Перейти к основному содержимому
Выход

Добро пожаловать в Dell

Моя учетная запись
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему
  • Управление узлами, продуктами и контактами уровня продуктов Dell EMC с помощью Company Administration.
Вход Создать учетную запись Вход на портал Premier Вход в партнерскую программу

Политика устранения уязвимостей Dell

Введение

Корпорация Dell стремится помочь заказчикам свести к минимуму риски, связанные с уязвимостями систем безопасности в наших продуктах. Наша цель — предоставить заказчикам своевременную информацию, рекомендации и варианты решения проблем, которые позволят устранить такие уязвимости. Группа Dell Product Security Incident Response Team (Dell PSIRT) отвечает за координацию раскрытия и устранения уязвимостей в продуктах Dell.

Dell активно участвует в работе различных сообществ(на английском языке), включая Forum of Incident Response and Response Teams (FIRST)(на английском языке) и Software Assurance Forum for Excellence in Code (SAFECode)(на английском языке). Наши процессы и процедуры соответствуют стандарту FIRST PSIRT Services Framework(на английском языке), а также другим стандартам, включая ISO/IEC 29147:2018(на английском языке) и ISO/IEC 30111:2019(на английском языке).

Отчеты об устранении уязвимостей

Dell высоко ценит сотрудничество с нашими отраслевыми партнерами и исследователями в сфере безопасности, а также любой вклад в наши инициативы по обеспечению безопасности и поощряет ответственность и скоординированное раскрытие информации, поскольку безопасность наших заказчиков имеет первостепенное значение для нас. Наша цель — обеспечить доступность решений и/или стратегий устранения уязвимостей Dell к моменту раскрытия информации о них, а также взаимодействие со сторонними производителями, если для устранения проблем требуется их содействие.

В соответствии с данной политикой вся раскрываемая информация о новых уязвимостях считается конфиденциальной, если только эта информация уже не была общедоступной. Она должна быть известна только Dell и стороне, которая передает эту информацию, до тех пор, пока не станет доступно исправление и не будут скоординированы действия по раскрытию информации.

Устранение уязвимостей

После выявления уязвимости и подтверждения соответствующего сообщения мы пытаемся разработать и оценить соответствующие средства устранения уязвимости для продуктов, активно поддерживаемых Dell. Решение может быть представлено в одном или нескольких из следующих вариантов:

  • Новая версия содержащего уязвимость продукта с фирменной маркой Dell.
  • Рассылка исправления от Dell, которое может быть установлено на продукт, содержащий данную уязвимость.
  • Инструкции по загрузке и установке обновления или исправления от стороннего поставщика для устранения данной уязвимости.
  • Корректирующая процедура или временное решение, публикуемые Dell, которые объясняют пользователям, какие меры можно принять для устранения данной уязвимости.

Dell прилагает все усилия, чтобы предложить средство устранения уязвимости или корректирующее действие в кратчайшие, коммерчески оправданные сроки. Сроки подготовки решения зависят от многих факторов, таких как:

  • серьезность уязвимости;
  • сложность уязвимости;
  • число продуктов, подверженных уязвимости;
  • трудозатраты и объем усилий для выработки мер по исправлению;
  • жизненный цикл продукта.

Как Dell оценивает уровень серьезности и влияния уязвимостей

Dell использует стандарт Common Vulnerability Scoring System(на английском языке) (CVSS) версии 3.1 для информирования о характеристиках уязвимостей в продуктах Dell. Этот стандарт поддерживается организацией FIRST.

Рейтинг CVSS предусматривает цифровые коды для количественной оценки степени уязвимости и учитывает несколько факторов, включая объем трудозатрат, необходимых для использования уязвимости, а также возможные последствия в случае использования этой уязвимости. Сводная оценка Dell, учитывающая последствия уязвимости, содержащая цифровой рейтинг, векторную строку и качественное представление уровня серьезности (то есть критичный, высокий, средний и низкий), по следующей шкале:

Уровень серьезности

Рейтинг CVSS версии 3.1

Критический

9,0–10

Высокий

7,0–8,9

Средний

4,0–6,9

Низкий

0,1–3,9

Для точной оценки рисков, связанных с ресурсами и внедрением продуктов Dell, заказчику рекомендуется использовать эту информацию для расчета экологических показателей, актуальных для его среды.

Обратите внимание, что нередко полученные от Dell оценка уязвимости, рейтинг CVSS и/или векторная строка отличаются от тех, которые предоставляются другими источниками. В случае расхождения в качестве более достоверного источника информации Dell будет использовать свои рекомендации по безопасности.

Внешние коммуникации

В целях обмена информацией с заказчиками об уязвимостях системы безопасности, затрагивающих наши продукты, Dell публикует рекомендации по безопасности, уведомления и информационные статьи.

Рекомендации по безопасности содержат рекомендации и инструкции, которые помогут заказчику защищать свои данные, минимизировать и/или устранять уязвимости после анализа и выработки решений Dell.

Рекомендации по безопасности должны предоставлять достаточный объем сведений, чтобы можно было оценить влияние уязвимости, а также исправить потенциально уязвимые продукты. Однако полная информация может не предоставляться, чтобы уменьшить вероятность того, что злоумышленники воспользуются этими сведениями в ущерб нашим заказчикам.

Обычно рекомендации Dell по безопасности включают следующие сведения (если применимо):

  • Сводка последствий, которая представляет собой текстовое описание уровня серьезности (критический, высокий, средний и низкий) и определяется по шкале качественной оценки серьезности CVSS для наивысшей базовой оценки CVSS всех выявленных уязвимостей.
  • Затронутые продукты и версии.
  • Базовая оценка и вектор CVSS для всех выявленных уязвимостей.
  • Идентификатор Common Vulnerabilities and Exposures(на английском языке) (CVE) для всех выявленных уязвимостей, чтобы информация о каждой уникальной уязвимости была общей для различных функций управления уязвимостями (например, таких инструментов, как сканеры уязвимостей, репозитории и службы).
  • Краткое описание уязвимости и последствия ее использования.
  • Подробные сведения об устранении, включая информацию об обновлении или временном решении.
  • Сведения о категории уязвимости:
    • Специализированный код — разработанное корпорацией Dell оборудование, программное обеспечение или микропрограмма.
    • Компонент стороннего производителя — оборудование, программное обеспечение или микропрограмма, которые свободно распространяются в составе продукта Dell (в едином пакете или путем включения в продукт иным образом).
  • Дополнительные ссылки (если применимо).

В каждом отдельном случае корпорация Dell вправе опубликовать уведомление безопасности, чтобы распространить информацию об общеизвестной уязвимости с официальным указанием, когда (или где) будет доступна дополнительная информация.

Dell может публиковать информационные статьи, связанные с безопасностью, для предоставления сведений по вопросам безопасности, например:

  • добавленные новые функции повышения уровня безопасности;
  • руководства и оптимальные процедуры по настройке системы безопасности для конкретных продуктов;
  • уязвимости безопасности в компонентах сторонних производителей, которые выявляются средствами сканирования уязвимостей, но не могут быть использованы злоумышленниками через данный продукт;
  • инструкции по установке конкретных обновлений системы безопасности;
  • информация о том, какое влияние обновления системы безопасности в сопутствующих продуктах и продуктах, необходимых как предварительное условие, от сторонних производителей могут оказывать на продукты Dell.

Рекомендации по безопасности и уведомления Dell доступны на странице www.dell.com/support/security(на английском языке). Информационные статьи доступны по этой ссылке после аутентификации.

Как сообщить об уязвимости системы безопасности

При обнаружении уязвимости в любом продукте Dell Technologies просим сообщить об этом немедленно. Очень важно как можно быстрее идентифицировать уязвимости системы безопасности и сообщать о них, чтобы устранять потенциальные угрозы для заказчиков. Специалист по безопасности должен отправлять отчеты об уязвимостях продуктов через сайт Dell Bugcrowd(на английском языке).  Представители предприятий и пользователи коммерческих продуктов, являющиеся заказчиками и партнерами, должны обращаться в соответствующую службу технической поддержки с сообщениями о нарушениях безопасности, обнаруженных в продуктах Dell. Служба технической поддержки, группа по соответствующему продукту и Dell PSIRT организуют совместную работу по решению проблемы и передаче заказчикам дальнейших инструкций.

Отраслевые группы, производители и другие пользователи, которые не имеют доступа к службе технической поддержки и/или не хотят использовать программу устранения ошибок, могут отправить отчеты об уязвимостях непосредственно в Dell PSIRT по электронной почте. Электронное письмо и вложения должны быть зашифрованы с помощью PGP ключом PGP Dell PSIRT, который можно загрузить здесь. Dell подтвердит ваш отчет о раскрытии информации об уязвимостях, как только это позволят обстоятельства.

Во всех случаях Dell будет стараться подтвердить ваш отчет с информацией об уязвимостях в течение трех (3) рабочих дней с момента получения и предоставлять обновленные сведения об устранении уязвимостей каждые 30 (тридцать) календарных дней или чаще.

В сообщении о потенциальной уязвимости предоставьте максимум информации, описанной ниже. Это поможет нам лучше понять природу и масштаб обнаруженной проблемы.

  • Название и версия продукта, где предположительно содержится уязвимость.
  • Сведения о среде или системе, где возникла проблема (например, номер модели продукта, версия операционной системы и другая сопутствующая информация).
  • Код Common Weakness Enumeration (CWE), а также тип и/или класс уязвимости (например, межсайтовое выполнение сценариев, переполнение буфера, отказ в обслуживании, удаленное выполнение кода).
  • Пошаговые инструкции по воспроизведению уязвимости.
  • Код для проверки или сам вредоносный код.
  • Потенциальные последствия уязвимости.

Правила поведения исследователей

Если уязвимость предоставляет вам доступ к конфиденциальной или недоступной информации (включая данные сторонних производителей, личные данные или любую информацию, отмеченную Dell как внутренняя, конфиденциальная или строго конфиденциальная), то используйте такой доступ в минимальной степени, насколько это необходимо для сообщения в Dell об уязвимости. Эта информация должна быть только отправлена в Dell, ее нельзя сохранять, передавать, использовать для любых целей, хранить, раскрывать и копировать.

Также нельзя предпринимать никакие действия, которые могут повлиять на целостность или доступность систем Dell, кроме случаев явного разрешения их владельца. Делайте только то, что необходимо для получения признаков уязвимости. Если вы заметили снижение производительности во время исследования либо оно непреднамеренно привело к нарушению или прерыванию работы (например, доступ к данным заказчика или конфигурациям служб), прекратите любое использование автоматизированных инструментов и немедленно сообщите об этом инциденте. В каждом случае, когда у вас возникли проблемы или вы не уверены, согласуются ли ваши исследования безопасности с этой политикой, прежде чем продолжать, обратитесь по адресу secure@dell.com.

Уведомление Dell о других проблемах безопасности

Используйте соответствующую контактную информацию, приведенную ниже, для сообщения в Dell о других проблемах безопасности.

Проблема безопасности

Контактная информация

Сообщите об уязвимости или проблеме на Dell.com либо в веб-службе, веб-приложении или объекте собственности Dell.

На странице https://bugcrowd.com/dell-com(на английском языке) отправьте сообщение с пошаговыми инструкциями по воспроизведению проблемы.

Если вы подозреваете, что произошла кража персональных данных, либо если вы стали жертвой мошенничества, связанного с Dell Financial Services.

См. раздел Безопасность Dell Financial Services(на английском языке).

Отправка сообщений и вопросов, связанных с конфиденциальностью.

См. раздел Конфиденциальность Dell(на английском языке).

Ограничения

Dell стремится к максимальной прозрачности, предоставляя информацию об устранении уязвимостей в рекомендациях по безопасности и сопроводительной документации, которая может включать в себя примечания к выпускам, статьи базы знаний и ответы на часто задаваемые вопросы.  Dell не предоставляет проверенные эксплойты и код для проверки для выявленных уязвимостей. Кроме того, в соответствии со стандартной практикой ИТ-отрасли корпорация Dell не предоставляет сторонним лицам результаты тестирования и демонстрации внутренних испытаний безопасности, а также другие виды закрытой информации.

Права заказчика: гарантии, поддержка и обслуживание

Права заказчиков Dell в отношении гарантий, поддержки и обслуживания, включая уязвимости в любом программном продукте Dell, регулируются исключительно действующим соглашением между Dell и каждым заказчиком. Заявления на этой веб-странице не изменяют, не расширяют и не дополняют иным образом никаких прав заказчика и не создают никаких дополнительных гарантий.

Внимание!

Все аспекты этой политики реагирования на уязвимости могут быть изменены без предварительного уведомления. Реагирование не гарантируется ни для какой конкретной проблемы или класса проблем. Использование вами информации, содержащейся в данном документе или материалах, доступных по ссылкам в документе, осуществляется под вашу ответственность.