Intel Security

Bollettini sulla sicurezza di prodotto

Scopri di più sulle nostre pratiche di sicurezza dei prodotti software

Scaricala subito

Intel Security (precedentemente McAfee), è altamente impegnata nell'assicurare la sicurezza dei computer, reti, dispositivi e dati della clientela. Il nostro compito consiste nel risolvere rapidamente i problemi non appena si presentano e nel dare raccomandazioni tramite i bollettini di sicurezza e la documentazione.

Invia un esempio di un virus Contatta il Supporto tecnico Contatta il team PSIRT
Bollettini sulla sicurezza

Se hai delle informazioni riguardanti una vulnerabilità o un problema di sicurezza relativi a un prodotto McAfee/Intel Security, invia una email all'indirizzo secure@intel.com mettendo in CC PSIRT@IntelSecurity.com. Crittografa le informazioni sensibili per mezzo della chiave pubblica PGP di Intel.
Per cortesia fornisci il maggior numero possibile di informazioni, fra le quali:

  • Dati dello scopritore:
    • Nome (il nome per esteso oppure il nickname)
    • Indirizzo fisico
    • Affiliazione / Azienda
    • Indirizzo email
    • Numero di telefono.
  • Informazioni sul prodotto:
    • I prodotti e/o le versioni dell'hardware interessate (numero della build, se noto)
    • Sistema operativo, se noto
    • Configurazione software e/o hardware.
  • Informazioni sulla vulnerabilità:
    • Descrizione dettagliata della vulnerabilità
    • Il codice di esempio che è stato usato per creare o verificare la vulnerabilità
    • Informazioni sugli exploit noti
    • Il numero CVE se la vulnerabilità è già stata registrata
    • L'URL o un collegamento a ulteriori informazioni che possano aiutare i tecnici ad analizzare o identificare la causa alla radice.
  • Piani di comunicazione:
    • Piani di divulgazione
    • Autorizzazione alla citazione come scopritore nel Bollettino di sicurezza.

Un membro del McAfee Product Security Group (PSG) e/o del team PSIRT (Product Security Incident Response Team) riceverà la tua email e ti contatterà per collaborare alla risoluzione del problema.

Triage

Le vulnerabilità dei prodotti segnalate esternamente vengono gestite dal McAfee Product Security Group (PSG). Per altri problemi, contatta uno dei team sotto:

Le vulnerabilità delle applicazioni web e IT di sono gestite dal Centro SOC del dipartimento McAfee Global Security Services (GSS).

Vulnerabilità di applicazioni IT o web
McAfee Security Operations Center (SOC)
Email: abuse.report@mcafee.com
Telefono: +1 972 987 2745

Le richieste esterne sulle prestazioni dei prodotti attualmente in vendita sono gestite dall'Assistenza Tecnica McAfee.

Prestazioni di prodotti o software oppure problemi di abbonamento
Assistenza Tecnica McAfee
Web: http://www.mcafee.com/it/support.aspx

Gli esempi di virus e malware sono gestiti da McAfee Labs.

Invia un esempio di virus
McAfee Labs
Email: virus_research@mcafee.com
Web: http://www.mcafee.com/it/threat-center/resources/how-to-submit-sample.aspx

Contatta il team PSIRT di Intel Security/McAfee
Email: secure@intel.com
Telefono: +1 408 753 5752

Contatta il team PSIRT di Intel
Intel Product Security Center
Email: secure@intel.com
Sito web: https://security-center.intel.com

Istruzioni delle policy PSIRT

Pronto intervento
Intel Security non rende pubblica la vulnerabilità di un prodotto o software senza mettere a disposizione una soluzione alternativa, una patch, un hotfix o un aggiornamento della versione. Altrimenti significherebbe semplicemente informare la comunità degli hacker che i nostri prodotti sono un bersaglio, mettendo fortemente a rischio i clienti.

Nessun favoritismo
Intel Security comunica le vulnerabilità dei prodotti a tutti i clienti contemporaneamente. Normalmente i grandi clienti non ricevono alcun avviso in anticipo. L'avviso anticipato può essere garantito dal McAfee Product Security Group (PSG) caso per caso e solo in presenza di un rigoroso accordo di non divulgazione (NDA).

Scopritori
Intel Security riconosce gli scopritori esterni delle vulnerabilità solo se:

  • desiderano essere riconosciuti come scopritori;
  • non hanno lanciato un attacco "zero-day" rendendo pubblica la propria ricerca prima della pubblicazione di un bollettino di sicurezza o di un articolo basato sulla documentazione (KnowledgeBase).

Possono essere riconosciuti come scopritori le organizzazioni, gli individui o entrambi.

Punteggio CVSS
Va utilizzata la versione più aggiornata del Common Vulnerability Scoring System (CVSS). Attualmente è in uso il CVSS v3.

Tutti i bollettini di sicurezza devono presentare i punteggi CVSS di ogni vulnerabilità, oltre che gli associati vettori CVSS. Sono necessari sia i punteggi base sia i punteggi temporali. I punteggi base devono corrispondere a quelli assegnati dal NIST alle CVE (vulnerabilità ed esposizioni comuni). 

Messaggi del servizio di notifica dell'assistenza (Support Notification Service, SNS)
Un messaggio, notifica o avviso SNS è obbligatorio per tutti i bollettini di sicurezza. Si tratta di un servizio sul quale possono fare affidamento, fra gli altri, i clienti del Supporto Intel Security Enterprise.

Per abbonarsi ai messaggi di avviso SNS, visita SNS Request Center (Centro richiesta SNS) e fai clic su "Create a New Account" (Crea nuovo account).

Policy di risposta
La risposta Intel Security, di correzione e avviso, dipende dal punteggio base CVSS più elevato.

Priorità (sicurezza)Punteggio CVSS v2Tipica risposta correttivaSNS
P1 - Critica 8,5-10,0 Elevato Hotfix Avviso
P2 - Elevata 7,0-8,4 Elevato Patch Notifica
P3 - Media 4,0-6,9 Medio Patch Notifica
P4 - Bassa 0,0-3,9 Basso Aggiornamento versione Opzionale
P5 - Info 0,0 Nessuna correzione. Informativa. N.d.


Meccanismo comunicazioni esterne
Il meccanismo di comunicazioni esterne Intel Security dipende dal punteggio base CVSS , dal numero di richieste dei clienti e dal grado di attenzione dei mezzi di informazione.                                    

  • SB = Bollettino di sicurezza (4-10)
  • KB = Articolo della documentazione (KnowledgeBase) (2-4)
  • SS = Istruzione di supporto (0-4)
  • NN = Non necessaria (0)
 CVSS = 0
Basso
0 < CVSS < 4
Basso
4 ≤ CVSS < 7
Medio
7 ≤ CVSS ≤ 10
Elevato
Divulgazione esterna (CVE) KB in caso di molte richieste, altrimenti NN KB SB, SNS SB, SNS
Divulgazione alla clientela SS SS SB, SNS SB, SNS
Divulgazione interna NN NN Documento nelle note di rilascio SB
(post-rilascio)


Situazioni di crisi
Per le vulnerabilità molto gravi, di dominio pubblico e che interessano più prodotti , viene pubblicato un bollettino di sicurezza che include una patch per un prodotto. Il bollettino viene in seguito aggiornato con le patch e le descrizioni per gli altri prodotti, man mano che si rendono disponibili.

In caso numerosi prodotti vulnerabili i Bollettini di sicurezza li elencano tutti, sia per le imprese che per i consumatori, nelle seguenti categorie:

  • Vulnerabile e aggiornato
  • Vulnerabile e non ancora aggiornato
  • Vulnerabile ma a basso rischio (date le migliori pratiche standard per la distribuzione)
  • Non vulnerabile
  • Indagato (opzionale)

Normalmente i Bollettini di sicurezza non vengono pubblicati di venerdì pomeriggio, salvo situazioni di crisi.

Vulnerabilità e punteggi di rischio
Intel Security partecipa al sistema di punteggi delle vulnerabilità CVSS, standard del settore. I punteggi CVSS devono essere considerati come un punto di partenza per determinare il rischio che una particolare vulnerabilità può porre ai clienti di Intel Security. Il punteggio CVSS non va confuso con la valutazione del rischio, che giudica la gravità delle vulnerabilità verificabili nei prodotti Intel Security/McAfee o negli ambienti di runtime in cui vengono eseguiti i prodotti Intel Security.

A partire dal punteggio CVSS, Intel Security usa il sistema JGERR (Just Good Enough Risk Rating) per valutare il rischio di eventuali problemi potenziali che possono avere un impatto sui prodotti di Intel Security. Il JGERR è diventato una SANS Institute Smart Guide nel 2012. Il JGERR si basa sul "Factor Analysis of Information Risk" (Analisi dei fattori di rischio delle informazioni, FAIR), uno standard di Open Group. Quando si valuta il rischio con JGERR, nell’analisi vengono inclusi ulteriori fattori come la presenza e attività degli agenti delle minacce, i vettori di attacco, l’esposizione di una vulnerabilità agli agenti delle minacce, la facilità o difficoltà di sfruttarla e l’eventuale impatto. La vulnerabilità nell’isolamento è solo un aspetto della valutazione dei rischi condotta da Intel Security.

Il punteggio base CVSS determina la nostra iniziale risposta a un dato evento. La valutazione dei rischi di Intel Security determina la rapidità con cui invieremo una patch o aggiornamento.

I Bollettini di sicurezza possono contenere elenchi di prodotti con le seguenti designazioni: Vulnerabile, Non vulnerabile, Vulnerabile ma non attaccabile e Vulnerabile ma a basso rischio. L’elenco sottostante descrive il significato di ciascuna di queste categorie nei termini del potenziale impatto per il cliente:

  • Vulnerabile: un prodotto contenente una vulnerabilità. La vulnerabilità pone un certo livello di rischio ai clienti. Il punteggio CVSS associato può essere preso come un’indicazione della gravità dell’impatto dovuto allo sfruttamento della vulnerabilità nello scenario di distribuzione tipico.
  • Non vulnerabile: un prodotto non contiene alcuna vulnerabilità oppure la presenza di un componente vulnerabile non può essere sfruttata in alcun modo. L’uso del prodotto non presenta rischi aggiuntivi per i clienti.
  • Vulnerabile ma non attaccabile: un prodotto contiene una vulnerabilità, magari una libreria o eseguibile inclusi nell’immagine, tuttavia il prodotto offre sufficienti controlli di sicurezza. La vulnerabilità non è quindi esposta agli agenti delle minacce, il che ne rende lo sfruttamento molto difficile, se non impossibile. L’uso del prodotto non presenta rischi aggiuntivi per i clienti.
  • Vulnerabile ma a basso rischio: un prodotto contiene una vulnerabilità, magari una libreria o eseguibile inclusi nell’immagine, tuttavia l’impatto dello sfruttamento è trascurabile e non fornisce alcun valore aggiunto agli autori degli attacchi. L’uso del prodotto presenta forse un piccolo rischio aggiuntivo per i clienti che lo usano negli scenari di distribuzione tipici.