Aruba 產品安全事件因應政策

範圍

Aruba 的安全事件因應團隊 (SIRT) 負責接收、追蹤、管理及揭露 Aruba 產品的漏洞。出現漏洞報告時,Aruba SIRT 會主動與產業、非營利和政府組織,以及安全社群合作。安全漏洞的定義為:任何讓攻擊者可在該環境中透過 Aruba 產品損害產品、客戶基礎架構或 IT 系統機密、完整性或可用性的產品弱點。

Aruba SIRT 活動範圍涵蓋 Hewlett Packard Enterprise 子公司 Aruba 以 Aruba 品牌名義製造或販售的產品,包括 Aruba Central 等 Aruba 的 SaaS 解決方案。涵蓋範圍僅包括目前支援,且未達到其終止支援里程碑日期的產品和軟體版本 (如 Aruba 生命週期結束產品頁面中所列)。除 Aruba 品牌產品之外,Aruba SIRT 也會處理目前支援之由 Aruba 子公司或併購公司製造的產品,以及目前支援之 HP ProCurve 品牌名下的交換器產品。

Aruba SIRT 的運作符合 ISO/IEC 29147:2018 規範。

聯絡 Aruba 以取得安全協助

Aruba 產品 – 一般安全諮詢

許多客戶對 Aruba 產品安全抱有疑問或隱憂,其中包括:

  • 一般安全問題
  • 安全強化指南中未涵蓋的安全相關設定問題
  • 關於是否正遭遇產品漏洞的問題
  • 關於特定 CVE 的問題
  • 關於漏洞掃描程式結果的問題
  • 需要緊急支援協助

一般來說,首次聯絡進行上述類型的諮詢時,您應使用以下聯絡資訊聯絡 Aruba 技術協助中心 (TAC)。

交換器產品緊急支援 (包括 HP ProCurve)其他所有 Aruba 產品緊急支援
+1 844 806-3425 (北美洲)+1 800 943-4526 或 +1 408 754-1200 (北美洲)
北美洲以外地區的聯絡資訊北美洲以外地區的聯絡資訊

非 Aruba HPE 產品

若要回報其他非 Aruba HPE 產品的漏洞,請透過 https://www.hpe.com/h41268/live/index_e.aspx?qid=11503 聯絡 HPE PSIRT

Aruba 的網站、數位工作場所系統,或非產品相關事件

請傳送電子郵件至 security@hpe.com

Aruba 可疑產品漏洞

如果您發現任何 Aruba 產品疑似出現產品漏洞,並且擁有 POC (概念驗證) 代碼或程序,和/或顯示 Aruba 產品或環境可能遭受入侵 (因 Aruba 產品漏洞所致) 之所有下方詳細資料,請直接聯絡 Aruba SIRT。

如需通報 Aruba 此類產品漏洞,請盡量使用公開 PGP 金鑰 (ID 0x458586D9) 傳送電子郵件至 sirt@arubanetworks.com,您可以在公開金鑰伺服器或 www.arubanetworks.com/support-services/public-key 找到該金鑰。

請務必在您的電子郵件中包含以下資訊:

  1. 問題的詳細說明,以及我們可聯繫上的技術聯絡人資訊,這名技術人員必須能夠回答所有相關問題
  2. 相關 Aruba 硬體的清單
  3. 相關 Aruba 軟體版本
  4. 問題的詳細說明,最好能提供足夠的資訊以重現問題
  5. 記錄、損毀傾印、螢幕截圖及其他支援資訊

如果您的電子郵件符合上述條件,Aruba SIRT 會在 24 小時內確認您的電子郵件。確認電子郵件後,我們需要五個工作天來驗證報告內容,並準備回應或要求更多資訊 (如有需要)。我們希望您能等候我們的回應,而後再向其他單位通報此問題。

對於「非產品」HPE 或 Aruba IT 系統、網路或網站,Aruba SIRT 概不負責。請參閱上方的聯絡資訊以取得各產品與服務的協助。

Aruba SIRT 無法對部署在客戶環境中之產品進行相關事件回應或鑑識調查,但如果由客戶進行的調查找出了先前未知的產品漏洞證據,Aruba SIRT 將提供支援。

Aruba 對產品安全與完整性的承諾

Aruba 產品開發做法通常會遵循 OWASP OpenSAMM 架構,大多數 Aruba 產品的設計均符合相關 ISO/IEC 15408 (共同準則) 保護剖繪。

HPE 和 Aruba 企業政策禁止可允許未授權裝置或網路存取、暴露敏感客戶資料,或略過安全功能的蓄意產品功能。這些功能包括但不限於:

  • 未揭露的未授權裝置存取方法 (例如「後門程式」)
  • 蓄意的通訊協定或密碼編譯弱點
  • 硬式編碼或未記錄的帳戶及帳戶憑證
  • 轉換通訊通道
  • 允許複製或轉接網路流量的未記錄功能

Aruba 將此類產品行為視為嚴重漏洞,且會修正並公開揭露漏洞來處理此類行為。

Aruba 對安全社群的承諾

Aruba 持續支援安全社群及安全研究人員的工作,並十分重視該社群為了提升技術產品安全所完成的工作。Aruba 致力於和安全社群合作以探索、驗證及回應 Aruba 產品中發現的漏洞,並鼓勵社群參與負責任的揭露流程。

為了鼓勵社群負責任地回報安全漏洞,Aruba 不會對進行合法、善意的安全研究,並且回報 Aruba 產品或服務漏洞之任何個人或團體採取法律動作,只要這些個人或團體遵循下列準則:

  • 提供重現漏洞所需的所有資訊。
  • 未侵害 Aruba 客戶、合作夥伴或使用者的隱私權。如果您持有可影響他人隱私權的資訊,請向 Aruba 安全地通報此資訊,並將其銷毀。
  • 未修改不屬於自己的資訊。
  • 公開發表任何漏洞資訊之前,讓 Aruba 有合理的時間修正並揭露該漏洞。Aruba SIRT 願意依要求提供與漏洞報告相關的狀態更新資訊。
  • 未違反任何法規。

具體來說:

  • Aruba 不會將合法、善意的安全研究視作違反 Aruba 使用者授權合約,即使該項研究涉及對 Aruba 技術進行逆向工程。
  • Aruba 不會依據《數位千禧年著作權法》,針對合法、善意的安全研究人員提出版權侵權索賠,即使該項研究涉及繞過 Aruba 產品中的安全機制。
  • 在研究人員遵循《電腦欺詐和濫用法》的前提下,針對合法、善意的安全研究人員存取 Aruba SIRT 負責之產品的行為,Aruba 不會據此政策將此存取動作視作未經授權存取,或是超出授權的存取。

Aruba 會在發佈的漏洞摘要報告中公開認可並表揚安全研究人員。部分 Aruba 產品屬於由 Bugcrowd 管理的漏洞回報獎勵計畫 (Bug Bounty Program),Aruba 會支付獎金給選擇參與此計畫的研究人員。即使研究人員先將漏洞直接回報給 Aruba,之後才在漏洞回報獎勵計畫中通報,Aruba 仍會支付款項。

在進行合法的安全研究期間,Aruba 產品可能會蓄意或非蓄意地變得無法運作 (「變磚」)。Aruba 將基於付出合理商業努力下,一次性嘗試協助研究人員維修此類產品。

Aruba 安全漏洞回應流程

所有傳送給 Aruba SIRT 且與 Aruba 產品可疑或潛在漏洞相關之報告,均會由 Aruba SIRT 成員審核和處理。審核過程會使用可疑漏洞的書面說明,以及通報者收集的任何證明資料。在某些情況下,有必要要求報告實體提供其他資訊,才能開始審核流程。

Aruba SIRT 會執行詳細的審核和分析程序,以針對通報的漏洞進行最適切的資格審核與分類。我們會要求通報者提供詳細技術資訊和情境說明,以確保成功完成評估。Aruba SIRT 會在執行初始評估後判定嚴重等級。如果漏洞確實存在,SIRT 將聯絡通報者以更新漏洞的調查狀態和嚴重等級。Arubta SIRT 將與通報者共同決定漏洞的預計解決時限,以及客戶與公開通訊計畫。

Aruba SIRT 對管理開發程序、發佈漏洞因應措施及修補程式版本須負起全責。Aruba SIRT 必須進行此監督工作,以確保在通知過程中可滿足客戶支援的各個適當層面。準備好為客戶發佈因應措施和修補程式版本時,Aruba SIRT 會在 SIRT 網站上發表摘要報告以便客戶存取。

Aruba SIRT 收到的所有資訊均視為機密,因此只有限定的 Aruba 領域專家群可存取此類資訊,這些專家需具備特定技能以提供最完善的解決方案行動計畫。此外,SIRT 會請求通報者將此視為機密資訊,直到 Aruba 可為客戶提供解決方案計畫和風險降低選項,以及協調的客戶與公開揭露為止。如果通報者希望就找到漏洞此舉接受公開認可或「表揚」,Aruba 會在發佈的安全摘要報告中公開認可或表揚。

揭露準則

Aruba 會遵循 ISO/IEC 30111 處理並揭露漏洞。

Aruba 通常只會在可提供永久性修正後公開揭露漏洞。如果漏洞發生於軟體的多個分支,或多個軟體產品之中,Aruba 會在更新並推出最後一個分支或最後一個產品後發佈摘要報告。但如果 Aruba 發現未公開漏洞的資訊已在外部流傳,則會立即發佈漏洞摘要報告,以及任何可能有效的因應或防禦措施詳細資料。如果開源軟體的漏洞已被公開討論,Aruba 會在判斷該漏洞會影響 Aruba 產品後,立即發佈安全摘要報告。

初始漏洞摘要報告會包含漏洞、因應措施及漏洞解決步驟的一般資訊。公開摘要報告是 Aruba 在前 60 天提供給任何對象的唯一資訊。60 天後,Aruba 可能自行決定公開發表漏洞的完整詳細資料。對於希望公開 Aruba 漏洞詳細資料 (例如透過部落格或會議) 的安全研究人員,Aruba 會請求對方在摘要報告發佈後同樣等待 60 天後再行發表。我們也會要求您禮貌告知 Aruba 您即將進行這類簡報。

Aruba 在任何情況下均不會選擇性揭露漏洞。Aruba 的政策是同時向所有客戶通知漏洞資訊。Aruba 不會向任何 Aruba 客戶、合作夥伴或第三方提前通知或提供額外的漏洞詳細資料。Aruba 的 OEM 合作夥伴通常會在公開揭露前三天收到通知,以便各自的安全回應團隊可準備向自身客戶進行通知。Aruba 的 OEM 合作夥伴已在合約中同意與 Aruba 協調漏洞通知,讓所有使用者同時收到警示。與客戶有直接往來的 Aruba 員工 (例如 TAC、SE 等) 會在公開揭露約 18 小時前收到摘要報告的副本,但在官方發表前禁止分享該資訊。OEM 合作夥伴和與客戶直接往來的員工僅擁有公開摘要報告的副本,不會收到漏洞的完整細節。

接收安全摘要報告

安全摘要報告會發佈至 Aruba SIRT 網站上。此網站會包含最新的摘要報告,以及先前的摘要報告封存。

Aruba 提供安全摘要報告的通知電子郵件服務。若要訂閱此服務,請造訪自助服務入口網站。這項免費服務為公開提供,並由商業電子郵件清單供應商盡力提供。Aruba 可能會透過高階支援服務方案提供其他通知管道,但在任何情況下,Aruba 均不會提供「提前通知」服務。

關於此文件

此文件依「現況」提供,並且未暗示任何保證或保固,包含對特定用途之適銷性或適用性的保證。針對使用文件資訊或文件所連結的資料,您須自行承擔相關風險。Aruba 保留隨時變更或更新此文件的權利,恕不另行通知。