Hopp til hovedinnhold
  • Legg inn bestillinger raskt og enkelt
  • Vis bestillinger og spor forsendelsesstatus
  • Opprett og få tilgang til en liste over produktene dine
  • Administrer Dell EMC-områder, produkter og kontakter for produktnivå ved hjelp av virksomhetsadministrering.

Dell-policy ved svar om sikkerhetsproblem


Innledning


Dell har fokus på å hjelpe kundene med å minimere risikoen knyttet til sikkerhetsproblemer i produktene våre. Målet vårt er å gi kundene tidsriktig informasjon, veiledning og alternativer for skadebegrensning for å håndtere sikkerhetsproblemer. Dell Product Security Incident Response Team (Dell PSIRT) er ansvarlig for å koordinere svar til og avsløring av produktsårbarheter som påvirker Dell-produkter.

Dell deltar aktivt i ulike fellesskapstiltak (på engelsk) inkludert Forum of Incident Response and Response Teams (FIRST) (på engelsk) og Software Assurance Forum for Excellence in Code (SAFECode) (på engelsk). Prosessene og prosedyrene våre samsvarer med FIRST PSIRT Services Framework (på engelsk) i tillegg til andre standarder, inkludert ISO/IEC 29147:2018 (på engelsk) og ISO/IEC 30111:2019 (på engelsk).

Håndtering av rapporter om sikkerhetsproblemer

Dell verdsetter bransjepartnerne og sikkerhetsforskerne våre, setter pris på alle bidrag til sikkerhetsinitiativene våre og oppmuntrer ansvarlig og koordinert disclosure, da sikkerheten til kundene våre er av avgjørende betydning. Målet vårt er å sikre at hjelpemidler og/eller begrensende strategier er tilgjengelige på tidspunktet for offentliggjøring av Dell-spesifikke sårbarheter, og samarbeide med tredjepartsleverandører når utbedring krever samarbeid.

I henhold til denne policyen anses all informasjon om nye sårbarheter som konfidensielle, og skal bare deles mellom Dell og rapporteringsparten hvis informasjonen ikke allerede er offentlig kjent før et hjelpemiddel er tilgjengelig og aktiviteter for offentliggjøring koordineres.

Utbedring av sikkerhetsproblemer

Etter å ha undersøkt og vurdert et rapportert sikkerhetsproblem, forsøker vi å utvikle og kvalifisere riktig løsning for produkter som er under aktiv kundestøtte fra Dell. Et hjelpemiddel kan innebære én eller flere av følgende former:
  • En ny versjon av det aktuelle produktet som er pakket av Dell.
  • En korrigeringsfil fra Dell som kan installeres sammen med det berørte produktet
  • Instruksjoner for å laste ned og installere en oppdatering eller korrigeringsfil fra en tredjepartsleverandør som er nødvendig for å begrense sikkerhetsproblemet.
  • En korrigerende fremgangsmåte eller løsning publisert av Dell som instruerer brukerne om tiltak som kan iverksettes for å redusere sårbarheten.
Dell gjør sitt ytterste for å finne en løsning eller et korrigerende tiltak på kortest mulig kommersiell akseptabel tid. Svartidslinjene avhenger av mange faktorer, for eksempel:
  • Alvorlighetsgraden til sårbarheten,
  • Kompleksiteten i sårbarheten,
  • Omfanget av påvirkning,
  • Innsats/påvirkning for å utbedre,
  • Livssyklus for produkt.

Hvordan Dell vurderer alvorlighetsgraden og påvirkningen av sårbarheter

Dell bruker standarden Common Vulnerability Scoring System (på engelsk) , versjon 3.1 (CVSS v3.1) til å kommunisere egenskapene til sårbarheter i Dell-produkter. Standarden vedlikeholdes av FIRST.

CVSS-poengsum gir en numerisk måte å kvantifisere alvorlighetsgraden for sårbarheten, og tar hensyn til flere faktorer inkludert innsatsnivået som kreves for å utnytte en sårbarhet, i tillegg til den potensielle påvirkningen dersom sårbarheten utnyttes. Dell oppsummerer den vurderte effekten av en sårbarhet ved hjelp av en numerisk poengsum, vektorstreng og kvalitativ fremstilling av alvorlighetsgraden (det vil si én av kritiske, høye, middels, lave), i henhold til skalaen som er vedlagt nedenfor:

Alvorlighetsgrad

CVSS-poengsum v3.1

Kritisk

9.0–10

Høy

7,0–8,9

Middels

4,0–6,9

Lav

0,1–3,9


Dell anbefaler at alle kunder bruker denne informasjonen til å støtte beregningen av miljømålinger som kan være relevante for miljøet deres, for å vurdere risikoen som er spesifikk for ressurser eller implementering av Dell-produkter nøyaktig.

Vær oppmerksom på at det ikke er uvanlig at vurderingen fra Dell av en sårbarhet, CVSS-poengsum og/eller vektorstreng avviker fra vurderinger som oppgis av andre kilder. Hvis det oppstår avvik, vil Dell bruke informasjonen i sikkerhetsveiledningene fra Dell som den autoritative informasjonskilden.

Ekstern kommunikasjon

Dell publiserer sikkerhetsveiledninger, merknader og informasjonsartikler for å kommunisere med kunder om sårbarheter som påvirker produktene våre.

Sikkerhetsveiledninger utgis for å gi veiledning eller instruksjoner om hvordan kundene kan beskytte seg selv, redusere og/eller utbedre sårbarheter når Dell har analysert og identifisert løsninger.

Sikkerhetsveiledningene er ment å gi tilstrekkelig informasjon slik at kundene kan vurdere påvirkningen av sikkerhetsproblemer og utbedre potensielt sårbare produkter. Informasjonen kan imidlertid være begrenset for å redusere sannsynligheten for at ondsinnede brukere kan dra nytte av opplysningene og utnytte disse til skade for kundene våre.

Sikkerhetsveiledningene fra Dell omfatter følgende informasjon der det er aktuelt:
  • Den generelle påvirkningen, som er en ordrett fremstilling av alvorlighetsgraden (det vil si kritisk, høy, middels og lav) som følger Severity Qualitative Severity Rating Scale (CVSS) for den høyeste grunnpoengsummen i CVSS for alle identifiserte sikkerhetsproblemer.
  • Produkter og versjoner som er berørt:
  • Grunnpoengsummen i CVSS, og vektoren for alle identifiserte sikkerhetsproblemer.
  • Common Vulnerabilities and Exposures (på engelsk) (CVE) er identifikator for alle identifiserte sårbarheter, slik at informasjonen for hver unike sårbarhet kan deles på tvers av ulike funksjoner for administrasjon av sårbarheter (for eksempel verktøy som skannere for sårbarheter, filområder og tjenester).
  • Kort beskrivelse av sikkerhetsproblemet, og potensiell påvirkning ved utnyttelse.
  • Løsningsdetaljer med informasjon om oppdatering/omgåelse.
  • Informasjon om sikkerhetsproblemkategori:
    • Proprietær kode – Dell-utviklet maskinvare, programvare eller fastvare.
    • Tredjepartskomponent – maskinvare, programvare eller fastvare som enten er fritt distribuert ferdigpakket, eller på annen måte registrert i et Dell-produkt.
  • Tilleggsreferanser hvis aktuelt.
Fra sak til sak kan Dell publisere en sikkerhetsmerknad for å bekrefte en offentlig kjent sårbarhet, og gi en erklæring eller annen veiledning angående når (eller hvor) tilleggsinformasjon vil være tilgjengelig.

Dell kan publisere sikkerhetsrelaterte informasjonsartikler for å dele informasjon om sikkerhetsrelaterte emner, for eksempel:
  • Nye funksjoner for sikkerhetsforsterkning er introdusert,
  • Produktspesifikke veiledninger for sikkerhetskonfigurasjon og anbefalte fremgangsmåter
  • Sikkerhetssårbarheter i tredjepartskomponenter, identifisert av feilsøkingsverktøy for sikkerhetsproblemer, men som ikke kan utnyttes i det angitte produktet
  • Installasjonsinstruksjoner for bruk av spesifikke sikkerhetsoppdateringer
  • informasjon om virkningen av sikkerhetsoppdateringer i produkter som ikke er fra Dell, og forutsetninger som kan ha påvirkning på Dell-produkter
Hvis du vil ha informasjon om Dells sikkerhetsveiledninger og merknader, kan du gå til www.dell.com/support/security. Informasjonsartikler er tilgjengelige på denne koblingen når de godkjennes.

Slik rapporterer du sikkerhetsproblemer


Hvis du har identifisert en sikkerhetssårbarhet i et Dell-produkt, må du rapportere det umiddelbart til oss. Rask identifisering av sikkerhetssårbarheter er avgjørende for å begrense potensielle risikoer for kundene våre. Sikkerhetsforskere bør sende inn rapporter om produktsårbarhet via Dell Bugcrowd-nettstedet (på engelsk).

Kunder og partnere for virksomhetsprodukter og kommersielle produkter bør kontakte sine respektive team for teknisk støtte for å rapportere eventuelle sikkerhetsproblemer som er oppdaget i Dell-produkter. Teknisk støtteteam, riktig produktteam og Dell PSIRT arbeider sammen for å løse problemet som rapporteres, og hjelpe kundene med neste trinn.

Bransjegrupper, leverandører og andre brukere som ikke har tilgang til teknisk støtte og/eller som ikke ønsker å gå via Bug Bounty-programmet, kan sende sårbarhetsrapporter direkte til Dell PSIRT via e-post. E-postmeldinger og vedlegg kan krypteres ved hjelp av PGP og en Dell PSIRT PGP-nøkkel, som er tilgjengelig for nedlasting her.

Når du rapporterer potensielle sikkerhetsproblemer, må du legge ved så mye som mulig av informasjonen nedenfor, slik at vi bedre kan forstå problemet som rapporteres og omfanget av dette:

  • Produktnavn og -versjon som inneholder mistanke om svakhet/sårbarhet,
  • Miljø- eller systeminformasjon der problemet ble gjenskapt (for eksempel produktmodellnummer, operativsystemversjon og annen relatert informasjon.)
  • Felles opplisting av svakhet (CWE) og type og/eller sårbarhetsklasse (for eksempel skripting på tvers av områder, bufferoverflyt, tjenestenekt, ekstern kjøring av kode),
  • Trinnvise instruksjoner for å gjenskape sårbarheten,
  • Konseptutprøving eller utnyttelseskode,
  • Potensiell påvirkning av sikkerhetsproblemet,
Varsling av Dell om andre sikkerhetsproblemer

Bruk de aktuelle kontaktene som er oppført nedenfor for å rapportere andre typer sikkerhetsproblemer til Dell:

Sikkerhetsproblem

Kontaktinformasjon

Slik rapporterer du sårbarhet eller problemer i Dell.com eller andre tjenester på nett, nettapplikasjoner eller eiendom

Send inn en rapport på https://bugcrowd.com/dell-com (på engelsk) med trinnvise instruksjoner for å reprodusere problemet.

Hvis du mistenker identitetstyveri, eller har opplevd en straffbar transaksjon knyttet til Dell Financial Services.

Se Dell Financial Services Security (på engelsk).

Slik sender du inn personvernrelaterte forespørsler eller spørsmål

Se Dell-personvern (på engelsk)



Begrensninger

Dell-støtte kan ikke gi ytterligere informasjon om spesifikke sårbarheter utover det som er angitt i sikkerhetsveiledningen og relatert dokumentasjon som produktmerknader, artikler i kunnskapsbasen og vanlige spørsmål. Dell deler heller ikke verifiserte utnyttelser eller bevis på konseptkode for identifiserte sårbarheter. I henhold til bransjepraksis deler ikke Dell testresultater eller bevis på konsept fra intern sikkerhetstesting eller andre typer priviligert informasjon med eksterne enheter.

Kunderettigheter: Service, kundestøtte og vedlikehold

Rettigheter for Dell-kunder med hensyn til service, kundestøtte og vedlikehold – inkludert sårbarheter i et Dell-programvareprodukt – styres utelukkende av en gjeldende avtale mellom Dell og hver enkelt kunde. Uttalelsene på denne nettsiden endrer ikke, utvider eller på annen måte korrigerer eventuelle kunderettigheter eller oppretter eventuelle ekstra garantier.

Ansvarsfraskrivelse

Alle aspekter ved denne policyen for svar om sikkerhetsproblemer kan endres uten varsel. Svaret er ikke garantert for noe bestemt problem eller klasse av problemer. Bruken din av informasjonen eller materialet i dette dokumentet som er knyttet til dette, er på egen risiko.