Бюллетени по безопасности продуктов

 

Описание методов обеспечения безопасности наших программных продуктов

Начать загрузку

Основной задачей Intel Security (ранее McAfee) является обеспечение безопасности компьютеров, сетей, устройств и данных наших клиентов. Мы поставили себе целью быстро разрешать проблемы сразу после их возникновения и предоставлять клиентам рекомендации в виде бюллетеней по безопасности и статей в базе знаний.

Отправить образец вируса Связаться со службой техподдержки Связаться с PSIRT
Бюллетени по безопасности

Если у Вас есть информация о проблеме безопасности или уязвимости продукта McAfee/Intel Security, то просим Вас сообщить нам об этом электронным письмом по адресу secure@intel.com, добавив адрес PSIRT@IntelSecurity.com в поле «Копия» (CC). Конфиденциальную информацию можете зашифровать с помощью открытого ключа PGP корпорации Intel.
Просим Вас предоставить максимально возможный объем информации, включая следующие данные:

  • Контактная информация лица, обнаружившего уязвимость:
    • имя (Ф.И.О. или псевдоним);
    • физический адрес (с точностью до уровня штата/страны, а не полный адрес);
    • организация/компания;
    • адрес электронной почты;
    • номер телефона.
  • Информация о продуктах:
    • продукты и/или версии аппаратного обеспечения, имеющие данную уязвимость (номер сборки, если таковой известен);
    • операционная система, если таковая известна;
    • программная и/или аппаратная конфигурация.
  • Информация об уязвимости:
    • подробное описание уязвимости;
    • пример кода, использованного для создания/проверки уязвимости;
    • информация об известных средствах использования данной уязвимости;
    • номер CVE, если данная уязвимость уже была зарегистрирована;
    • URL-адрес или ссылка на дополнительную информацию, которая может пригодиться инженерам при анализе или выявлении причины данной уязвимости.
  • Планы коммуникации:
    • планы по раскрытию информации;
    • разрешение на упоминание Вас в качестве лица, обнаружившего данную уязвимость (в бюллетене по безопасности).

Ваше электронное сообщение поступит на рассмотрение к сотруднику Группы безопасности продуктов McAfee (Product Security Group — PSG) и/или Группы реагирования на инциденты безопасности продуктов McAfee (Product Security Incident Response Team — PSIRT). Он свяжется с Вами по поводу решения данной проблемы.

Порядок рассмотрения проблем

Рассмотрением поступающих со стороны сообщений об уязвимостях продуктов занимается Группа безопасности продуктов McAfee (Product Security Group — PSG). По другим вопросам просим связываться со следующими группами:

Рассмотрением поступающих со стороны сообщений об уязвимостях ИТ-приложений и веб-приложений занимается Центр управления безопасностью (Security Operations Center — SOC) Глобальной службы безопасности (Global Security Services — GSS) McAfee.

Уязвимость ИТ-приложения или веб-приложения
McAfee Security Operations Center (SOC)
Электронная почта: abuse.report@mcafee.com
Телефон: +1 972-987-2745

Обработкой внешних запросов, касающихся функционирования продуктов текущего ассортимента, занимается Служба технической поддержки McAfee.

Функционирование продуктов или программного обеспечения, проблемы с подпиской
Служба технической поддержки McAfee
Веб-сайт: http://www.mcafee.com/ru/support.aspx

Рассмотрением образцов вирусов и вредоносных программ занимается McAfee Labs.

Отправка примеров вирусов
McAfee Labs
Электронная почта: virus_research@mcafee.com
Веб-сайт: http://www.mcafee.com/ru/threat-center/resources/how-to-submit-sample.aspx

Контактные данные отдела PSIRT компании Intel Security/McAfee
Электронная почта: secure@intel.com
Телефон: +1 408-753-5752

Контактные данные отдела PSIRT корпорации Intel
Intel Product Security Center
Электронная почта: secure@intel.com
Веб-сайт: https://security-center.intel.com

Правила политики PSIRT

Практическая ценность
Делая публичные заявления об обнаружении уязвимостей в продуктах или в программном обеспечении, Intel Security обязательно предоставляет пакеты исправлений, новые версии или информацию о том, как устранить обнаруженные уязвимости. В противном случае такие заявления означали бы, что мы просто информируем хакеров об уязвимостях в наших продуктах и тем самым подвергаем наших клиентов еще большему риску.

Одинаковое отношение ко всем
Intel Security раскрывает информацию об уязвимостях продуктов сразу всем клиентам. Предварительные уведомления для крупных клиентов, как правило, не предусмотрены. В отдельных случаях сотрудники группы McAfee Product Security Group (PSG) могут предварительно уведомлять клиентов об обнаруженной уязвимости, но для этого необходимо строгое соглашение о неразглашении.

Лица, обнаружившие уязвимость
Сторонних лиц, обнаруживших уязвимость, Intel Security упоминает только в том случае, если:

  • они не возражают против упоминания их в качестве лиц, обнаруживших уязвимость;
  • они не подвергали нас атакам «нулевого дня» и не предавали гласности результаты своих исследований до публикации SB или KB.

В качестве лиц, обнаруживших уязвимость, могут быть указаны как юридические, так и физические лица.

Оценки CVSS
Необходимо использовать самую последнюю версию общей системы оценки уязвимостей (Common Vulnerability Scoring System — CVSS). В настоящее время используется CVSS версия 3.

Во всех бюллетенях по безопасности должны быть приведены оценки CVSS для каждой уязвимости, а также соответствующие векторы CVSS. Необходимо приводить как базовые, так и временны́е оценки. Базовые оценки должны соответствовать оценкам известных уязвимостей (CVE), данным компанией NIST. 

Сообщение службы Support Notification Service (SNS)
Любой бюллетень по безопасности требует рассылки сообщения, уведомления или предупреждения службы SNS. Этой службой пользуются клиенты Intel Security с уровнем поддержки Enterprise, а также другие клиенты.

Чтобы подписаться на текстовые уведомления SNS, перейдите в центр запросов SNS и зарегистрируйтесь на подписку.

Политика реагирования
В деле реагирования на уязвимости и оповещения клиентов Intel Security ориентируется на самую высокую базовую оценку CVSS.

Приоритет (безопасность)Оценка CVSS версия 2Стандартная мера реагированияSNS
P1: критически высокий 8.5–10.0, высокий Критическое исправление (hotfix) Предупреждение
P2: высокий 7.0–8.4, высокий Исправление Уведомление
P3: средний 4.0–6.9, средний Исправление Уведомление
P4: низкий 0.0–3.9, низкий Новая версия При желании
P5: к сведению 0,0 Мер реагирования не требуется. Информационное сообщение.


Механизмы внешней коммуникации
Intel Security использует разные механизмы внешней коммуникации, выбор которых зависит от базовой оценки CVSS, количества запросов со стороны клиентов и интереса со стороны СМИ.                                    

  • SB = Бюллетень по безопасности (4–10)
  • KB = Статья в Базе знаний (2–4)
  • SS = Заявление в защиту (0–4)
  • NN = Не требуется (0)
 CVSS = 0
Низкий
0 < CVSS < 4
Низкий
4 ≤ CVSS < 7
Средний
7 ≤ CVSS ≤ 10
Высокий
Раскрытие уязвимости (CVE) третьим лицом KB, если много запросов; в противном случае NN KB SB, SNS SB, SNS
Раскрытие уязвимости клиентом SS SS SB, SNS SB, SNS
Раскрытие уязвимости собственными силами NN NN Документируется в заметках о выпуске SB
(после выпуска)


Кризисные сценарии
В случае публично известных серьезных уязвимостей, затрагивающих несколько разных продуктов, возможна публикация бюллетеня по безопасности, содержащего пакет исправлений для одного продукта. В таком случае пакеты исправлений и описания для других продуктов будут добавляться позднее по мере готовности.

В бюллетенях по безопасности, содержащих информацию о нескольких уязвимых продуктах, все продукты (как для корпоративного, так и для потребительского сегментов) будут разделены по следующим категориям:

  • Уязвимость есть, обновление установлено
  • Уязвимость есть, обновление еще не установлено
  • Уязвимость есть, но уровень риска низок (если развертывание проводилось в соответствии со стандартными рекомендациями)
  • Уязвимости нет
  • Ведется расследование (дополнительная категория)

Бюллетени по безопасности обычно не публикуются по пятницам во второй половине дня, за исключением случаев кризисных сценариев.

Оценки уязвимостей и оценки рисков
Intel Security участвует в разработке системы оценки уязвимостей CVSS как отраслевого стандарта. При определении того, какую опасность та или иная уязвимость может представлять для клиентов Intel Security, в качестве отправной точки следует рассматривать оценки, сделанные по методике CVSS. Оценку по CVSS не следует путать с оценкой риска уязвимостей, потенциально имеющихся в продуктах Intel Security/McAfee или в тех средах, в которых выполняются продукты Intel Security.

Оценивая риск любой возможной проблемы, потенциально затрагивающей продукты Intel Security, мы начинаем с оценки по методике CVSS, а затем используем модель JGERR (Just Good Enough Risk Rating). В 2012 году модель JGERR была опубликована компанией SANS Institute в серии Smart Guide. В основе JGERR лежит стандарт FAIR (Factor Analysis of Information Risk), разработанный отраслевым консорциумом The Open Group. При проведении оценки рисков по модели JGERR учитываются такие дополнительные факторы, как присутствие и активность агентов угрозы, векторы атак, доступность уязвимости агентам угрозы, простота или сложность использования (эксплуатации) данной уязвимости, а также возможные последствия ее использования. Сама по себя уязвимость представляет собой лишь один из аспектов той оценки риска, которую дает Intel Security.

Базовая оценка по CVSS определяет нашу первоначальную реакцию на тот или иной инцидент. Та оценка риска, которую дает Intel Security, определяет, насколько быстро мы выпустим исправление или обновление.

В «Бюллетенях по безопасности» можно встретить списки продуктов со следующими обозначениями: «Есть уязвимость», «Нет уязвимостей», «Есть уязвимость, но использовать ее невозможно» и «Есть уязвимость, но уровень риска низкий». В приведенном ниже списке дана информация о том, что означает каждая из этих категорий с точки зрения потенциального ущерба для клиентов:

  • «Есть уязвимость». Продукт содержит данную уязвимость. Данная уязвимость подвергает клиентов определенному уровню риска. Соответствующую оценку по CVSS можно рассматривать как признак серьезности ущерба, возникающего в результате использования (эксплуатации) данной уязвимости в обычных сценариях развертывания.
  • «Нет уязвимостей». Продукт либо не содержит данную уязвимость, либо содержит уязвимый компонент, который невозможно использовать в каких-либо вредоносных целях. Использование данного продукта не подвергает клиентов дополнительному риску.
  • «Есть уязвимость, но использовать ее невозможно». Продукт содержит уязвимость, например, в виде включенной в образ библиотеки или исполняемого файла. При этом, однако, в продукте есть достаточное количество средств защиты, предотвращающих доступ агентов угрозы к данной уязвимости и делающих задачу ее использования крайне сложной или невозможной. Использование данного продукта не подвергает клиентов дополнительному риску.
  • «Есть уязвимость, но уровень риска низкий». Продукт содержит уязвимость, например, в виде библиотеки или исполняемого файла, включенного в образ программного обеспечения. Однако использование данной уязвимости наносит лишь незначительный ущерб и не дает злоумышленникам возможности извлечь из этого какую-либо выгоду. Уровень дополнительного риска, которому подвергаются клиенты, использующие данный продукт в рекомендуемых, обычных сценариях развертывания, вероятнее всего является небольшим.