese mismo plazo de 60 días tras la publicación del aviso. Como cortesía, les rogamos que informen a Aruba de que va a hacerse dicha presentación.

La divulgación no es selectiva en ningún caso. La política de Aruba es notificar a todos los clientes de las vulnerabilidades al mismo tiempo. A ningún cliente, partner o tercero de Aruba se le notifica por adelantado ni se le dan detalles adicionales sobre una vulnerabilidad. Los partners OEM de Aruba reciben una notificación de carácter general con tres días de antelación a la divulgación pública para que sus equipos de respuesta de seguridad puedan preparar la notificación a sus propios clientes. Los partners OEM de Aruba han acordado contractualmente coordinar las notificaciones de vulnerabilidad con Aruba para alertar a todos los usuarios finales al mismo tiempo. Los empleados de Aruba en contacto directo con el cliente (Centro de asistencia técnica, ingeniería de sistemas, etc.) reciben una copia del aviso unas 18 horas antes de la divulgación pública, pero se les prohíbe compartir esa información hasta que se publique de forma oficial. Los partners OEM y los empleados en contacto directo con el cliente solo reciben una copia del aviso público y no se les proporcionan todos los detalles de las vulnerabilidades.

Recepción de avisos de seguridad

Los avisos de seguridad se publican en el sitio web del SIRT de Aruba. Este sitio recoge los avisos más recientes, así como un archivo de avisos anteriores.

Aruba ofrece un servicio de notificación por correo electrónico de los avisos de seguridad. Para suscribirse a este servicio, visite el portal de autoservicio. Se trata de un servicio gratuito que está disponible para el público y se ofrece a través de un proveedor de listas de correo comercial para el mejor rendimiento. Aruba puede ofrecer otros canales de notificación a través de servicios de asistencia premium, pero bajo ninguna circunstancia ofrecerá un servicio de «notificación anticipada».

Acerca de este documento

Este documento se proporciona «tal cual» y no implica ningún tipo de garantía, inclusive garantías de comerciabilidad o idoneidad para un uso concreto. El uso que usted haga de la información contenida en el documento o de los materiales enlazados en él es por su cuenta y riesgo. Aruba se reserva el derecho de modificar o actualizar este documento sin previo aviso y en cualquier momento.