产品安全实践
了解有关我们产品软件安全实践的更多信息
McAfee 主要致力于确保客户的计算机、网络、设备和数据安全。 我们承诺在发生问题时快速解决问题,并通过安全公告和知识库文章提供建议。 有关详细信息,请联系 PSIRT 团队。
提交病毒样本联系技术支持2018 年 1 月 3 日:Meltdown 和 Spectre
英特尔在 2018 年 1 月 3 日公开了一组影响到 McAfee 设备产品的三个漏洞,名为 Meltdown 和 Spectre。 Spectre:CVE-2017-5715 以及 CVE-2017-5753,Meltdown:CVE-2017-5754。
知识库文章:
- SB10226 – Meltdown/Spectre 安全公告
- KB90167 – Meltdown 和 Spectre – McAfee 产品兼容性更新(公司产品)
- TS102769 – 2018 年 1 月 Microsoft 安全更新(Meltdown 和 Spectre)和 McAfee 消费者产品
McAfee 博文:
| 安全公告 |
|---|
如果了解有关 McAfee 产品安全问题或漏洞的信息,请发送电子邮件至 PSIRT@McAfee.com。 使用 McAfee 的 PGP 公钥加密敏感信息。
请提供尽可能多的信息,包括:
- 发现人的联系信息:
- 姓名(全名或昵称)
- 物理地址(精确至国家级)
- 附属机构/公司
- 电子邮件地址
- 手机号码
- 产品信息:
- 受影响的产品和/或硬件版本(内部版本号,如果已知)
- 操作系统,如果已知
- 软件和/或硬件配置
- 漏洞信息:
- 漏洞的详细描述
- 用于创建/验证漏洞的示例代码
- 已知漏洞利用攻击信息
- CVE 数量(如果已对漏洞进行存档)
- 可能帮助执行工程分析或识别根源的详细信息的 URL 或链接
- 通信计划:
- 公布计划(日期和场所)
- 公认为安全公告发现人的权限
McAfee Product Security Group (PSG) 和/或 Product Security Incident Response Team (PSIRT) 成员将审核您的电子邮件,并联系您协同解决相关问题。
分流所有产品漏洞由 McAfee Product Security Group 负责处理。 有关其他问题,请联系下列小组之一:
IT 应用程序和 Web 应用程序漏洞由 McAfee 全球安全服务 (GSS) 的安全运营中心 (SOC) 负责处理。
IT 应用程序或 Web 漏洞
McAfee 安全运营中心 (SOC)
电子邮件: abuse.report@mcafee.com
电话:+1 972-987-2745
有关当前配送产品的性能的外部查询由 McAfee 技术支持部门负责处理。
产品或软件性能,或者订购问题
McAfee 技术支持
网址:http://www.mcafee.com/cn/support.aspx
病毒和恶意软件样本由 McAfee Labs 负责处理。
提交病毒示例
McAfee Labs
电子邮件:virus_research@mcafee.com
网址:http://www.mcafee.com/enterprise/zh-cn/threat-center/how-to-submit-sample.html
联系 McAfee PSIRT
电子邮件:PSIRT@McAfee.com
电话:+1 408-753-5752
PSIRT 策略声明
可行性
如果未开发出可行的解决办法、补丁、修补程序或版本更新,McAfee 不会公开发布产品或软件漏洞;否则,只会让黑客社区知道我们的产品是攻击目标,导致我们的客户面临更大的风险。 对于引起大量媒体关注的漏洞(如 HeartBleed),我们将发布横幅,说明我们已经知道且正在采取行动。
公平公正
出于公正起见,McAfee 会同时向所有客户披露产品漏洞。 大客户通常不会提前获得通知。 提前通知可能会由 PSG 逐一发出,但需严格遵循保密协议。
发现人
McAfee 仅在下列情况下信任外部漏洞发现人:
- 发现人愿意被标识为发现人。
- 发现人不会对我们发动“零日”攻击,也不会在 SB 或 KB 发布之前公开其研究成果。
组织和/或个人均可标识为发现人。
CVSS 评分
将会采用最新 Common Vulnerability Scoring System (CVSS) 版本。 目前采用 CVSS v3。
所有安全公告必须包括每个漏洞的评分以及相关 CVSS 向量。 基本分数为必需。 临时分数和环境分数为可选。 基本评分应与 NIST 为 CVE 打出的分数相符。
Support Notification Service (SNS) 邮件
所有安全公告必需提供 Support Notification Service (SNS) 邮件、声明或警报。 这是 McAfee Enterprise Support 客户和其他客户所依赖的一项服务。
要订购 SNS 文本警报,请转到 SNS 请求中心并订阅。
响应策略
McAfee 的修复和警报响应均取决于最高的 CVSS 基本评分。
| 优先级(安全性) | CVSS v2 分数 | 典型修复响应* | SNS |
|---|---|---|---|
| P1 - 严重 | 8.5-10.0 高 | 修补程序 | 警报 |
| P2 - 高 | 7.0-8.4 高 | 补丁 | 通知 |
| P3 - 中 | 4.0-6.9 中 | 补丁 | 通知 |
| P4 - 低 | 0.0-3.9 低 | 版本更新 | 可选 |
| P5 - 信息 | 0.0 | 将不修复。 信息。 | 不适用 |
*注意:修复响应基于漏洞的严重性、产品生命周期以及修复的可行性。 上述典型的修复响应并非承诺为所有支持的产品版本提供修补程序、补丁或版本更新。
外部通信机制
McAfee 的外部通信机制取决于 CVSS 基本分数、客户咨询数量和媒体关注程度。
- SB = 安全公告 (4-10)
- KB = 知识库文章 (2-4)
- SS = 维持声明 (0-4)
- NN = 不需要 (0)
| CVSS = 0 低 | 0 < CVSS < 4 低 | 4 ≤ CVSS < 7 中 | 7 ≤ CVSS ≤ 10 高 |
|
|---|---|---|---|---|
| 外部披露 (CVE) | 如果多项查询,请选择 KB;否则,选择 NN | KB | SB、SNS | SB、SNS |
| 客户披露 | SS | SS | SB、SNS | SB、SNS |
| 内部披露 | NN | 发布说明文档 | SB(发行后),发布说明文档 | SB (发行后),发布说明文档 |
危机场景
对于众所周知、影响多种产品的高危漏洞,可能会先发布安全公告及一个产品的补丁,然后再在其他产品的其他补丁和描述可用时进行更新。
涵盖多款易受攻击的产品的安全公告将会按以下类别列出所有产品、企业和个人用户:
- 易受攻击且已更新
- 易受攻击但未更新
- 易受攻击但风险低(指定标准部署最佳实践)
- 不易受攻击
- 正在接受调查(可选)
除非面临危机场景,否则通常不在周五下午发布安全公告。
漏洞对比风险分数
McAfee 参与了行业标准 CVSS 漏洞评分系统。 CVSS 分数是确定特定漏洞可对 McAfee 的客户造成多大风险的基准。 CVSS 分数不应与可能出现在 McAfee 产品中或 McAfee 产品在其上执行的相关运行时环境的漏洞严重程度的风险评级混淆。
从 CVSS 分数开始,McAfee 使用“刚好足够的风险评级”(JGERR) 来评价可能影响 McAfee 产品的任何潜在问题的风险。 JGERR 成为 2012 年的 SANS Institute 智能指导。 JGERR 基于“信息风险的因子分析”(FAIR),后者是 Open Group 标准。 使用 JGERR 评估风险等级时,在风险分析中将以下各方面都纳入了考虑因素:威胁代理的存在和活动、攻击向量、对于威胁代理的漏洞暴露、利用漏洞的便利性或困难度以及来自利用的诸多影响。 隔离中的漏洞仅仅是 McAfee 风险评级的一个方面。
CVSS 基本分数确定我们对于指定事件的初始响应。 McAfee 风险评级确定我们交付修补程序或更新的速度。
安全公告可能包含具有以下名称的产品列表:易受攻击、不易受攻击、易受攻击但是不可利用以及易受攻击但是风险较低。 下面的列表说明了这些类别中的每一个在潜在客户影响方面的含义:
- 易受攻击:产品包含经证实的漏洞。 漏洞会给客户带来某些级别的风险。 可将相关 CVSS 分数用作在典型的部署场景中利用漏洞的影响严重程度的指示。
- 不易受攻击:产品不存在漏洞,或者无法以任何方式利用存在的易受攻击的组件。 使用产品不会给客户带来额外风险。
- 易受攻击但是不可利用:产品包含漏洞,漏洞形式可为映像中包含的库或可执行文件,但是产品具有充分的安全控制措施,因此漏洞不会暴露给威胁代理,让漏洞的利用难以进行或无法进行。 使用产品不会给客户带来额外风险。
- 易受攻击但是风险较低:产品包含漏洞,漏洞形式可为映像中包含的库或可执行文件,但是利用造成的影响可忽略不计,并且利用不会为攻击者带来额外价值。 在建议的和典型的部署场景中使用产品对客户造成的额外风险很小。
