Preskočiť na hlavný obsah
Odhlásiť sa

Vitajte v spoločnosti Dell!

Moje konto
  • Zadávajte objednávky rýchlo a jednoducho
  • Pozrite si svoje objednávky a sledujte priebeh doručenia
  • Vytvorte si zoznam svojich produktov a majte ho vždy poruke
  • Spravujte svoje lokality Dell EMC, produkty a kontaktné informácie na úrovni produktov pomocou Správy informácií o spoločnosti.
Prihlásiť sa Vytvoriť konto Prihlásenie na stránky Premier Prihlásenie do partnerského programu
Kontaktujte nás

Postup firmy Dell pri reagovaní na ohrozenie zabezpečenia

Úvod

Firma Dell robí všetko pre to, aby svojim zákazníkom pomohla minimalizovať riziká súvisiace s ohrozeniami zabezpečenia produktov značky Dell. Naším cieľom je poskytnúť zákazníkom v prípade výskytu ohrození systémov včas všetky potrebné informácie, rady a možnosti, ktoré im pomôžu riešiť vzniknutú situáciu a minimalizovať jej potenciálne negatívny dosah. Reagovanie na všetky ohrozenia zabezpečenia produktov Dell, ako aj koordinovanie ďalších krokov a informovanie zákazníkov, je úlohou tímu známeho ako Dell PSIRT (Product Security Incident Response Team), teda tímu zodpovedného za riešenie incidentov spojených so zabezpečením produktov firmy Dell.

Dell sa aktívne zapája do aktivít komunity(v angličtine) vrátane fóra Forum of Incident Response and Response Teams (FIRST)(v angličtine) a fóra Software Assurance Forum for Excellence in Code (SAFECode)(v angličtine). Naše procesy a postupy sú v súlade s rámcom FIRST pre poskytovanie služieb tímami PSIRT(v angličtine) a ďalšími normami vrátane ISO/IEC 29147:2018(v angličtine) a ISO/IEC 30111:2019(v angličtine).

Nakladanie so správami o ohrození zabezpečenia

Dell si cení svojich partnerov v odvetví a pracovníkov v oblasti výskumu zabezpečenia, oceňuje snahu všetkých, ktorí sa zapájajú do bezpečnostných iniciatív spoločnosti, a nabáda k zodpovednému a koordinovanému zverejňovaniu informácií, keďže bezpečnosť svojich zákazníkov berie mimoriadne vážne. Naším cieľom je zaistiť, aby mali naši zákazníci v čase zverejnenia chýb zabezpečenia týkajúcich sa produktov Dell k dispozícii opravné prostriedky a/alebo stratégie na zmiernenie negatívneho dosahu týchto chýb, a v prípade potreby spolupracovať na ich odstránení s tretími stranami.

Jednou z našich zásad pri reagovaní na ohrozenie zabezpečenia je, že všetky zverejnené informácie o chybách zabezpečenia – ak ešte nie sú verejne známe – sú dôverné, a teda majú zostať iba medzi firmou Dell a ich nahlasovateľom dovtedy, kým sa nenájde riešenie a nedohodne sa koordinovaný postup zverejnenia všetkých informácií.

Riešenie problémov so zabezpečením

Po preskúmaní a overení nahlásenej chyby zabezpečenia urobíme všetko pre to, aby sme našli riešenie a stanovili rozsah produktov, na ktoré sa v rámci uzavretých zmlúv o poskytovaní podpory bude toto riešenie vzťahovať. Takéto riešenie môže mať jednu alebo viacero z nasledujúcich foriem:

  • nová verzia ohrozeného produktu od firmy Dell;
  • oprava chyby, ktorú poskytne firma Dell na inštaláciu do ohrozeného produktu;
  • pokyny na stiahnutie a inštaláciu aktualizácie alebo opravy chyby vyžadovanej na minimalizovanie negatívneho vplyvu poskytované treťou stranou, ktorá je dodávateľom produktu;
  • postup minimalizácie ohrozenia alebo dočasné riešenie problému zverejnené firmou Dell, ktoré poskytuje používateľom návod, ako znížiť bezpečnostné riziko.

Firma Dell vynakladá všetky sily na to, aby svojim zákazníkom dokázala ponúknuť riešenie problému alebo nápravné opatrenie v čo najkratšom čase od odhalenia problému. Rýchlosť reakcie závisí od rôznych faktorov, akými sú napríklad:

  • závažnosť chyby zabezpečenia;
  • komplexnosť chyby zabezpečenia;
  • rozsah negatívneho dosahu;
  • úsilie potrebné na opravu;
  • životný cyklus produktu.

Ako hodnotí Dell úroveň závažnosti a mieru negatívneho dosahu chýb zabezpečenia

Dell používa pri komunikovaní o špecifikách chýb zabezpečenia svojich produktov normu Common Vulnerability Scoring System(v angličtine), konkrétne verziu 3.1 (CVSS v3.1). Aktuálnosť tejto normy zabezpečuje fórum FIRST.

Hodnotenie CVSS definuje závažnosť chyby zabezpečenia na číselnej stupnici, pričom zohľadňuje viacero faktorov ako napríklad množstvo úsilia, ktoré musia útočníci vynaložiť na zneužitie danej chyby, ako aj potenciálny negatívny dosah v prípade zneužitia chyby. Dell následne zhrnie hodnotenie negatívneho dosahu danej chyby zabezpečenia do podoby číselného skóre, vektorového reťazca a slovného hodnotenia úrovne závažnosti (kritická, vysoká, stredná, nízka) v súlade s nižšie zobrazenou stupnicou:

Závažnosť

Skóre CVSS v3.1

Kritická

9,0 – 10

Vysoká

7,0 – 8,9

Stredná

4,0 – 6,9

Nízka

0,1 – 3,9

Dell odporúča všetkým zákazníkom, aby pri posudzovaní aspektov, ktoré by mohli byť relevantné pre ich prostredie, pracovali s týmito informáciami, pretože im pomôžu stanoviť čo najpresnejšie mieru rizika, ktoré daná chyba zabezpečenia predstavuje pre ich zariadenia, resp. implementácie produktov značky Dell.

Zároveň by sme vás chceli upozorniť, že skóre CVSS a/alebo vektorový reťazec zverejňovaný firmou Dell pri chybách zabezpečenia sa môže líšiť od týchto informácií z iných zdrojov. V prípade takejto situácie použije Dell ako smerodajný zdroj informácií Bezpečnostné odporúčania firmy Dell.

Externá komunikácia

Na informovanie zákazníkov o chybách zabezpečenia svojich produktov využíva firma Dell bezpečnostné odporúčania, upozornenia týkajúce sa zabezpečenia a informačné články.

Prostredníctvom bezpečnostných odporúčaní poskytuje firma Dell svojim zákazníkom pokyny, ako sa môžu chrániť, ako zmierniť riziko a ako opraviť dané chyby zabezpečenia, keď Dell celú situáciu riadne analyzuje a prinesie riešenia.

Tieto odporúčania majú zákazníkom poskytnúť dostatok informácií na to, aby dokázali vyhodnotiť potenciálny negatívny dosah chyby zabezpečenia a napraviť ju v dotknutých produktoch. Informácie uvedené v bezpečnostných odporúčaniach však nemusia obsahovať všetky detaily, a to z dôvodu, aby sa zabránilo ich zneužitiu útočníkmi na poškodenie zákazníkov.

Ak to konkrétna situácia umožňuje, bezpečnostné odporúčania firmy Dell budú zvyčajne obsahovať tieto informácie:

  • celkový negatívny dosah, teda slovné hodnotenie závažnosti (kritická, vysoká, stredná alebo nízka), ktorý sa opiera o stupnicu kvalitatívneho hodnotenia závažnosti CVSS a najvyššie základné skóre CVSS všetkých identifikovaných chýb zabezpečenia;
  • ohrozené produkty a verzie;
  • základné skóre a vektor CVSS pre všetky identifikované chyby zabezpečenia;
  • identifikátor Common Vulnerabilities and Exposures(v angličtine) (CVE), teda identifikátor bežných chýb zabezpečenia a zraniteľností, ktorý umožňuje zdieľať informácie o každej jedinečnej chybe naprieč rôznymi nástrojmi na správu (napríklad skenery chýb zabezpečenia, databázy či služby);
  • stručný opis chyby zabezpečenia a jej potenciálny negatívny dosah v prípade zneužitia;
  • podrobnosti o náprave spolu s informáciami o aktualizácii/dočasnom riešení;
  • Informácie o kategórii zraniteľnosti:
    • Proprietárny kód – hardvér, softvér alebo firmvér vyvinutý spoločnosťou Dell.
    • komponent od tretej strany – hardvér, softvér alebo firmvér, ktorý je buď voľne distribuovaný v balení, alebo je inak začlenený do produktu firmy Dell;
  • ďalšie referencie (podľa potreby).

V niektorých prípadoch môže firma Dell na základe vlastného uváženia zverejniť upozornenie týkajúce sa zabezpečenia, prostredníctvom ktorého potvrdí verejne známu chybu zabezpečenia a poskytne vyhlásenie alebo iné pokyny k tomu, kedy (alebo kde) budú dostupné ďalšie informácie.

Firma Dell môže zverejniť aj informačné články o zabezpečení a informovať prostredníctvom nich na témy týkajúce sa zabezpečenia, ako sú napríklad:

  • nové funkcie na zlepšenie zabezpečenia;
  • príručky konfigurácie zabezpečenia a osvedčené postupy pre dotknuté produkty;
  • chyby zabezpečenia v komponentoch tretích strán, identifikované nástrojmi na odhaľovanie takýchto chýb, ktoré však nie je v danom produkte možné zneužiť;
  • pokyny k inštalácii špecifických aktualizácií zabezpečenia;
  • informácie o účinnosti aktualizácií zabezpečenia v produktoch iných značiek ako Dell, ktoré sú nevyhnutné pre správne fungovanie a mohli by ovplyvniť zabezpečenie produktov Dell.

Bezpečnostné odporúčania a upozornenia firmy Dell sú dostupné na webovej stránke www.dell.com/support/security(v angličtine). Overené informačné články sú dostupné na tomto prepojení.

Ako nahlasovať ohrozenie zabezpečenia

Ak odhalíte v akomkoľvek produkte značky Dell nejakú chybu zabezpečenia, nahláste nám ju čo najskôr. Včasná identifikácia ohrození zabezpečenia a ich nahlasovanie je totiž mimoriadne dôležité z hľadiska minimalizovania ich potenciálneho negatívneho dosahu na našich zákazníkov. Pracovníci v oblasti výskumu zabezpečenia by mali vyžívať na posielanie správ o chybách zabezpečenia produktov webovú lokalitu Dell Bugcrowd(v angličtine).  Podniky, zákazníci využívajúci komerčné produkty, ako aj partneri by mali všetky problémy so zabezpečením produktov Dell nahlasovať príslušnému tímu technickej podpory. V takýchto prípadoch potom spojí sily tím technickej podpory s príslušným produktovým tímom a tímom Dell PSIRT, aby spoločne nahlásený problém vyriešili a inštruovali zákazníka, ako má ďalej postupovať.

Skupiny pôsobiace v oblasti IT, dodávatelia a ďalší používatelia, ktorí nemajú prístup k tímu technickej podpory, resp. nechcú nahlasovať chyby zabezpečenia prostredníctvom programu na nahlasovanie takýchto chýb za odmenu, by mali nahlasovať problémy so zabezpečením priamo tímu Dell PSIRT prostredníctvom e-mailu. E-maily a ich prílohy, ktoré obsahujú citlivé informácie, by mali byť zašifrované pomocou programu PGP a kľúča PGP tímu Dell PSIRT, ktorý je dostupný na stiahnutie tu. Dell potvrdí vaše hlásenie o odhalení ohrozenia zabezpečenia hneď, ako to situácia umožní.

Dell sa bude vždy snažiť reagovať na vašu správu o chybách zabezpečenia do troch (3) pracovných dní od prijatia a poskytovať aktuálne informácie o opravách každých tridsať (30) kalendárnych dní alebo častejšie.

Pri nahlasovaní potenciálneho ohrozenia zabezpečenia, prosím, uvádzajte čo najviac týchto informácií, ktoré nám pomôžu lepšie pochopiť povahu a rozsah daného problému:

  • názov a verzia produktu, ktorý obsahuje potenciálnu zraniteľnosť/chybu zabezpečenia;
  • informácie o prostredí alebo systéme, v ktorom bola chyba zreprodukovaná (napr. modelové číslo produktu, verzia operačného systému a iné súvisiace informácie);
  • identifikátor Common Weakness Enumeration (CWE) a typ a/alebo triedu chyby zabezpečenia (napr. cross-site scripting, pretečenie medzipamäte, odopretie služby, spustenie kódu na diaľku);
  • podrobné pokyny, podľa ktorých náš tím dokáže chybu zreprodukovať;
  • kód na overenie uskutočniteľnosti útoku alebo kód exploitu;
  • potenciálny negatívny dosah chyby zabezpečenia.

Pravidlá správania výskumných pracovníkov

Ak vám nejaká chyba zabezpečenia umožní získať prístup k dôverným alebo neverejným informáciám (vrátane údajov tretích strán, osobných údajov alebo akýchkoľvek informácií označených firmou Dell ako „Internal Use“, „Restricted“alebo „Highly Restricted“), mali by ste ich použiť v najmenšom nevyhnutnom rozsahu, ktorý je potrebný na nahlásenie chyby zabezpečenia firme Dell. Takéto informácie by ste nemali ukladať, prenášať, používať, uchovávať, zverejňovať ani kopírovať – výnimkou je ich použitie na odoslanie hlásenia firme Dell.

Takisto by ste sa nemali zapájať do žiadnych aktivít, ktoré by ovplyvnili integritu alebo dostupnosť systémov Dell, pokiaľ nemáte výslovné povolenie vlastníka. Urobte len to, čo je najnutnejšie na preukázanie uskutočniteľnosti útoku. Ak počas skúmania chyby zabezpečenia zaznamenáte zníženie výkonu alebo neúmyselne niečo porušíte alebo narušíte (napríklad pri prístupe k údajom zákazníkov alebo konfigurácií služieb), prestaňte používať automatizované nástroje a bezodkladne, prosím, nahláste incident. Ak počas skúmania chyby nebudete mať istotu, či to, čo robíte, neporušuje tieto pravidlá, kým budete pokračovať, informujte sa na e-mailovej adrese secure@dell.com.

Upozorňovanie firmy Dell na ďalšie problémy so zabezpečením

Ak chcete nahlásiť firme Dell akékoľvek ďalšie problémy so zabezpečením, použite, prosím, príslušné kontakty uvedené nižšie:

Problémy so zabezpečením

Kontaktné informácie

Ak chcete nahlásiť chybu zabezpečenia alebo problém súvisiaci s webovou lokalitou Dell.com alebo inou online službou, webovými aplikáciami alebo majetkom, postupujte takto:

Prostredníctvom webovej stránky https://bugcrowd.com/dell-com(v angličtine) nám pošlite správu a uveďte podrobné pokyny, na základe ktorých dokáže náš tím daný problém zreprodukovať.

Ak máte podozrenie na krádež identity alebo ste sa stretli s nejakou podvodnou transakciou, ktorá súvisela s firmou Dell Financial Services, postupujte takto:

Pozrite si webovú stránku Zabezpečenie služieb firmy Dell Financial Services(v angličtine).

Ak chcete odoslať žiadosti alebo otázky súvisiace s ochranou osobných údajov, postupujte takto:

Pozrite si Zásady ochrany osobných údajov firmy Dell(v angličtine).

Obmedzenia

Dell sa snaží o maximálnu transparentnosť tým, že poskytuje informácie o činnostiach zameraných na odstraňovanie chýb zabezpečenia vo forme svojich bezpečnostných odporúčaní a súvisiacej dokumentácie, ktorá môže obsahovať poznámky k vydaniam, články databázy poznatkov a najčastejšie otázky.  Dell nezverejňuje pri odhalených chybách zabezpečenia overené exploity ani kód na overenie uskutočniteľnosti útoku. Dell takisto – v súlade so štandardnými postupmi v odvetví IT – neposkytuje informácie o výsledkoch testov zabezpečenia, výsledkoch overovania uskutočniteľnosti útokov v rámci interného testovania ani iné typy dôverných informácií externým subjektom.

Práva zákazníkov: záruka, podpora a údržba

Práva zákazníkov firmy Dell v súvislosti so zárukou, podporou a údržbou, vrátane ohrozenia zabezpečenia softvérových produktov firmy Dell, sú definované výlučne príslušnými zmluvami uzavretými medzi firmou Dell a individuálnymi zákazníkmi. Vyhlásenia na tejto webovej stránke nijako nemenia, nerozširujú ani inak neupravujú práva zákazníkov a nevytvárajú nárok na žiadne ďalšie záruky.

Vyhlásenie

Ktorákoľvek súčasť Postupu firmy Dell pri reagovaní na ohrozenie zabezpečenia sa môže kedykoľvek zmeniť, a to bez predchádzajúceho upozornenia. Žiadne reakcie na žiadne problémy alebo triedy problémov nie sú garantované. Používanie informácií v tomto dokumente alebo materiáloch, na ktoré odkazuje, je na vlastné riziko.