安全通告
阿尔卡特朗讯企业通信的产品安全响应团队 (ALE PSIRT) 致力于处理产品和解决方案相关的漏洞与技术问题,负责需求管理、验证和报告。
我们深知产品安全和解决方案对客户的重要性。我们的目标是确保公司产品的开发符合所有安全准则。我们制定并遵循全面的安全计划,包括以下几点:
-
- 采用最佳实践、流程和工具确保软件开发的安全性
-
- 严格的产品安全要求
-
- 发布前进行定期验证和安全效果测试
尽管制定了这些安全准则和采取了严格的操作,但实际应用中仍然可能在产品软件系统中发现漏洞。这些漏洞一旦被利用,将会对部署在客户网络中的产品安全产生影响。
产品安全事件响应流程概览
-
1. ALE PSIRT 收到系统发送的安全告警,或漏洞上报者(业务合作伙伴、客户…… )将漏洞报告 (VSR) 中显示的潜在漏洞发送给 ALE PSIRT ([email protected])。
-
2. ALE PSIRT 向上报者确认收到 VSR。
-
3. ALE PSIRT 分析漏洞在 ALE 环境中的相关性,即是否对 ALE 产品构成风险。同时,参考漏洞管理平台中创建的漏洞分析报告 (VAR),以跟踪分析整个过程。根据通用 漏洞评分系统 (CVSS) 3.1 版计算器 重新评估漏洞的严重性。
-
4. ALE PSIRT 将 VAR 通知漏洞分析团队 (PSP 和 PSS)。
-
5. 产品安全中心完成 VAR,确认产品的漏洞情况。在找到最终修补方案之前,可能需要采用多种方法来临时解决问题排查,如通过重新配置、施加限制或寻其他变通方案。
-
6. ALE PSIRT 会定期向上报者发送漏洞调查进行状态,并将把分析结论一同发送给上报者。
-
7. 如果确认漏洞会对业务运行产生影响且需要采取补救措施时,ALE PSIRT 将协调资源进行漏洞修复和影响评估,与产品团队一起制定修补方案交付时间表、通知计划以及向诸如 mitre, org 和 CERT 等组织报告。当漏洞修复取得一定进展时,安全部门将创建或更新安全通告 (SA)。
-
8. ALE PSIRT 将在 ALE PSIRT 网站上发布 SA,以通知外部 ALE 相关方,例如合作伙伴和客户。
-
9. ALE PSIRT 邮件订阅者会收到 SA 的发布通知。任何人都可以从 ALE PSIRT 网站订阅邮件通知。
-
10. 任何感兴趣的人都可以访问 ALE PSIRT 网站并查阅安全通告。
如何上报可疑的安全漏洞
如果个人/企业遇到 ALE 产品或解决方案的技术安全问题,强烈建议通过以下步骤联系 ALE PSIRT 进行报告:
-
1. 填写漏洞报告 (VSR)。
-
2. 将报告发送至:[email protected]
-
3. 出于保密原因,请考虑使用 ALE PGP 公钥
随后,ALE 产品安全事件响应流程启动,工作人员将与上报者进行及时沟通。与所有相关方保持有效沟通是解决漏洞过程中极为关键的一环。
阿尔卡特朗讯企业通信的客户还可以通过常用的支持渠道上报可疑的安全漏洞。例如,联系维护合同上预留的联系人,这些联系人将为客户提供以下帮助:
-
- 提供技术援助以确定是否存在安全问题
-
- 配置 ALE 产品以实现特定的安全相关功能
-
- 解答已发布的 ALE 产品安全问题
-
- 为避免漏洞而实施的任何变通办法
保密性 - ALE PSIRT PGP 公钥:
ALE PSIRT 流程可确保上报的潜在漏洞信息不被未经授权的 ALE 员工和外部用户访问。ALE 还保证,如有要求,漏洞上报者的姓名不会在公共通讯渠道中披露或用于进一步对外传播。同样,ALE PSIRT 要求漏洞上报者严格保密,直到 ALE 为客户提供出完整的解决方案,并且在 ALE 网站上发布相关安全公告。为确保报告的机密性并保持和 ALE PSIRT 的沟通,我们鼓励上报者使用 ALE PGP 公钥发送加密的上报漏洞信息,我们也将使用发送者的 PGP 公钥加密返回事件后发送给上报者。
-
- 邮箱: [email protected]
-
- 公钥可以在https://keyserver.pgp.com上找到
请注意,对于已部署网络和解决方案中正在发生的安全事件,请勿联系 ALE PSIRT 上报或获取支持。此类事件只能通过常规的客户支持渠道进行报告。
第三方软件漏洞
ALE PSIRT 与 CERT-IST, NVD 和 US-CERT 等第三方协调中心合作,管理 ALE 产品和解决方案中嵌入或使用的第三方软件报告的漏洞通知。这些报告具有唯一的通用漏洞和披露 (CVE) 编号。ALE 团队对发布的每个 CVE 进行分析,以提供调整后的风险评分,从而反映出对产品的影响。
严重程度评估
当通过渗透测试、CERT 报告或现场发现内部或外部漏洞时,必须在 ALE 产品的范围内对该漏洞进行鉴定。
ALE 使用 FIRST 开发的 漏洞评分系统 (CVSS) 3.1 版计算器 来完成漏洞严重程度评估。
通过回答一系列问题,系统将为该漏洞重新打分。
重新评定的分数称为 ALE 漏洞评分系统 (AVSS)。
评分 | CVSS/AVSS 得分 |
---|---|
不受影响 | 0.0 |
低 | 0.1 - 3.9 |
中 | 4.0 - 6.9 |
高 | 7.0 - 8.9 |
严重 | 9.0 - 10.0 |
安全通告发布
如果存在以下一种或多种情况,ALE 将公开发布安全通告:
-
1. 事件响应流程已完成,并确定有足够的软件补丁或解决方法来修复该漏洞,或者计划随后公开披露代码修复程序以修复等级为“严重”的漏洞。
-
2. 如果观察到有人利用该漏洞,导致我们客户的安全风险增加,我们可能在发布可用补丁或修复漏洞之前,先行发布早期安全通告,以告知客户面临的潜在风险。
-
3. 若有关该漏洞的公开信息可能会使我们的客户面临更大的潜在风险,我们可能在发布可用补丁或修复漏洞之前,先行发布早期安全通告,以告知客户面临的潜在风险。
如有例外情况,ALE 保留不遵守此政策的权利,以确保软件补丁的可用性和客户的安全。