Política de respuesta ante incidentes de seguridad de productos de Aruba

Alcance

El equipo de respuesta ante incidentes de seguridad de Aruba (SIRT) es responsable de recibir, monitorear, administrar y comunicar vulnerabilidades en los productos de Aruba. Cuando se informan vulnerabilidades, el SIRT de Aruba trabaja activamente con organizaciones gubernamentales, sin fines de lucro e industriales, y la comunidad de seguridad. Una vulnerabilidad de seguridad se define como cualquier debilidad en un producto que permite que un atacante comprometa la confidencialidad, la integridad o la disponibilidad de un producto, la infraestructura de un cliente o el sistema de TI a través de un producto de Aruba en ese entorno.

Las actividades del SIRT de Aruba abarcan los productos fabricados o vendidos por Aruba, una empresa de Hewlett Packard Enterprise, con la marca Aruba, incluidas las soluciones SaaS de Aruba, como Aruba Central. Solo se cubren los productos y las versiones de software que cuentan con soporte y que no han alcanzado la fecha del hito de fin de soporte, según lo detallado en la página sobre fin de vida útil de Aruba. Aparte de los productos de la marca Aruba, el SIRT de Aruba también cubre los productos con soporte actual fabricados por filiales o adquisiciones de Aruba, así como productos de conmutación con soporte actual de la marca HP ProCurve.

El SIRT de Aruba opera de acuerdo con ISO/IEC 29147:2018.

Contacto con Aruba por asistencia sobre seguridad

Productos de Aruba: consultas generales sobre seguridad

Muchos clientes tienen preguntas e inquietudes sobre la seguridad de los productos de Aruba, que incluyen lo siguiente:

  • Preguntas genéricas sobre seguridad
  • Preguntas de configuración relacionadas con la seguridad que no se abordan en la guía de protección
  • Preguntas sobre si el producto presenta una vulnerabilidad
  • Preguntas relacionadas con CVE específicas
  • Preguntas relacionadas con los resultados de un detector de vulnerabilidades
  • Necesidad de asistencia de soporte de emergencia

En general, para estos tipos de consulta, primero debes comunicarte con el Centro de asistencia técnica de Aruba (TAC) usando la siguiente información de contacto.

Soporte de emergencia para productos de conmutación (incluido HP ProCurve)Soporte de emergencia para todos los demás productos de Aruba
+1 844 806-3425 (Norteamérica)+1 800 943-4526 o +1 408 754-1200 (Norteamérica)
Información de contacto fuera de NorteaméricaInformación de contacto fuera de Norteamérica

Productos HPE que no son de Aruba

Para informar vulnerabilidades en otros productos HPE que no son de Aruba, comunícate con el PSIRT de HPE a través de https://www.hpe.com/h41268/live/index_e.aspx?qid=11503.

Sitios web de Aruba, sistemas de lugar de trabajo digital o incidentes no relacionados con productos

Envía un correo electrónico a security@hpe.com.

Vulnerabilidades presuntas de productos de Aruba

Si descubriste una vulnerabilidad presunta con un producto de Aruba, con un código o procedimientos de prueba de concepto (POC), o todos los detalles siguientes que indican un posible riesgo para un producto de Aruba o el entorno (a causa de una vulnerabilidad en un producto de Aruba), comunícate directamente con el SIRT de Aruba.

El método recomendado para informar vulnerabilidades de productos a Aruba es mediante el envío de un correo electrónico a sirt@arubanetworks.com usando nuestra clave PGP pública (ID 0x458586D9), que puede encontrarse en servidores de claves públicas o en www.arubanetworks.com/support-services/public-key.

Asegúrate de incluir lo siguiente en el correo electrónico:

  1. Descripción de alto nivel del problema, además de un contacto técnico con el que podamos comunicarnos y que pueda responder todas las preguntas relacionadas
  2. Lista del hardware de Aruba involucrado
  3. Versiones de software de Aruba involucradas
  4. Una descripción detallada del problema, con suficiente información para reproducir el problema
  5. Registros, volcados de memoria, capturas de pantalla y demás información de respaldo

Si tu correo electrónico cumple con los criterios mencionados arriba, el SIRT de Aruba acusará recibo de este en un plazo de 24 horas. Después del acuso de recibo, solicitamos cinco días hábiles para validar el hallazgo informado y preparar una respuesta o solicitar más información, si es necesario. Te agradeceríamos si pudieras esperar nuestra respuesta antes de informar el problema a terceros.

El SIRT de Aruba no es responsable de ningún sistema de TI, red o sitio web de Aruba o HPE “que no sea un producto”. Consulta los contactos mencionados arriba para los productos y servicios correspondientes.

El SIRT de Aruba no puede llevar a cabo procedimientos de respuesta ante incidentes ni investigaciones forenses en relación con productos implementados en entornos de clientes, pero brindará soporte en caso de que en una investigación iniciada por un cliente, se encuentren pruebas de una vulnerabilidad previamente desconocida en un producto.

El compromiso de Aruba con la seguridad y la integridad de los productos

En general, las prácticas de desarrollo de productos de Aruba se ajustan al marco OWASP OpenSAMM, y la mayoría de los productos de Aruba están diseñados para cumplir con los perfiles de protección relevantes de ISO/IEC 15408 (Common Criteria).

Las políticas corporativas de HPE y Aruba prohíben las capacidades o características de productos con la intención de permitir el acceso no autorizado a la red o a un dispositivo, la exposición de datos confidenciales del cliente o la evasión de funciones de seguridad. Esto incluye lo siguiente, entre otros casos:

  • Métodos de acceso no autorizados no revelados a dispositivos (es decir, “puertas traseras”)
  • Puntos débiles criptográficos o de protocolos intencionales
  • Cuentas y credenciales de cuentas no documentadas o codificadas de forma rígida
  • Canales de comunicación encubiertos
  • Características no documentadas que permiten copiar o desviar el tráfico de red

Aruba considera que esos comportamientos de los productos son vulnerabilidades graves y los tratará como tales corrigiendo la vulnerabilidad y emitiendo divulgaciones sobre la vulnerabilidad.

El compromiso de Aruba con la comunidad de seguridad

Aruba ha apoyado siempre el trabajo de la comunidad de seguridad y los investigadores de seguridad, y valora lo que esta comunidad hace para mejorar la seguridad de los productos tecnológicos. Aruba está comprometida a trabajar con la comunidad de seguridad para descubrir y verificar las vulnerabilidades que se encuentran en nuestros productos, y responder a ellas, e incentiva a la comunidad a participar en un proceso de divulgación responsable.

Para fomentar el informe responsable de las vulnerabilidades de seguridad, Aruba no tomará acciones legales ni solicitará acciones policiales contra una persona o grupo que realice investigaciones de seguridad legítimas de buena fe e informe vulnerabilidades en los productos o servicios de Aruba, siempre que esas personas o grupos cumplan con las siguientes pautas:

  • Brindar toda la información necesaria para reproducir la vulnerabilidad.
  • No violar la privacidad de clientes, partners o usuarios de Aruba. Si se obtiene información que afecta la privacidad, se debe notificar esta información a Aruba en forma segura y se la debe destruir.
  • No modificar la información que no sea propia.
  • Dar a Aruba un tiempo razonable para corregir y divulgar la vulnerabilidad antes de hacer pública cualquier información. El SIRT de Aruba está dispuesto a brindar actualizaciones del estado de los informes de vulnerabilidad cuando se soliciten.
  • No infringir ninguna ley.

Específicamente:

  • Aruba no considera que las investigaciones de seguridad legítimas de buena fe sean una violación del Acuerdo de licencia del usuario final de Aruba, incluso si la investigación implica la aplicación de ingeniería inversa a tecnología de Aruba.
  • Aruba no presentará un reclamo por infracción de derechos de autor conforme a la Ley de Derechos de Autor de la Era Digital contra un investigador de seguridad legítimo de buena fe, incluso si la investigación implica la evasión de mecanismos de seguridad en los productos de Aruba.
  • Aruba no considerará que el acceso a un producto cubierto por el SIRT de Aruba por un investigador de seguridad legítimo de buena fe ha sido un acceso sin autorización o un acceso que sobrepasa la autorización conforme a la Ley de Fraude y Abuso Informático, siempre que el investigador cumpla con esta política.

Aruba brindará reconocimiento y crédito en forma pública a los investigadores de seguridad en los avisos de vulnerabilidades publicados. Algunos productos de Aruba forman parte de un programa de recompensas por errores, administrado por Bugcrowd, y Aruba pagará recompensas a los investigadores que elijan participar en este programa. Los pagos se harán aunque un investigador informe la vulnerabilidad primero directamente a Aruba y después lo haga a través del programa de recompensas por errores.

En el transcurso de una investigación de seguridad legítima, los productos de Aruba pueden quedar inutilizables (“bloqueados”), ya sea intencional o accidentalmente. En la medida en que sea razonable desde el punto de vista comercial, Aruba tratará de ayudar a los investigadores a reparar los productos una única vez.

Proceso de respuesta a vulnerabilidades de seguridad de Aruba

Los miembros del SIRT de Aruba revisan y procesan todos los informes que se les envían en relación con la posible o presunta existencia de una vulnerabilidad relacionada con los productos de Aruba. Esta revisión se realiza usando la descripción escrita de la vulnerabilidad presunta y cualquier otro dato complementario reunido por el informante. En algunos casos, es necesario solicitar información adicional a la entidad informante para iniciar la revisión.

El SIRT de Aruba utiliza un proceso de revisión y análisis riguroso diseñado para brindar la mejor calificación y categorización de las vulnerabilidades informadas. Necesitamos que el informante nos brinde descripciones basadas en escenarios e información técnica detalladas para garantizar que se pueda realizar una evaluación exitosa. Después de que el SIRT de Aruba realice una evaluación inicial, se asigna un nivel de gravedad. El SIRT se comunicará con el informante para darle una actualización sobre el estado de la investigación y el nivel de gravedad de la vulnerabilidad, en caso de que haya una. El SIRT de Aruba trabajará con el informante para determinar los plazos planificados para la resolución, así como los planes de comunicación para clientes y el público.

El SIRT de Aruba tiene la responsabilidad de administrar el proceso de desarrollo y distribución de las soluciones y las versiones de revisión para la vulnerabilidad. Esta supervisión es necesaria para garantizar que durante el proceso de notificación, se cumplan los aspectos adecuados del soporte al cliente. Una vez que las soluciones y las versiones de revisión estén listas para la distribución a los clientes, el SIRT de Aruba publicará avisos en el sitio web del SIRT a los que los clientes podrán acceder con facilidad.

Toda la información que recibe el SIRT de Aruba se considera confidencial y, como tal, está restringida a un grupo limitado de expertos en la materia de Aruba con habilidades específicas diseñadas para brindar el plan de acción de resolución más completo. Además, el SIRT le pedirá al informante que trate la información como confidencial hasta que Aruba pueda brindar a los clientes planes de resolución y opciones para la mitigación, así como una divulgación coordinada a clientes y al público. Si el informante desea recibir reconocimiento público o “crédito” por detectar la vulnerabilidad, Aruba lo incluirá en el aviso de seguridad publicado.

Pautas sobre la divulgación

Aruba maneja y divulga las vulnerabilidades de acuerdo con ISO/IEC 30111.

En general, la divulgación pública de las vulnerabilidades se hará solo una vez que haya correcciones permanentes disponibles. En caso de que la vulnerabilidad ocurra en varias ramas de software, o en varios productos de software, Aruba publicará avisos una vez que se haya actualizado y lanzado la última rama o producto. Sin embargo, si Aruba se entera de que información sobre una vulnerabilidad no publicada se está comunicando externamente, se publicará de inmediato un aviso de vulnerabilidad con los detalles de la posible solución o defensa. En el caso de vulnerabilidades en software de código abierto que estén en discusión pública, Aruba emitirá de inmediato un aviso de seguridad una vez que haya determinado que la vulnerabilidad afecta un producto de Aruba.

El aviso inicial de la vulnerabilidad incluirá información general sobre la vulnerabilidad, soluciones y pasos para resolverla. El aviso público constituye la única información que Aruba brindará a cualquiera los primeros 60 días, Después de 60 días, a su criterio, Aruba podrá hacer públicos detalles completos de la vulnerabilidad. Se solicita a los investigadores de seguridad que deseen publicar detalles de vulnerabilidades de Aruba (p. ej., en un blog o una conferencia) que esperen estos 60 días después de la publicación de un aviso. Como cortesía, solicitamos que se informe a Aruba sobre esta presentación.

La divulgación no es selectiva en ninguna circunstancia. Según la política de Aruba, se deben notificar las vulnerabilidades a todos los clientes al mismo tiempo. Ningún cliente de Aruba, partner o tercero recibe una notificación anticipada ni detalles adicionales de una vulnerabilidad. En general, los partners OEM de Aruba reciben una notificación con tres días de anticipación a la divulgación pública para que sus respectivos equipos de respuesta de seguridad puedan prepararse para la notificación de sus propios clientes. Los partners OEM de Aruba han acordado bajo contrato coordinar las notificaciones de vulnerabilidades con Aruba de modo que se advierta a todos los usuarios finales al mismo tiempo. Los empleados de Aruba que tienen contacto con el cliente (TAC, SE, etc.) reciben una copia del aviso unas 18 horas antes de la divulgación pública, pero tienen prohibido compartir esa información hasta que se la publique oficialmente. Los partners OEM y los empleados que tienen contacto con el cliente solo reciben una copia del aviso público y no reciben información completa de una vulnerabilidad.

Recepción de avisos de seguridad

Los avisos de seguridad se publican en el sitio web del SIRT de Aruba. Este sitio incluye los avisos más recientes, así como un archivo de avisos anteriores.

Aruba ofrece un servicio de notificación por correo electrónico para los avisos de seguridad. Para suscribirte a este servicio, visita el portal de autoservicio. Este servicio gratuito está disponible para el público y se ofrece con el mayor esfuerzo posible a través de un proveedor de lista de envío comercial. Aruba podrá ofrecer otros canales de notificación a través de ofertas de servicios de soporte de primer nivel, pero en ninguna circunstancia ofrecerá un servicio de “notificación anticipada”.

Acerca de este documento

Este documento se brinda “tal cual” y no implica ningún tipo de garantía, incluidas las garantías de comerciabilidad o idoneidad para un uso particular. Tu uso de la información en el documento o los materiales vinculados con el documento es bajo tu propia responsabilidad. Aruba se reserva el derecho de modificar o actualizar este documento sin previo aviso en cualquier momento.