Póngase en contacto con PSIRT para Trellix y Skyhigh Security.Envíe informes de vulnerabilidad de seguridad a través de
HackerOne.
Para otras consultas, puede comunicarse con el equipo por correo electrónico a
trellixpsirt@trellix.com.
Declaraciones de política de PSIRT
- Procesable
No anunciaremos vulnerabilidades de productos o software públicamente sin una solución, actualización, revisión o actualización de versión procesables. De lo contrario, estaríamos informando a la comunidad de hackers que nuestros productos son un objetivo, lo que pondría a nuestros clientes en mayor riesgo. Para las vulnerabilidades con mayor atención de los medios, como Log4j, publicaremos un Boletín de seguridad registrado indicando nuestra conciencia y acciones. Este Boletín de Seguridad está restringido a nuestros clientes.
- Sin favoritos
Revelamos las vulnerabilidades de los productos a todos los clientes al mismo tiempo.
- Descubridores
Damos crédito a los descubridores de vulnerabilidades solo si se cumple lo siguiente:
- Quieren ser identificados como descubridores.
- No hicieron pública su investigación ni la compartieron con otras partes antes de que se publicara el Boletín de seguridad o el artículo de la base de conocimiento (KB) que abordaba el problema.
- No usaron su investigación para atacar nuestros productos o servicios afectados, o cualquier cliente que los use.
- Permita a nuestros clientes un tiempo razonable después de que se publique la solución antes de publicar más detalles que ayudarían a un atacante (por ejemplo, publicar una PoC o un análisis detallado del problema)
NOTA: Las organizaciones, los individuos o ambos pueden identificarse como descubridores.
Sistema común de puntuación de vulnerabilidades (CVSS) Puntuación Utilizamos la versión CVSS más actual CVSS v3.1.
Todos los boletines de seguridad deben incluir las puntuaciones CVSS para cada vulnerabilidad y los vectores CVSS asociados. Se necesita la puntuación base. Las calificaciones temporales y del entorno son opcionales. Idealmente, los puntajes básicos deberían coincidir con los puntajes que el Instituto Nacional de Estándares y Tecnología (NIST) asigna a los CVE.
Correos electrónicos del servicio de notificación de soporte (SNS)Se necesita un correo electrónico SNS para todos los boletines de seguridad. Para suscribirse a los correos electrónicos de SNS, vaya al
sitio de preferencias de suscripción de SNS.
Política de respuesta Nuestra respuesta de corrección y alerta depende de la puntuación base CVSS más alta:
Prioridad (seguridad) |
Calificación de CVSS |
Correcciones habituales* |
SNS |
P1-Critical |
9.0–10 Crítico |
Hotfix |
Alerta |
P2-High |
7.0–8.9 Alto |
Actualización |
ADVERTENCIA: |
P3-Medium |
4.0–6.9 Medio |
Actualización |
ADVERTENCIA: |
P4-Low |
0.0–3.9 Bajo |
Actualización de versión |
Opcional |
P5-Info |
0.0 |
no arreglará; informativo |
N/D |
* |
La respuesta de corrección se basa en la gravedad de la vulnerabilidad, el ciclo de vida del producto y la viabilidad de una corrección. La respuesta de reparación típica descrita anteriormente no es un compromiso para producir una revisión, actualización o actualización de versión para todas las versiones de productos compatibles. |
Mecanismos de comunicación externa Nuestro mecanismo de comunicación externa depende del puntaje base de CVSS, la cantidad de consultas de los clientes y la cantidad de atención de los medios:
- Boletín de seguridad (4–10)
- Artículo de KB (2–4)
- Declaración de sustentación (0–4)
- No necesario (0)
|
CVSS 0 Bajo |
CVSS 0–3.9 Bajo |
CVSS 4.0–6.9 Medio |
CVSS 7.0–10 Alto |
Divulgación externa (CVE)* |
Artículo de KB si hay varias consultas; de lo contrario no es necesario |
artículo de base de conocimientos |
Boletín de seguridad y SNS |
Boletín de seguridad y SNS |
Divulgación a clientes |
Declaración de sustentación |
Declaración de sustentación |
Boletín de seguridad y SNS |
Boletín de seguridad y SNS |
Divulgación interna |
Innecesario |
Documento en notas de la versión |
Boletín de seguridad (posterior al lanzamiento) y documento en Notas de la versión |
Boletín de seguridad (posterior al lanzamiento) y documento en Notas de la versión |
*De forma predeterminada, no emitimos CVE para problemas con una puntuación inferior a4.0.
Escenarios de crisis Para vulnerabilidades de alta gravedad conocidas públicamente que afectan a varios productos, podemos publicar un Boletín de seguridad con una actualización para un producto y luego actualizar el Boletín de seguridad como actualizaciones y las descripciones de otros productos estarán disponibles.
Los boletines de seguridad con múltiples productos vulnerables enumeran todos los productos con las siguientes categorías:
- Vulnerable y actualizado
- Vulnerable y no actualizado aún
- Vulnerable, pero de riesgo bajo (según los procedimientos recomendados de despliegue estándar)
- No vulnerable
- En investigación (opcional)
No solemos publicar Boletines de Seguridad los viernes por la tarde, a menos que sea un escenario de crisis.
Vulnerabilidad vs. Puntuaciones de riesgo
Participamos en el sistema de puntuación de vulnerabilidad CVSS estándar de la industria. Los puntajes CVSS deben considerarse como un punto de partida para determinar qué riesgo podría representar una vulnerabilidad particular para nuestros clientes. La puntuación CVSS no debe confundirse con una calificación de riesgo de la gravedad de las vulnerabilidades que pueden ocurrir en nuestros productos o los entornos de tiempo de ejecución asociados en los que se ejecutan nuestros productos.
La calificación de base de CVSS determina nuestra primera respuesta a un incidente dado.
Los boletines de seguridad con múltiples productos vulnerables enumeran todos los productos por categoría. La siguiente lista describe lo que significa cada una de las categorías en términos de impacto potencial en el cliente:
- Vulnerable: un producto contiene una vulnerabilidad verificada. y supone algún grado de riesgo para los clientes. La puntuación CVSS asociada se puede tomar como una indicación de la gravedad del impacto de la explotación de la vulnerabilidad en escenarios de implementación típicos.
- No vulnerable: un producto no contiene la vulnerabilidad o la presencia de un componente vulnerable no se puede explotar de ninguna manera. El uso del producto no representa ningún riesgo para los clientes.
- Vulnerable, pero de bajo riesgo: un producto contiene la vulnerabilidad, tal vez como una biblioteca incluida o un archivo ejecutable en la imagen del software. Sin embargo, el impacto de la explotación es insignificante y el producto proporciona suficientes controles de seguridad para que la vulnerabilidad no quede expuesta a los agentes de amenazas. Es probable que el uso del producto presente poco riesgo adicional para los clientes que usan el producto en escenarios de implementación típicos y recomendados.
Boletines de seguridadLos boletines de seguridad están disponibles en nuestro Centro de conocimiento.
Ver boletines de seguridad.
Informar sobre una vulnerabilidadPara obtener información sobre cómo informar sobre una vulnerabilidad, consulte
KB95563: Informar sobre una vulnerabilidad.