| 企业安全公告 |
|---|
| 个人用户安全公告 |
|---|
McAfee 已经与 HackerOne 合作,共同处理所报告的我们的产品和公共网站中出现的潜在安全或漏洞问题。 我们正在与他们一起开展一个专有项目,届时将会邀请您加入,加入后,您便可以提交报告。
要查看您的第一份报告,请发送电子邮件至 security_report@mcafee.com。
这将触发 HackerOne 系统的自动响应,指示系统如何进行后续操作。 后续报告可以直接通过 HackerOne 系统进行提交。
您的初始电子邮件中包含的所有信息,都将自动添加到 HackerOne 系统中。
登录到系统后,请提供以下信息:
- 联系信息(所有互动都将通过系统进行)
- 您发现的问题的摘要
- 详细的问题重现步骤,包括所有示例代码和屏幕截图/视频
- 产品漏洞
- 产品、版本和操作系统
- 网站漏洞
- 浏览器及版本
- 任何披露计划
产品或网站漏洞报告
McAfee PSIRT
电子邮件:security_report@mcafee.com
企业产品或软件性能问题,或订阅问题
企业支持部门
个人用户产品或软件性能问题,或订阅问题
个人用户支持部门
提交病毒样本
了解更多
提交 URL 进行分类,或对分类提出质疑
了解更多
联系 McAfee PSIRT
电子邮件:Security_Report@McAfee.com
PSIRT 策略声明
可行性
如果未开发出可行的解决办法、补丁、修补程序或版本更新,McAfee 不会公开发布产品或软件漏洞;否则,只会让黑客社区知道我们的产品是攻击目标,导致我们的客户面临更大的风险。 对于引起大量媒体关注的漏洞(如 HeartBleed),我们将发布横幅,说明我们已经知道且正在采取行动。
公平公正
出于公正起见,McAfee 会同时向所有客户披露产品漏洞。 大客户通常不会提前获得通知。 提前通知可能会由 CISO 逐一发出,但需严格遵循保密协议。
发现人
McAfee 仅在下列情况下信任外部漏洞发现人:
- 发现人愿意被标识为发现人。
- 发现人不会对我们发动“零日”攻击,也不会在 SB 或 KB 发布之前公开其研究成果。
组织和/或个人均可标识为发现人。
CVSS 评分
将会采用最新 Common Vulnerability Scoring System (CVSS) 版本。 目前采用 CVSS v3.1。
所有安全公告必须包括每个漏洞的评分以及相关 CVSS 向量。 基本分数为必需。 临时分数和环境分数为可选。 基本评分应与 NIST 为 CVE 打出的分数相符。
Support Notification Service (SNS) 邮件
所有安全公告必需提供 Support Notification Service (SNS) 邮件、声明或警报。 这是 McAfee Enterprise Support 客户和其他客户所依赖的一项服务。
要订购 SNS 文本警报,请转到 SNS 请求中心并订阅。
响应策略
McAfee 的修复和警报响应均取决于最高的 CVSS 基本评分。
| 优先级(安全性) | CVSS 评分 | 典型修复响应* | SNS |
|---|---|---|---|
| P1 - 严重 | 9.0-10.0 严重 | 修补程序 | 警报 |
| P2 - 高 | 7.0-8.9 高 | 更新 | 通知 |
| P3 - 中 | 4.0-6.9 中 | 更新 | 通知 |
| P4 - 低 | 0.0-3.9 低 | 版本更新 | 可选 |
| P5 - 信息 | 0.0 | 将不修复。 信息。 | 不适用 |
*注意:修复响应基于漏洞的严重性、产品生命周期以及修复的可行性。 上述典型的修复响应并非承诺为所有支持的产品版本提供修补程序、补丁或版本更新。
外部通信机制
McAfee 的外部通信机制取决于 CVSS 基本分数、客户咨询数量和媒体关注程度。
- SB = 安全公告 (4-10)
- KB = 知识库文章 (2-4)
- SS = 维持声明 (0-4)
- NN = 不需要 (0)
| CVSS = 0 低 | 0 < CVSS < 4 低 | 4 ≤ CVSS < 7 中 | 7 ≤ CVSS ≤ 10 高 |
|
|---|---|---|---|---|
| 外部披露 (CVE)* | 如果多项查询,请选择 KB;否则,选择 NN | KB | SB、SNS | SB、SNS |
| 客户披露 | SS | SS | SB、SNS | SB、SNS |
| 内部披露 | NN | 发布说明文档 | SB(发行后),发布说明文档 | SB (发行后),发布说明文档 |
*默认情况下,对于评分低于 4.0 的问题,McAfee 不会发布 CVE。
危机场景
针对众所周知、影响多种产品的高危漏洞,我们可能会先发布安全公告和某个产品的补丁,随后会为其他产品适时提供更新的补丁及相关的描述。
涵盖多款易受攻击的产品的安全公告将会按以下类别列出所有产品、企业和个人用户:
- 易受攻击且已更新
- 易受攻击但未更新
- 易受攻击但风险低(指定标准部署最佳实践)
- 不易受攻击
- 正在接受调查(可选)
除非面临危机场景,否则通常不在周五下午发布安全公告。
漏洞与风险评分
McAfee 参与了行业标准 CVSS 漏洞评分系统。 CVSS 分数是确定特定漏洞可对 McAfee 的客户造成多大风险的基准。 CVSS 分数不应与可能出现在 McAfee 产品中或 McAfee 产品在其上执行的相关运行时环境的漏洞严重程度的风险评级混淆。
CVSS 基本分数确定我们对于指定事件的初始响应。
安全公告可能包含具有以下名称的产品列表:易受攻击、不易受攻击、易受攻击但是不可利用以及易受攻击但是风险较低。 下面的列表说明了这些类别中的每一个在潜在客户影响方面的含义:
- 易受攻击:产品包含经证实的漏洞。 漏洞会给客户带来某些级别的风险。 可将相关 CVSS 分数用作在典型的部署场景中利用漏洞的影响严重程度的指示。
- 不易受攻击:产品不存在漏洞,或者无法以任何方式利用存在的易受攻击的组件。 使用产品不会给客户带来额外风险。
- 易受攻击但是不可利用:产品包含漏洞,漏洞形式可为映像中包含的库或可执行文件,但是产品具有充分的安全控制措施,因此漏洞不会暴露给威胁代理,让漏洞的利用难以进行或无法进行。 使用产品不会给客户带来额外风险。
- 易受攻击但是风险较低:产品包含漏洞,漏洞形式可为映像中包含的库或可执行文件,但是利用造成的影响可忽略不计,并且利用不会为攻击者带来额外价值。 在建议的和典型的部署场景中使用产品对客户造成的额外风险很小。
