Главная / Политика раскрытия уязвимостей

Политика раскрытия уязвимостей

Введение

Процесс обнаружения, исследования и устранения уязвимостей в программно-аппаратных комплексах должен выполняться в тесной координации между исследователем, обнаружившим уязвимость (далее Исследователь), координационным центром (далее Координатор) и производителем (далее Производитель) программного или программно-аппаратного обеспечения, в котором обнаружена уязвимость (далее Продукт). Данный процесс должен происходить в соответствии с принципами ответственности и полного раскрытия. В процессе обнаружения и устранения уязвимостей KL-ICS-CERT выступает в роли Исследователя и Координатора. В качестве Исследователя KL-ICS-CERT инициирует и выполняет исследование Продукта с целью обнаружения и анализа возможных уязвимостей. В качестве Координатора KL-ICS-CERT проводит анализ информации об уязвимости в Продукте Производителя, предоставленной Исследователем, уточняет информацию, передает информацию Производителю и ведет работу с Производителем по устранению обнаруженных уязвимостей.

Цель

Данный документ описывает процесс и политику обработки информации об обнаруженных уязвимостях в Продуктах, о которых стало известно KL-ICS-CERT. Основная цель данного процесса – повышение уровня защищенности владельцев и пользователей систем автоматизации промышленных объектов от компьютерных атак. Для этого KL-ICS-CERT взаимодействует с Производителем, способствуя скорейшей разработке обновления Продукта, исправляющего уязвимость, и разработке необходимых защитных мер.

Ограничения

Требования данной политики, описывающей процедуру раскрытия информации об уязвимостях, не применяются к уязвимостям, обнаруженным:

  • в политиках, процессах, процедурах, а также в уникальной конфигурации Продуктов в инфраструктуре Пользователя;
  • в уникальных программных средствах и программно-аппаратных комплексах, разработанных по требованиям и по заказу единственного заказчика и эксплуатируемых единственным Пользователем.

Если информация об уязвимости была получена KL-ICS-CERT от сотрудников АО «Лаборатория Касперского», а сама уязвимость была обнаружена в ходе выполнения сотрудниками АО «Лаборатория Касперского» работ по договору с Пользователем, суть которого заключается в обнаружении уязвимостей данного типа в данном Продукте, и требования Политики противоречат условиям, явно указанным в договоре между АО «Лаборатория Касперского» и Пользователем, то в отношении раскрытия информации об уязвимости KL-ICS-CERT выполняются соответствующие условия договора.

Процесс устранения уязвимостей в KL-ICS-CERT

Процесс устранения уязвимости в KL-ICS-CERT делится на следующие этапы:

  • Обнаружение уязвимости (2) Анализ уязвимости (3) Координация действий для устранения уязвимости (4) Раскрытие информации об уязвимости

1) Обнаружение уязвимости

KL-ICS-CERT получает информацию об уязвимости следующим образом:

  • исследование Продукта, выполненное сотрудниками KL-ICS-CERT, например по запросу от Пользователя или Производителя;
  • получение информации от сторонних Исследователей, включая сотрудников «Лаборатории Касперского»;
  • получение информации из открытых источников.

 

2) Анализ уязвимости

При получении информации об уязвимости специалисты KL-ICS-CERT проводят первичный анализ уязвимости с целью достоверного описания обнаруженной уязвимости по следующим основным параметрам (свойствам):

  • описание уязвимости: краткое описание обнаруженной уязвимости;
  • окружение: информация об условиях, в которых выявлена уязвимость (версии программного или программно-аппаратного обеспечения, в которых выявлена уязвимость, а также специальная информация о конфигурации);
  • технические детали: развернутое описание обнаруженной уязвимости;
  • влияние на безопасность: оценка степени влияния уязвимости на безопасность Продукта в целом (например, в соответствии с моделью STRIDE);
  • критичность уязвимости: возможные последствия использования уязвимости;
  • ПО, демонстрирующее наличие или возможность эксплуатации уязвимости (POC);
  • Контактная информация Исследователя, обнаружившего уязвимость.

Ход первичного анализа зависит от источника информации об уязвимости.

 

При обнаружении уязвимости сотрудниками KL-ICS-CERT или сотрудниками ЛК, а также при получении информации об уязвимости от Производителя информация считается достоверной. Выполняется проверка, насколько полная полученная информация. При необходимости выполняется исследование Продукта, в котором была обнаружена уязвимость, для уточнения деталей или для получения недостающих данных.

 

При получении информации об уязвимости от 3-й стороны или из открытых источников информация считается недостоверной. Выполняется всесторонняя проверка полученной информации. При необходимости выполняется исследование Продукта, в котором была обнаружена уязвимость.

 

В некоторых случаях для определения полного набора условий, в которых выявлена уязвимость, более корректного описания технических деталей, оценки степени влияния уязвимости на безопасность Продукта часть информации, полученной KL-ICS-CERT в ходе анализа уязвимости, может быть передана Исследователю.

 

Ни при каких условиях Исследователю не передается ПО, демонстрирующее наличие или возможность эксплуатации уязвимости (POC), разработанное специалистами KL-ICS-CERT в ходе анализа уязвимости.

 

Полученная информация об уязвимости фиксируется во внутренней базе данных KL-ICS-CERT, уязвимости присваивается внутренний идентификатор:

  • KL_ICS_ID — уникальный идентификатор уязвимости в формате KL_ICS_yyyy_xxxx (префикс_год_номер), например, KL_ICS_2016_0104.

Если первоначальная информация об уязвимости была получена от 3-й стороны, Исследователю передается краткое заключение о проведенном исследовании, содержащее подтверждение или опровержение факта наличия уязвимости и идентификатор уязвимости в базе KL-ICS-CERT.

 

3) Координация действий для устранения уязвимости

После анализа уязвимости KL-ICS-CERT передает полную информацию об уязвимости Производителю. Дополнительно Производителю передаются контактные данные Исследователя, обнаружившего уязвимость.

 

Далее, для разработки защитных мер и исправления уязвимости Продукта KL-ICS-CERT работает с Производителем и в некоторых случаях – с Исследователем.
Основной задачей KL-ICS-CERT при этом является тестирование разработанного Производителем обновления Продукта и рекомендованных дополнительных мер защиты.В некоторых случаях (например, по запросу Производителя) KL-ICS-CERT может играть роль консультанта, предлагая Производителю варианты исправления уязвимости и список дополнительных мер защиты. KL-ICS-CERT вправе отказаться от выполнения этой роли без объяснения причин.

 

В процессе работы с Производителем KL-ICS-CERT может изменять или уточнять информацию об уязвимости, если в этом возникла необходимость.

 

После уведомления Производителя об обнаруженной уязвимости и передачи Производителю детальной информации о ней KL-ICS-CERT определяет максимальное время, приемлемое для устранения уязвимости и раскрытия информации о ней, на основании таких характеристик, как простота использования уязвимости и степень серьезности последствий при возможном ее использовании. Это время согласуется с Производителем для учета времени, объективно необходимого Производителю для разработки публичного обновления Продукта или списка защитных мер. Однако KL-ICS-CERT оставляет за собой право определить максимальное время до раскрытия информации об уязвимости самостоятельно, если оценка KL-ICS-CERT возможных последствий эксплуатации уязвимости не позволяет держать информацию об уязвимости в тайне в течение времени, необходимого Производителю для разработки публичного обновления Продукта или списка защитных мер, или если Производитель в течение 30 дней с момента передачи ему информации об уязвимостях не обозначил время, необходимое для разработки публичного обновления Продукта или списка защитных мер, или если в течение 30 дней с момента получения информации об уязвимости сотрудниками KL-ICS-CERT по объективным причинам не удалось связаться с Производителем (например, сайт Производителя недоступен, отсутствует публично доступная контактная информация, или по другим причинам, не зависящим от KL-ICS-CERT, от Производителя не удалось получить контакты сотрудников, ответственных за прием и обработку информации об уязвимостях). Ориентировочное минимальное время до раскрытия информации об уязвимости — 45 дней с момента передачи Производителю информации об уязвимости.

 

Результатом работы с Производителем является финальное уточненное описание уязвимости, списка мер по исправлению уязвимости, а также определенное для данной уязвимости максимальное время до раскрытия информации об уязвимости.

 

В том случае когда обнаружено, что уязвимость затрагивает продукты нескольких Производителей, KL-ICS-CERT передает информацию об уязвимостях каждому из обнаруженных Производителей.

 

4) Раскрытие

До выпуска Производителем публичного обновления Продукта или списка мер, защищающих от эксплуатации данной уязвимости, KL-ICS-CERT оставляет за собой право на использование информации об уязвимости в следующих случаях:

  • для разработки собственных дополнительных защитных мер и средств, не входящих в состав Продукта;
  • для разработки защитных технологий в продуктах ЛК, обнаруживающих или предотвращающих возможные
    атаки, эксплуатирующие данную уязвимость;
  • при проведении аудитов и обследований состояния защищенности инфраструктуры – по запросу Пользователя
    (в этом случае Пользователю сообщается только о факте наличия уязвимости, её критичности, статусе
    работ по устранению уязвимости и предлагается список дополнительных защитных мер).

После выпуска Производителем публичного обновления Продукта или разработки списка мер, защищающих от эксплуатации данной уязвимостей, либо по истечении максимального времени до раскрытия информации об уязвимости, установленного для данной уязвимости, KL-ICS-CERT оставляет за собой право раскрытия информации об уязвимости с целью уведомления Пользователя (включая потенциальных Пользователей) о факте наличия уязвимости и необходимости принятия рекомендованных защитных мер. Раскрытие информации об уязвимости может осуществляться следующими способами:

  • публикация на официальном сайте KL-ICS-CERT;
  • уведомление Клиентов и прочих заинтересованных сторон путем адресной рассылки по электронной почте;
  • передача информации об уязвимости государственным и международным организациям, в задачи которых входит координация усилий по обеспечению информационной безопасности промышленных предприятий;
  • использование информации об уязвимости в материалах официальных обучающих курсов (тренингов) и пособий KL-ICS-CERT;
  • использование информации об уязвимости при проведении аудитов и обследований состояния защищенности инфраструктуры – по запросу Пользователя;
  • иными способами по запросу Пользователя.

При этом KL-ICS-CERT:

  • предоставляет информацию об уязвимости, фокусируясь на технической информации и способах ее устранения;
  • не предоставляет в распоряжение Пользователя и иных третьих лиц, за исключением Производителя, программное обеспечение, демонстрирующее наличие или возможность эксплуатации уязвимости (POC).

Обеспечение конфиденциальности

Вся информация об уязвимостях, передаваемая в KL-ICS-CERT Исследователем и Производителем, а также полученная в ходе анализа уязвимости, выполненного KL-ICS-CERT, является конфиденциальной, хранится и обрабатывается в соответствии с политикой информационной безопасности, принятой в «Лаборатории Касперского», которая распространяется на всех сотрудников «Лаборатории Касперского», включая KL-ICS-CERT. По ходу проведения анализа уязвимости и координации работ по ее устранению KL-ICS-CERT консультирует Исследователя о существенных изменениях в статусе обработки информации об уязвимости без раскрытия информации, предоставленной конфиденциально Производителем.

 

В том случае если Исследователь явно того требует, информация о нем не передается Производителю.

 

При раскрытии информации об уязвимости KL-ICS-CERT публикует всю техническую информацию о ней, за исключением информации о ПО, демонстрирующем наличие или возможность эксплуатации уязвимости (POC).

 

В том случае если KL-ICS-CERT и Производитель не пришли к единому пониманию описания уязвимости, информация об уязвимости раскрывается, данные, переданные Производителем в KL-ICS-CERT, не раскрываются, а в описание уязвимости вносится информация о сути разногласий KL-ICS-CERT и Производителя.

Контактная информация

Сообщить в KL-ICS-CERT об уязвимостях можно по электронной почте ics-cert@kaspersky.com или по телефону YYYY. При отправке электронных писем рекомендуем шифровать сообщения с использованием публичного ключа ZZZZ(link).

Сообщить о проиcшествии