• Home
  • /
  • Supporto
  • /
  • Politica di risposta agli incidenti di sicurezza dei prodotti

Politica di risposta agli incidenti di sicurezza dei prodotti di Aruba

Ambito di applicazione

Il team Aruba di risposta agli incidenti di sicurezza (SIRT, Security Incident Response Team) è responsabile della ricezione, del tracciamento, della gestione e della divulgazione delle vulnerabilità dei prodotti Aruba. Il SIRT di Aruba collabora attivamente con le industrie, le organizzazioni no-profit e governative e con la community della sicurezza quando vengono segnalate delle vulnerabilità. Per vulnerabilità di sicurezza si intende qualsiasi punto debole di un prodotto che consenta a un aggressore di compromettere la riservatezza, l'integrità o la disponibilità di un prodotto, di un'infrastruttura del cliente o di un sistema IT attraverso un prodotto Aruba in quell'ambiente.

Le attività di SIRT di Aruba riguardano i prodotti realizzati o venduti da Aruba, un'azienda di Hewlett Packard Enterprise, con il marchio Aruba, comprese le soluzioni SaaS di Aruba come Aruba Central. Sono coperti solo i prodotti e le versioni software attualmente supportati e che non hanno raggiunto la data di fine dell'assistenza, come indicato nella pagina Aruba di fine vita. Oltre ai prodotti a marchio Aruba, il SIRT di Aruba copre anche i prodotti attualmente supportati fabbricati da società controllate o acquisite da Aruba, nonché i prodotti di switching attualmente supportati con il marchio HP ProCurve.

Il SIRT di Aruba opera in conformità alla norma ISO/IEC 29147:2018.

Contatta Aruba per assistenza sulla sicurezza

Prodotti Aruba - Richieste generali legate alla sicurezza

Molti clienti hanno domande e dubbi sulla sicurezza dei prodotti Aruba, tra cui quanto indicato a seguire.

  • Domande sulla sicurezza generiche
  • Domande sulla configurazione relative alla sicurezza non trattate nella guida all'hardening
  • Domande sul manifestarsi o meno di una vulnerabilità del prodotto
  • Domande relative a CVE specifici
  • Domande relative ai risultati di uno scanner di vulnerabilità
  • Esigenza di assistenza di emergenza

In generale, il primo contatto per questo tipo di richieste deve essere il Centro di assistenza tecnica (TAC, Technical Assistance Center) di Aruba, utilizzando le seguenti informazioni di contatto.

Assistenza di emergenza per i prodotti di switching (incluso HP ProCurve)Assistenza di emergenza per tutti gli altri prodotti Aruba
+1 844 806-3425 (America del Nord)+1 800 943-4526 oppure +1 408 754-1200 (America del Nord)
Informazioni di contatto al di fuori dell'America del NordInformazioni di contatto al di fuori dell'America del Nord

Prodotti HPE non Aruba

Per segnalare vulnerabilità in altri prodotti HPE non Aruba, contatta il PSIRT HPE tramite https://www.hpe.com/h41268/live/index_e.aspx?qid=11503.

Siti web di Aruba, sistemi di ambiente di lavoro digitale o incidenti non correlati ai prodotti

Invia una e-mail security@hpe.com.

Vulnerabilità dei prodotti sospetti di Aruba

Se hai scoperto una vulnerabilità sospetta in un prodotto Aruba, con codice o procedure POC (proof of concept) e/o tutti i dettagli indiati a seguire che indicano una possibile compromissione di un prodotto Aruba o dell'ambiente (a causa di una vulnerabilità del prodotto Aruba), contatta direttamente il SIRT di Aruba.

Il metodo migliore per segnalare ad Aruba tali vulnerabilità del prodotto è l'invio di un'e-mail all'indirizzo sirt@arubanetworks.com utilizzando la nostra chiave PGP pubblica (ID 0x458586D9), che può essere trovata sui server di chiavi pubbliche o anche all'indirizzo https://www.arubanetworks.com/it/servizi-di-assistenza/public-key/.

Nell'e-mail, assicurati di indicare quanto indicato a seguire.

  1. Una descrizione di alto livello del problema e un contatto tecnico con cui possiamo entrare in contatto per rispondere a tutte le domande relative.
  2. Elenco dell'hardware Aruba coinvolto
  3. Versioni software Aruba coinvolte
  4. Una descrizione dettagliata della problematica, che idealmente fornisca informazioni sufficienti a riprodurre il problema.
  5. Log, dump di un crash, acquisizioni dello schermo (screenshot) e altre informazioni di supporto.

Se l'e-mail corrisponde ai criteri di cui sopra, il SIRT di Aruba ne darà conferma entro 24 ore. Dopo la conferma dell'e-mail, richiediamo cinque giorni lavorativi per convalidare il problema segnalato e preparare una risposta o richiedere ulteriori informazioni, se necessario. Attendi la nostra risposta prima di segnalare il problema ad altri.

Il SIRT di Aruba non è responsabile di alcun sistema IT, rete o sito web "non prodotto" da HPE o Aruba. Consulta i contatti sopraindicati per i rispettivi prodotti e servizi.

Il SIRT di Aruba non può condurre indagini di risposta agli incidenti o indagini forensi relative ai prodotti distribuiti negli ambienti dei clienti, ma fornirà supporto nel caso in cui un'indagine avviata dal cliente rilevasse prove di una vulnerabilità del prodotto precedentemente sconosciuta.

L'impegno di Aruba per la sicurezza e l'integrità dei prodotti

Le pratiche di Aruba Product Development sono generalmente in linea con il framework OWASP OpenSAMM e la maggior parte dei prodotti Aruba sono progettati per essere conformi ai profili di protezione ISO/IEC 15408 (Common Criteria, criteri comuni).

Le politiche aziendali di HPE e Aruba vietano le funzionalità o le capacità intenzionali del prodotto che consentono l'accesso non autorizzato al dispositivo o alla rete, l'esposizione di dati sensibili dei clienti o l'aggiramento delle funzionalità di sicurezza. Queste includono, ma non si limitano a quanto segue.

  • Metodi di accesso al dispositivo non autorizzati non divulgati (ad es. "backdoor")
  • Debolezze relative al protocollo o crittografiche intenzionali
  • Account e credenziali di account non documentati o codificati in hardware
  • Canali di comunicazione occulti
  • Caratteristiche non documentate che consentono la copia o la deviazione del traffico di rete

Aruba considera tali comportamenti del prodotto come vulnerabilità gravi e le tratterà come tali correggendo la vulnerabilità e rilasciando informazioni sulla vulnerabilità.

L'impegno di Aruba per la community della sicurezza

Aruba ha sempre sostenuto il lavoro della community della sicurezza e dei ricercatori nel campo della sicurezza e apprezza il lavoro svolto da questa community per migliorare la sicurezza dei prodotti tecnologici. Aruba si impegna a collaborare con la community della sicurezza per scoprire, verificare e rispondere alle vulnerabilità riscontrate nei nostri prodotti e incoraggia la community a partecipare a un processo di divulgazione responsabile.

Per incoraggiare la segnalazione responsabile delle vulnerabilità di sicurezza, Aruba non intraprenderà azioni legali né invocherà il rispetto della legge nei confronti di individui o gruppi che conducono ricerche di sicurezza legittime e in buona fede e che segnalano vulnerabilità nei prodotti o nei servizi Aruba, a condizione che tali individui o gruppi rispettino le seguenti linee guida:

  • fornire tutte le informazioni necessarie per riprodurre la vulnerabilità.
  • Non violare la privacy di clienti, partner o utenti di Aruba. Se vieni in possesso di informazioni che compromettono la privacy, segnalale in modo sicuro ad Aruba e successivamente distruggile.
  • Non modificare le informazioni che non ti appartengono.
  • Concedi ad Aruba un periodo di tempo ragionevole per correggere e divulgare la vulnerabilità prima di rendere pubbliche le informazioni. Il SIRT di Aruba è disposto a fornire aggiornamenti sullo stato delle segnalazioni di vulnerabilità su richiesta.
  • Non violare alcuna legge.

In particolare rispetta quanto segue.

  • Aruba non considera una legittima ricerca di sicurezza in buona fede una violazione del Contratto di licenza con l'utente finale di Aruba, anche se tale ricerca comporta il reverse-engineering della tecnologia Aruba.
  • Aruba non presenterà una richiesta di risarcimento per violazione del copyright ai sensi del Digital Millennium Copyright Act nei confronti di un ricercatore nel campo della sicurezza in buona fede, anche se tale ricerca comporta l'elusione dei meccanismi di sicurezza dei prodotti Aruba.
  • Aruba non riterrà che l'accesso a un prodotto coperto dal SIRT di Aruba da parte di un ricercatore nel campo della sicurezza in buona fede sia stato un accesso senza autorizzazione o un accesso che va oltre l'autorizzazione ai sensi del Computer Fraud and Abuse Act, a condizione che il ricercatore si attenga a questa politica.

Aruba fornirà un riconoscimento pubblico e merito ai ricercatori nel campo della sicurezza per gli avvisi di vulnerabilità pubblicati. Alcuni prodotti Aruba fanno parte di un programma bug bounty, gestito da Bugcrowd, e Aruba verserà un compenso ai ricercatori che scelgono di partecipare a questo programma. I pagamenti saranno effettuati anche nel caso in cui un ricercatore segnali la vulnerabilità direttamente ad Aruba e successivamente la segnali attraverso il programma bug bounty.

Nel corso di una legittima ricerca di sicurezza, i prodotti Aruba possono essere resi inutilizzabili ("bloccati", "bricked"), sia intenzionalmente sia involontariamente. Aruba offrirà un impegno commercialmente ragionevole per assistere i ricercatori nella riparazione di tali prodotti una tantum.

Processo di risposta alle vulnerabilità di sicurezza di Aruba

Tutte le segnalazioni inviate al SIRT di Aruba riguardanti la sospetta o potenziale esistenza di una vulnerabilità relativa ai prodotti Aruba vengono esaminate ed elaborate dai membri del SIRT di Aruba. La revisione viene effettuata utilizzando la descrizione scritta della vulnerabilità sospetta e qualsiasi altro dato di supporto raccolto dal segnalante. In alcuni casi, è necessario richiedere ulteriori informazioni all'entità segnalante per iniziare la revisione.

Il SIRT di Aruba utilizza un processo di revisione e analisi approfondito, progettato per fornire la migliore qualificazione e categorizzazione delle vulnerabilità segnalate. Per garantire il completamento della valutazione con esito positivo, richiediamo al segnalatore informazioni tecniche dettagliate e descrizioni basate su scenari. Dopo che il SIRT di Aruba ha eseguito una valutazione iniziale, viene assegnato il livello di gravità. Il SIRT contatterà il segnalante per aggiornare lo stato dell'indagine e il livello di gravità della vulnerabilità, se presente. Il SIRT di Aruba collaborerà con il segnalante per determinare i tempi previsti per la risoluzione, nonché la comunicazione con i clienti e con il pubblico.

Il SIRT di Aruba ha la responsabilità generale di gestire il processo di sviluppo e distribuzione di soluzioni temporanee e patch per la vulnerabilità. Questa supervisione è necessaria per garantire che durante il processo di notifica vengano rispettati gli aspetti appropriati dell'assistenza al cliente. Una volta che le soluzioni temporanee e le patch sono pronte per essere distribuite ai clienti, il SIRT di Aruba pubblicherà gli avvisi sul sito web del SIRT per facilitare l'accesso ai clienti.

Tutte le informazioni ricevute dal SIRT di Aruba sono considerate riservate e, in quanto tali, sono riservate a un gruppo ristretto di esperti in materia di Aruba con competenze specifiche volte a fornire il piano d'azione di risoluzione più completo. In aggiunta, il SIRT chiederà al segnalante di trattare le informazioni come riservate fino a quando Aruba non sarà in grado di fornire ai clienti piani e opzioni di risoluzione per la mitigazione, nonché una divulgazione coordinata ai clienti e al pubblico. Se il segnalante desidera ricevere un riconoscimento pubblico o un "merito" per aver individuato la vulnerabilità, Aruba lo fornirà nell'avviso di sicurezza pubblicato.

Linee guida per la divulgazione

Aruba gestisce e divulga le vulnerabilità in conformità alla norma ISO/IEC 30111.

La divulgazione pubblica delle vulnerabilità avverrà generalmente solo dopo la disponibilità di correzioni permanenti. Nel caso in cui la vulnerabilità sia presente in più rami del software o in più prodotti software, Aruba pubblicherà gli avvisi una volta che sia stato aggiornato e rilasciato l'ultimo prodotto o filiale. Tuttavia, se Aruba viene a sapere che informazioni su una vulnerabilità non pubblicata vengono comunicate all'esterno, verrà pubblicato immediatamente un avviso di vulnerabilità insieme ai dettagli di ogni possibile soluzione temporanea o difesa. Nel caso di vulnerabilità in software open-source che vengono discusse pubblicamente, Aruba pubblicherà immediatamente un avviso di sicurezza una volta accertato che la vulnerabilità riguarda un prodotto Aruba.

L'avviso di vulnerabilità iniziale consisterà in informazioni generali sulla vulnerabilità, sulle soluzioni temporanee e sulle fasi per risolverla. L'avviso pubblico è l'unica informazione che Aruba fornirà a chiunque per i primi 60 giorni. Dopo 60 giorni Aruba può, a proprio insindacabile giudizio, rendere pubblici tutti i dettagli sulla vulnerabilità. I ricercatori nel campo della sicurezza che desiderano rendere pubblici i dettagli della vulnerabilità di Aruba (ad esempio in un blog o in una conferenza) sono pregati di attendere lo stesso periodo di 60 giorni dopo la pubblicazione di un avviso. A titolo di cortesia, ti chiediamo di informare Aruba della presentazione che verrà fatta.

La divulgazione non è selettiva in nessun caso. La politica di Aruba prevede la notifica delle vulnerabilità a tutti i clienti contemporaneamente. Nessun cliente, partner o parte terza di Aruba riceve una notifica anticipata o ulteriori dettagli su una vulnerabilità. I partner OEM di Aruba vengono generalmente informati con tre giorni di anticipo rispetto alla divulgazione pubblica, per consentire ai rispettivi team addetti alla risposta alla sicurezza di prepararsi per notificare i propri clienti. I partner OEM di Aruba hanno concordato contrattualmente di coordinare le notifiche delle vulnerabilità con Aruba, in modo che tutti gli utenti finali siano avvisati contemporaneamente. I dipendenti di Aruba che si rivolgono ai clienti (TAC, SE, ecc.) ricevono una copia dell'avviso circa 18 ore prima della divulgazione al pubblico, ma non possono condividere tali informazioni fino al rilascio ufficiale. I partner OEM e i dipendenti rivolti ai clienti ricevono solo una copia dell'avviso pubblico e non ricevono tutti i dettagli della vulnerabilità.

Ricezione degli avvisi di sicurezza

Gli avvisi di sicurezza sono pubblicati sul sito web del SIRT di Aruba. Questo sito contiene gli avvisi più recenti e un archivio degli avvisi precedenti.

Aruba offre un servizio di notifica via e-mail per gli avvisi di sicurezza. Per iscriversi a questo servizio, visitare il portale self-service. Questo servizio gratuito è disponibile al pubblico ed è offerto su base best-effort attraverso un fornitore di mailing list commerciale. Aruba può offrire altri canali di notifica attraverso offerte di servizi di assistenza premium, ma in nessun caso Aruba offrirà un servizio di "notifica anticipata".

Informazioni su questo documento

Il presente documento viene fornito "così com'è" e non implica alcun tipo di garanzia, comprese le garanzie di commerciabilità o di idoneità a un uso particolare. L'uso delle informazioni contenute nel documento o dei materiali ad esso collegati è a rischio dell'utente. Aruba si riserva il diritto di modificare o aggiornare questo documento senza preavviso in qualsiasi momento.