아루바 제품 보안 사고 대응 정책

범위

아루바의 SIRT(Security Incident Response Team)는 아루바 제품의 취약점을 수신, 추적, 관리, 공개할 책임이 있습니다. 아루바 SIRT는 취약점이 보고되면 산업, 비영리, 정부 조직, 보안 커뮤니티와 활발히 협력합니다. 보안 취약점은 공격자가 해당 환경 내의 아루바 제품을 통해 제품, 고객 인프라 또는 IT 시스템의 기밀성, 무결성 또는 가용성을 침해할 수 있게 허용하는 제품 내 모든 약점으로 정의됩니다.

아루바 SIRT 활동은 아루바 브랜드 이름 아래 Aruba, a Hewlett Packard Enterprise company가 제조하거나 판매하는 제품(Aruba Central과 같은 아루바의 SaaS 솔루션 포함)을 대상으로 합니다. 현재 지원되고 있으며 아루바 End of Life 페이지에 나열된 지원 일정 종료일에 도달하지 않은 제품과 소프트웨어 릴리스만이 SIRT 활동 대상입니다. 아루바 브랜드가 표시된 제품 외에도 아루바 SIRT는 아루바 계열사 또는 인수 회사가 제조한 제품 중에서 현재 지원이 제공되는 것뿐 아니라 HP ProCurve라는 브랜드 이름이 표시된 스위칭 제품 중에서 현재 지원이 제공되는 것도 대상으로 하여 활동을 수행합니다.

아루바의 SIRT는 ISO/IEC 29147:2018에 따라 활동합니다.

보안 지원에 관해 아루바에 문의하기

아루바 제품 - 일반적인 보안 관련 문의

많은 고객이 아루바 제품의 보안과 관련해 다음을 포함한 문의 및 우려 사항을 갖고 있습니다.

  • 일반적인 보안 관련 질문
  • 보안 관련 구성에 관한 질문은 강화 가이드에서 다루지 않음
  • 제품 취약점을 경험하고 있는지에 관한 질문
  • 특정 CVE 관련 질문
  • 취약점 스캐너의 결과와 관련된 질문
  • 긴급 지원 필요

일반적으로 이러한 유형의 문의를 위해서는 먼저 다음 연락처 정보를 사용해 아루바 기술 지원 센터(TAC)로 연락해야 합니다.

스위칭 제품에 대한 긴급 지원(HP ProCurve 포함)다른 모든 아루바 제품에 대한 긴급 지원
+1 844 806-3425(북미)+1 800 943-4526 또는 +1 408 754-1200(북미)
북미 외 지역의 연락처 정보북미 외 지역의 연락처 정보

아루바 HPE 외 제품

다른 아루바 HPE 외 제품의 취약점을 보고하려면 https://www.hpe.com/h41268/live/index_e.aspx?qid=11503을 통해 HPE PSIRT에 문의하시기 바랍니다.

아루바의 웹사이트, 디지털 업무환경 또는 비제품 관련 사고

security@hpe.com으로 이메일을 보내주시기 바랍니다.

아루바가 의심하는 제품 취약점

POC(개념 증명) 코드 또는 절차 및/또는 아래의 모든 세부 정보를 통해 아루바 제품에서(아루바 제품 취약점으로 인해) 아루바 제품 또는 환경이 침해당했을 수 있음을 나타내는 의심스러운 제품 취약점을 발견한 경우 아루바 SIRT에 직접 연락하시기 바랍니다.

이러한 제품 취약점을 아루바에 보고하는 우선적인 방법은 공용 키 서버 또는 www.arubanetworks.com/support-services/public-key에서 찾을 수 있는 아루바의 공용 PGP 키(ID 0x458586D9)를 사용해 sirt@arubanetworks.com으로 이메일을 보내는 것입니다.

이메일에는 다음 내용을 포함해야 합니다.

  1. 관련이 있는 모든 질문에 답할 수 있는 사람에게 연락할 수 있는 기술 연락처와 함께 문제에 관한 개괄적 설명
  2. 관련이 있는 아루바 하드웨어를 나열한 목록
  3. 관련이 있는 아루바 소프트웨어 버전
  4. 문제에 관한 세부 설명을 통해 문제를 재현하는 데 충분한 최적의 정보 제공
  5. 로그, 크래시 덤프, 스크린샷, 기타 도움이 되는 정보

이메일이 위 기준에 부합하면 아루바 SIRT는 24시간 이내에 귀하의 이메일을 승인할 것입니다. 이메일을 승인한 후 아루바는 보고된 사실을 검증하고 대응을 준비하거나 더 많은 정보를 요청하는 기한으로 5영업일을 요청합니다. 아루바의 대응을 기다렸다가 문제를 다른 이에게 보고해 주시면 고맙겠습니다.

아루바 SIRT는 모든 “비제품” HPE 또는 아루바 IT 시스템, 네트워크 또는 웹사이트에 대해 책임을 지지 않습니다. 해당 제품 및 서비스에 관해 문의하려면 위 연락처를 참조하시기 바랍니다.

아루바 SIRT는 고객 환경에 구축된 제품과 관련된 사고 대응 또는 포렌식 조사를 수행할 수는 없지만, 고객이 시작한 조사로 전에는 알지 못했던 제품 취약점에 대한 증거가 발견되는 경우 지원을 제공합니다.

제품 보안 및 무결성을 위한 아루바의 노력

아루바 제품 개발 관행은 일반적으로 OWASP OpenSAMM 프레임워크에 맞춰 조정되며, 대부분의 아루바 제품은 관련성이 있는 ISO/IEC 15408(Common Criteria) 보호 프로필을 준수하도록 설계됩니다.

HPE 및 아루바 기업 정책은 무단 디바이스 또는 네트워크 액세스, 민감한 고객 데이터 노출 또는 보안 기능 우회를 허용하는 의도적인 제품 기능을 금지합니다. 다음 사항이 포함되며 여기에 국한되지는 않습니다.

  • 알려지지 않은 무단 디바이스 액세스 방법(즉 “백도어”)
  • 의도적인 프로토콜 또는 암호화 관련 취약점
  • 하드코딩되거나 문서화되지 않은 계정과 계정 자격증명
  • 비밀 통신 채널
  • 네트워크 트래픽 사본 또는 우회를 허용하는 문서화되지 않은 기능

아루바는 이러한 제품 행동을 심각한 취약점으로 간주하여 취약점을 교정하고 취약점 공개를 발행하는 방식으로 취급합니다.

보안 커뮤니티를 위한 아루바의 노력

아루바는 보안 커뮤니티와 보안 연구자들의 작업을 일관되게 지원해 왔으며, 기술 제품의 보안을 향상하기 위해 보안 커뮤니티가 하는 작업을 소중히 여깁니다. 아루바는 보안 커뮤니티와 협력하여 아루바 제품의 취약점을 발견하고 확인하여 이에 대응하기 위해 노력하고 있습니다. 또한 커뮤니티가 책임성 있는 공개 프로세스에 참여하도록 격려합니다.

보안 취약점을 책임성 있게 보고하도록 격려하기 위해 아루바는 합법적인 선의의 보안 연구를 수행하고 아루바 제품 또는 서비스의 취약점을 보고하는 개인 또는 그룹이 다음과 같은 지침을 준수하는 경우 이들에 대해 소송을 제기하거나 법 집행 조치를 요청하지 않을 것입니다.

  • 취약점을 재현하는 데 필수적인 모든 정보를 제공합니다.
  • 아루바 고객, 파트너 또는 사용자의 개인정보보호를 위반해서는 안 됩니다. 개인정보보호에 영향을 미치는 정보를 손에 넣게 되면 아루바에 안전하게 보고한 후 파기하십시오.
  • 자신의 소유가 아닌 정보를 수정해서는 안 됩니다.
  • 어떤 정보이든 공개하기 전에 아루바가 취약점을 교정하고 공개할 수 있는 합당한 시간을 주어야 합니다. 아루바 SIRT는 요청이 있는 경우 취약점 보고에 관한 상태 업데이트를 제공할 의향이 있습니다.
  • 어떤 법률도 위반해서는 안 됩니다.

구체적으로 말하자면

  • 아루바는 합법적인 선의의 보안 연구가 아루바 기술의 리버스 엔지니어링을 포함한다고 해도 아루바 최종 사용자 라이선스 계약 위반으로 간주하지 않습니다.
  • 아루바는 합법적인 선의의 보안 연구자에 대해 해당 연구가 아루바 제품에 우회적인 보안 메커니즘을 포함한다고 해도 디지털 밀레니엄 저작권법에 따른 저작권 침해로 클레임을 걸지 않을 것입니다.
  • 아루바는 아루바 SIRT가 다루는 제품을 합법적인 선의의 보안 연구자가 액세스하는 경우 연구자가 이 정책을 준수한다면 이러한 액세스를 컴퓨터 사기 및 남용 방지법에 따라 권한 없는 액세스나 권한을 초과하는 액세스로 간주하지 않을 것입니다.

아루바는 게시된 취약점 권고에서 보안 연구자에게 공적 인정 및 크레딧을 제공합니다. 일부 아루바 제품은 Bugcrowd가 관리하는 취약점 제보 포상 프로그램의 일부이며, 아루바는 프로그램에 참여하기로 한 연구자들에게 보상을 지급합니다. 연구자가 아루바에 직접 취약점을 보고한 후 나중에 취약점 제보 포상 프로그램에 취약점을 보고하더라도 보상은 지급됩니다.

합법적인 보안 연구 과정 중에 아루바 제품은 의도적으로 또는 의도치 않게 실행 불가능한(“작동을 안 하는”) 것으로 간주할 수 있습니다. 아루바는 연구자가 이러한 제품을 일회성으로 수리할 때 연구자를 지원하기 위해 상업적으로 합당한 노력을 기울일 것입니다.

아루바 보안 취약점 대응 프로세스

아루바 제품과 관련해 의심되는 취약점 또는 있을 수 있는 취약점에 관해 아루바 SIRT에 전송되는 모든 보고는 아루바의 SIRT 구성원이 검토하고 처리합니다. 이러한 검토는 의심되는 취약점에 관해 작성된 설명과 이를 뒷받침하기 위해 보고자가 수집한 기타 데이터를 이용해 수행됩니다. 어떤 경우 검토를 시작하기 위해 보고 실체에 추가 정보를 요청해야 합니다.

아루바 SIRT는 보고된 취약점에 대한 최상의 자격 확인 및 범주화를 제공하도록 설계된 철저한 검토 및 분석 프로세스를 활용합니다. 아루바는 성공적인 평가 완료를 보장하기 위해 보고자에게 상세 기술 정보와 시나리오 기반 설명을 요구합니다. 아루바 SIRT가 초기 평가를 수행한 후에 심각도 수준 할당이 이루어집니다. SIRT는 조사의 상태와 취약점의 심각도 수준(취약점이 존재하는 경우)을 업데이트하기 위해 보고자에게 연락할 것입니다. 아루바 SIRT는 보고자와 협력하여 해결을 위한 계획 기간뿐 아니라 고객 및 공적 커뮤니케이션 계획도 결정합니다.

아루바 SIRT는 취약점에 대한 해결 방법 및 패치 릴리스를 개발하고 배포하는 프로세스를 관리할 전반적인 책임이 있습니다. 이러한 관리는 알림 프로세스 중에 고객 지원의 적절한 측면이 충족되도록 보장해야 합니다. 해결 방법 및 패치 릴리스를 고객에게 배포할 준비가 되면 아루바 SIRT는 고객이 쉽게 액세스할 수 있도록 SIRT 사이트에 권고를 게시합니다.

아루바 SIRT가 수신하는 모든 정보는 기밀로 간주하여 가장 포괄적인 해결 조치 계획을 제공하도록 설계된 특정 기술을 갖춘 제한된 아루바 주제 전문가 그룹에 한정적으로 제공됩니다. 또한 SIRT는 아루바가 고객에게 완화를 위한 해결 계획 및 옵션을 제공할 때까지 보고자에게 해당 정보를 기밀뿐 아니라 조정된 고객 및 공적 고지로 취급하도록 요청합니다. 보고자가 취약점을 찾기 위해 공적 인정 또는 “크레딧”을 받고자 하는 경우 아루바는 게시된 보안 권고에서 이를 제공합니다.

고지 지침

아루바는 ISO/IEC 30111에 따라 취약점을 처리하고 고지합니다.

취약점에 대한 공적 고지는 일반적으로 영구적인 수정이 가능한 경우에만 이루어집니다. 소프트웨어의 여러 분기나 여러 소프트웨어 제품에서 취약점이 발생하는 경우 아루바는 최종 분기 또는 제품이 업데이트 및 릴리스되면 권고를 게시합니다. 하지만 아루바가 게시되지 않은 취약점에 관한 정보가 외부로 전달되고 있음을 알게 되면 가능한 해결 방법 또는 방어책에 관한 세부 정보와 함께 취약점 권고가 즉시 게시됩니다. 공적으로 논의되고 있는 오픈소스 소프트웨어 취약점인 경우 아루바는 해당 취약점이 아루바 제품에 영향을 미친다고 판단되면 즉시 보안 권고를 게시합니다.

최초 취약점 권고는 취약점, 해결 방법, 취약점 해결 단계에 관한 일반 정보로 구성됩니다. 공적 권고는 최초 60일 동안 아루바가 누구에게나 제공하는 유일한 정보입니다. 60일이 지나면 아루바는 단독 재량에 따라 취약점에 관한 전체 세부 정보를 공개합니다. 아루바 취약점 세부 정보를 블로그나 회의 같은 데서 공표하고자 하는 보안 연구자는 권고가 게시된 후 역시 60일의 기간 동안 기다릴 것을 요청받습니다. 예의상 아루바는 그러한 프레젠테이션이 진행될 것임을 아루바에 알려줄 것을 귀하에게 요청합니다.

고지는 어떤 상황에서도 선택적으로 할 수 있는 것이 아닙니다. 취약점에 관해 모든 고객에게 동시에 알려야 한다는 것이 아루바의 정책입니다. 어느 아루바 고객, 파트너 또는 타사도 취약점에 관한 사전 알림 또는 추가 세부 정보를 받지 않습니다. 아루바의 OEM 파트너는 해당 보안 대응팀이 고객에게 알리는 작업을 준비할 수 있도록 일반적으로 공적 고지가 있기 3일 전에 알림을 받습니다. 아루바의 OEM 파트너는 모든 최종 사용자가 동시에 알림을 받을 수 있도록 아루바와 취약점 알림을 조율하기로 계약을 통해 합의해 왔습니다. 아루바의 고객 대면 직원(TAC, SE 등)은 공적 고지가 있기 약 18시간 전에 권고 사본을 받습니다. 하지만 권고가 공식적으로 배포될 때까지는 이 정보를 공유하는 것이 금지됩니다. OEM 파트너와 고객 대면 직원은 공적 권고 사본만 받고 취약점에 대한 전체 세부 정보는 받지 않습니다.

보안 권고 받기

보안 권고는 아루바 SIRT 웹사이트에 게시됩니다. 이 사이트에는 최신 권고뿐 아니라 이전 권고도 아카이브 형태로 포함되어 있습니다.

아루바는 보안 권고에 대한 알림 이메일 서비스를 제공합니다. 이 서비스를 구독하려면 셀프서비스 포털을 방문하십시오. 이 무료 서비스는 일반 대중이 사용할 수 있으며 상업적 메일링 리스트 제공업체를 통해 최대한 가능한 한도 내에서 제공됩니다. 아루바는 프리미엄 지원 서비스를 통해 다른 알림 채널을 제공할 수 있지만 어떤 상황에서도 아루바는 “사전 알림” 서비스를 제공하지 않습니다.

이 문서에 관하여

이 문서는 “있는 그대로” 제공되며 상품성 또는 특정 목적에의 적합성을 포함한 어떤 종류의 보증도 내포하지 않습니다. 이 문서 또는 이 문서에 링크된 자료에 있는 정보를 사용할 때 발생하는 위험은 모두 귀하가 부담해야 합니다. 아루바는 통보 없이 언제든지 이 문서를 변경하거나 업데이트할 권리가 있습니다.