Aruba 产品安全事故响应策略

范围

Aruba 的安全事故响应团队 (SIRT) 负责接收、跟踪、管理和披露 Aruba 产品中的漏洞。收到漏洞报告后,Aruba SIRT 将与行业、非营利组织、政府组织和安全社区展开积极合作。安全漏洞被定义为产品中允许攻击者通过该环境中的 Aruba 产品破坏产品、客户基础设施或 IT 系统保密性、完整性或可用性的任何薄弱环节。

Aruba SIRT 活动涵盖由 Hewlett Packard Enterprise 旗下公司 Aruba 以 Aruba 为品牌名称制造或销售的产品,包括 Aruba 的 SaaS 解决方案,例如 Aruba Central。仅涵盖当前支持且尚未达到 Aruba 终止使用页面列出的终止支持里程碑日期的产品和软件版本。除了 Aruba 品牌的产品外,Aruba SIRT 还涵盖当前支持的由 Aruba 子公司或收购公司制造的产品,以及当前支持的具有 HP ProCurve 品牌名称的交换产品。

Aruba 的 SIRT 根据 ISO/IEC 29147:2018 运行。

联系 Aruba,寻求安全援助

Aruba 产品 – 一般安全咨询

许多客户都会对 Aruba 产品的安全性提出问题和疑问,包括下列问题:

  • 一般安全问题
  • 硬化指南中未涵盖的与安全相关的配置问题
  • 关于是否遇到产品漏洞的问题
  • 与特定 CVE 相关的问题
  • 与漏洞扫描结果相关的问题
  • 需要紧急支持援助

一般而言,就此类咨询首次进行联系时,您应使用以下联系信息联系 Aruba 技术援助中心 (TAC)。

交换产品(包括 HP ProCurve)紧急支持适用于所有其他 Aruba 产品的紧急支持服务
+1 844 806-3425(北美)+1 800 943-4526 或 +1 408 754-1200(北美)
北美以外地区的联系信息北美以外地区的联系信息

非 Aruba HPE 产品

要报告其他非 Aruba HPE 产品中的漏洞,请通过 https://www.hpe.com/h41268/live/index_e.aspx?qid=11503 联系 HPE PSIRT

Aruba 的网站、数字化工作场所系统或与产品无关的问题

请发送电子邮件至 security@hpe.com

Aruba 可疑产品漏洞

如果您发现任何 Aruba 产品存在可疑产品漏洞、POC(概念验证)代码或流程和/或表明 Aruba 产品或环境可能受到威胁(由于 Aruba 产品漏洞)的以下所有详细信息,请直接联系 Aruba SIRT。

向 Aruba 报告此类产品漏洞的首选方法是使用我们的公共 PGP 密钥 (ID 0x458586D9) 向 sirt@arubanetworks.com 发送电子邮件,该密钥可在公共密钥服务器或 www.arubanetworks.com/support-services/public-key 上找到。

请确保在您的电子邮件中包含:

  1. 问题的详细描述以及我们可以联系到,且可以回答所有相关问题的技术联系人
  2. 涉及的 Aruba 硬件列表
  3. 涉及的 Aruba 软件版本
  4. 问题的详细描述,最好可以提供足够的信息来重现问题
  5. 日志、故障转储、屏幕截图和其他支持信息

如果您的电子邮件符合上述条件,Aruba SIRT 将在 24 小时内确认您的电子邮件。确认电子邮件后,我们需要五个工作日来验证报告的发现并准备回复或请求更多信息(如果需要)。如果您可以在向其他人报告问题之前等待我们的回复,我们将不胜感激。

Aruba SIRT 不对任何“非产品”HPE 或 Aruba IT 系统、网络或网站负责。请参阅以上有关相应产品和服务的联系信息。

Aruba SIRT 无法对部署在客户环境中的产品进行事故响应或取证调查,但如果客户调查发现之前未知的产品漏洞证据,Aruba SIRT 将提供相关支持。

Aruba 对产品安全性和完整性的承诺

Aruba 产品开发实践通常会遵循 OWASP OpenSAMM 框架要求,并且大多数 Aruba 产品的设计符合相关的 ISO/IEC 15408(通用标准)保护配置文件的要求。

HPE 和 Aruba 公司政策禁止允许未经授权的设备或网络访问、泄露敏感客户数据或故意绕过安全功能的产品特性或功能。包括但不限于:

  • 未公开的未经授权的设备访问方法(即“后门”)
  • 故意设置的协议或加密弱点
  • 硬编码或未公开的帐户和帐户凭据
  • 隐蔽的通信信道
  • 未公开的,允许复制或转移网络流量的功能

Aruba 将此类产品行为视为严重漏洞,并将通过纠正漏洞和发布漏洞披露信息的方式来处理这些漏洞。

Aruba 的安全社区承诺

Aruba 一直支持安全社区和安全研究人员的工作,并重视该社区为提高技术产品的安全性所做的工作。 Aruba 致力于与安全社区合作,以便发现、验证在我们的产品中发现的漏洞并对其进行积极响应,并鼓励社区参与负责任的披露流程。

为了鼓励负责任的安全漏洞报告,Aruba 不会对任何对 Aruba 产品或服务进行合法善意安全研究和报告漏洞的个人或团体提起诉讼或申请强制执行,前提是这些个人或团体遵守以下准则:

  • 提供重现漏洞所需的所有信息。
  • 不侵犯 Aruba 客户、合作伙伴或用户的隐私。如果您掌握了会影响隐私的信息,请将该信息安全地报告给 Aruba,然后将其销毁。
  • 不修改不属于您的信息。
  • 在公开任何信息之前,请为 Aruba 留出一段合理的时间来纠正和披露漏洞。Aruba SIRT 愿意根据要求提供有关漏洞报告的状态更新。
  • 不违反任何法律。

特别声明:

  • Aruba 不认为合法的善意安全研究会违反 Aruba 最终用户许可协议,即使该研究涉及对 Aruba 技术进行的逆向工程。
  • Aruba 不会根据《数字千年版权法》对合法的善意安全研究人员提出版权侵权索赔,即使该研究涉及规避 Aruba 产品中的安全机制。
  • 只要研究人员遵守本政策,Aruba 不会认为合法的善意安全研究人员对 Aruba SIRT 涵盖的产品的访问是未经授权的访问或超出《计算机欺诈和滥用法》授权范围的访问。

Aruba 将在已发布的漏洞公告中向安全研究人员提供公开的承认和信任。一些 Aruba 产品是 Bugcrowd 管理的漏洞奖励计划的一部分,Aruba 将向选择参与该计划的研究人员支付奖励。即使研究人员首先直接向 Aruba 报告该漏洞,然后通过漏洞奖励计划报告该漏洞,也可以获得奖励。

在合法的安全研究过程中,Aruba 产品可能会有意或无意地变得无法运行(“崩溃”)。Aruba 将做出商业上合理的努力,帮助研究人员一次性修复此类产品。

Aruba 安全漏洞响应流程

所有发送给 Aruba SIRT 的关于可以或可能存在与 Aruba 产品相关的漏洞的报告均由 Aruba 的 SIRT 成员审查和处理。该审查利用对可疑漏洞的书面描述以及报告者收集的任何其他支持数据进行。在某些情况下,需要报告实体提供更多信息才能开始审查。

Aruba SIRT 会采用一种全面彻底的审查和分析流程,以便对报告的漏洞进行最为理想的甄别和分类。我们需要报告者提供详细的技术信息和基于场景的描述,以确保成功完成评估。在 Aruba SIRT 执行初步评估后,会为漏洞分配严重性级别。SIRT 将联系报告者,以更新调查状态以及漏洞的严重性级别(如有)。Aruba SIRT 将与报告者一起确定解决问题的计划时间表,以及客户和公众通告计划。

Aruba SIRT 全面负责管理漏洞临时解决方案和补丁版本的开发和分发过程。需要这种监督模式才能确保在通知过程中满足客户支持的适当方面。准备好向客户分发临时解决方案和补丁版本时,Aruba SIRT 将在 SIRT 网站上发布公告,以便客户轻松访问。

Aruba SIRT 收到的所有信息均将被视为机密信息,因此仅限于具有特定技能,专门负责提供最全面的解决行动计划的有限 Aruba 主题专家组。此外,SIRT 将要求报告者将信息视为机密信息,直到 Aruba 能够为客户提供解决方案和缓解选项,以及经过协调的客户和公众披露计划。如果报告者希望就发现漏洞获得公开的承认和“信任”,Aruba 将在已发布的安全公告中提供这些信息。

披露准则

Aruba 根据 ISO/IEC 30111 处理和披露漏洞。

通常仅在可提供永久修复方案之后才会进行漏洞的公开披露。如果漏洞发生在多个软件分支或多个软件产品中,Aruba 将在更新和发布最后一个分支或产品后发布公告。但如果 Aruba 获悉有关某未发布漏洞的信息已经对外公布,则会立即发布漏洞公告以及任何可能的临时解决方案或防御方法的详细信息。对于公开讨论的开源软件漏洞,一旦确定漏洞会影响 Aruba 产品,Aruba 将立即发布安全公告。

初始漏洞公告将包含有关漏洞的一般信息、临时解决方案和解决漏洞的步骤。公众公告是 Aruba 会在前 60 天内向任何人提供的唯一信息。60 天后,Aruba 可能会自行决定公开有关漏洞的全部详细信息。我们会要求希望公开 Aruba 漏洞详细信息(例如在博客或会议上)的安全研究人员在发布公告后等待相同的 60 天期限。出于礼貌,烦请您在进行此类演示前通知 Aruba。

在任何情况下,披露都不具备选择性。Aruba 的政策是同时向所有客户通知漏洞。不会向 Aruba 客户、合作伙伴或第三方提供有关漏洞的提前通知或其他详细信息。Aruba 的 OEM 合作伙伴通常会在公开披露前三天收到通知,以便他们各自的安全响应团队准备好通知自己的客户。Aruba 的 OEM 合作伙伴已通过合同同意与 Aruba 协调漏洞通知,以便同时向所有最终用户发出提醒通知。Aruba 面向客户的员工(TAC、SE 等)会在公开披露大约 18 小时前收到一份公告副本,但在正式发布之前禁止共享该信息。OEM 合作伙伴和面向客户的员工仅会获得一份公众公告;不会向他们提供漏洞的完整细节。

接收安全公告

安全公告将会发布在 Aruba SIRT 网站上。该网站会提供最新的公告以及之前公告的存档。

Aruba 可提供安全公告电子邮件通知服务。要订阅此服务,请访问自助服务门户。这项免费服务向公众开放,并通过商业邮件列表提供商尽最大努力提供。Aruba 可能会通过高级支持服务提供其他通知渠道,但在任何情况下 Aruba 都不会提供“提前通知”服务。

关于本文档

本文档按“原样”提供,并不会暗示任何形式的保证或担保,包括对适销性或特定用途适用性的保证。使用文档中的信息或从文档链接的材料需要您自担风险。Aruba 保留随时对本文档进行更改或更新的权利,如有更改或更新,恕不另行通知。