Richtlinie zur Offenlegung von Sicherheitslücken

Einführung

Wir bei Ivanti setzen alles daran, die Sicherheit und Integrität unserer Unternehmenssoftwareprodukte zu gewährleisten. Wir erkennen die wichtige Rolle an, die Sicherheitsforscher, ethische Hacker und die gesamte Sicherheits-Community beim Aufspüren und Melden von Sicherheitslücken spielen. Diese Richtlinie zur Offenlegung von Sicherheitslücken beschreibt unsere Entschlossenheit, mit Sicherheitsforschern zusammenzuarbeiten, um die Sicherheit unserer Software zu verbessern. Sie beschreibt die Schritte zur Meldung von Sicherheitslücken, was wir erwarten und was Sie von uns erwarten können.

Wenn Sie auf sicherheitsrelevante Probleme mit Ivanti-Produkten oder -Lösungen stoßen, einschließlich solcher, die mit Produkten von Unternehmen zusammenhängen, die von Ivanti übernommen wurden (z. B. Pulse Secure, Cherwell und MobileIron), oder wenn Sie Sicherheitsprobleme im Zusammenhang mit der Ivanti-Infrastruktur feststellen, empfehlen wir Ihnen, diese über einen der unter 'Berichtskanäle' beschriebenen Kanäle zu melden. Ihre wachsamen Augen und Ihre Mitwirkung tragen entscheidend dazu bei, die Sicherheit unserer Produkte zu gewährleisten und die Integrität unserer Infrastruktur zu erhalten. Wir schätzen Ihr Engagement für die Verbesserung der Sicherheitsmaßnahmen von Ivanti. Vielen Dank, dass Sie uns bei diesem wichtigen Unterfangen unterstützen.

Umfang

Teil des Umfangs

Die Richtlinie zur Offenlegung von Sicherheitslücken gilt für alle digitalen Assets, die sich im Besitz von Ivanti befinden und von Ivanti betrieben oder gewartet werden, einschließlich der Produkte und Dienstleistungen von Ivanti sowie der IT- und OT-Infrastruktur von Ivanti (einschließlich der Systeme und des Netzwerks).

Nicht Teil des Umfangs

Die folgenden Arten von Angriffen werden nicht als Teil unseres Programms zur Offenlegung von Sicherheitslücken betrachtet:

  • Denial-of-Service-Angriffe, einschließlich Resource-Exhaustion-Angriffe, Exploits, die eine Dienstverweigerung (denial of service) verursachen, oder andere Arten von „Ausfallsicherheitstests“ gegen Ivanti Corporate oder Ivanti Hosted Solutions, die zu einer Unterbrechung der Dienste führen könnten.
  • Physische Tests von Ivanti-Büros, Rechenzentren, Colocation-Einrichtungen usw.
  • Social Engineering unserer Mitarbeiter, Kunden, Partner, usw.
  • Jeder Angriff oder Vorfall gegen ein Ivanti-Produkt oder eine Ivanti-Lösung, die von einem Kunden in seinem eigenen Netzwerk gehostet wird, ohne vorherige Genehmigung zur Durchführung von Tests.
  • Ergebnisse von automatischen Scannern

Prämien für Sicherheitslücken

Zusätzlich zu diesem Programm zur Offenlegung von Sicherheitslücken betreibt Ivanti auf HackerOne ein spezielles Bug-Bounty-Programm für ausgewählte Ivanti-Produkte. Dieses exklusive Programm ist nur auf Einladung zugänglich und gewährt Sicherheitsforschern Zugang zu speziellen Umgebungen, in denen Ivanti-Produkte gehostet werden.

Wenn Ihre Meldung einer Sicherheitslücke ein Produkt betrifft, das in den Geltungsbereich des Bug-Bounty-Programms von Ivanti fällt, wird Ihre Meldung in das Bug-Bounty-Programm von Ivanti verschoben, und Sie können eine Prämie erhalten. Weitere Informationen finden Sie unter https://hackerone.com/ivanti.

Ivanti behält sich das ausschließliche Recht vor, Einreichungen für Prämien nach eigenem Ermessen zu bewerten und zu qualifizieren.

Berichtskanäle

Wenn Sie eine Sicherheitslücke in einem Produkt oder einer Dienstleistung von Ivanti Enterprise Software entdeckt haben, bitten wir Sie, uns diese auf verantwortungsvolle und koordinierte Weise über einen dieser Wege zu melden:

1. Das einfach zu verwendende Formular zur Übermittlung von Sicherheitslücken.

2. E-Mail an [email protected]. Ihr Bericht sollte die folgenden Informationen enthalten:

  1. Eine detaillierte Beschreibung der Sicherheitslücke.
  2. Proof of Concept [PoC], falls zutreffend.
  3. Schritte zur Reproduktion der Sicherheitslücke.
  4. Informationen über das betroffene Produkt oder den betroffenen Dienst und seine Version.
  5. Ihre Kontaktinformationen, einschließlich Ihres Namens, Ihrer E-Mail-Adresse und zusätzlicher Kontaktinformationen.

Wenn Sie die Kommunikation verschlüsseln möchten, verwenden Sie bitte unseren PGP-Schlüssel hier (Fingerprint: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D).

3. Für allgemeine Sicherheitsanfragen schreiben Sie bitte an [email protected].

Verfahren zur Handhabung von Sicherheitslückenberichten

  • Als Reaktion auf Ihren Bericht wird unser VDP/Bug-Bounty-Partner HackerOne Ihnen umgehend antworten und mit Ihnen zusammenarbeiten, um Ihren Bericht zu verstehen und zu validieren.
  • Unser Sicherheitsteam wird die Sicherheitslücke innerhalb von zehn Werktagen nach Eingang der Meldung überprüfen.
  • Sobald die Sicherheitslücke bestätigt ist, wird Ivanti ihre Behebung je nach Schweregrad priorisieren. Wir werden den Berichterstattenden regelmäßig über den Stand des Behebungsprozesses informieren.
  • Ivanti reserviert und veröffentlicht CVEs für Schwachstellen mit einem CVSS-Score von 4,0 und höher, wie durch den internen Bewertungsprozess von Ivanti berechnet und validiert.
  • Wir verpflichten uns, die gemeldete Sicherheitslücke nach bestem Wissen und Gewissen zu beheben und zu entschärfen. Bei Bedarf können wir den Berichterstattenden um Input oder Unterstützung bitten.
  • Ivanti kann von Zeit zu Zeit spezifischere Verfahren für den Umgang mit bestimmten Arten von Sicherheitslücken genehmigen und zur Verfügung stellen. Diese zusätzlichen Verfahren sind Erweiterungen dieses Programms zur Offenlegung von Sicherheitslücken.

Verhaltenskodexe

  • Halten Sie sich an die Regeln, einschließlich dieser Richtlinie und aller anderen relevanten Vereinbarungen. Sollte es Widersprüche zwischen dieser Richtlinie und anderen geltenden Bestimmungen geben, haben die Bestimmungen dieser Richtlinie Vorrang.
  • Melden Sie jede Sicherheitslücke, die Sie entdeckt haben, umgehend.
  • Vermeiden Sie die Verletzung der Privatsphäre anderer, die Störung unserer Systeme, die Zerstörung von Daten und/oder die Beeinträchtigung der Benutzererfahrung.
  • Verwenden Sie nur die „Offiziellen Kanäle“, um Informationen über Sicherheitslücken mit uns zu besprechen.
  • Geben Sie uns eine angemessene Frist (mindestens 120 Tage ab dem ersten Bericht), um das Problem zu lösen, bevor Sie es öffentlich machen.
  • Wenn eine Sicherheitslücke unbeabsichtigten Zugriff auf Daten ermöglicht: Begrenzen Sie die Menge der Daten, auf die Sie zugreifen, auf das Minimum, das für die effektive Demonstration eines Proof of Concept erforderlich ist, und stellen Sie die Tests ein und reichen Sie sofort einen Bericht ein, wenn Sie während der Tests auf Benutzerdaten wie personenbezogene Daten (Personally Identifiable Information, PII), persönliche Gesundheitsdaten (Personal Healthcare Information, PHI), Kreditkartendaten oder geschützte Informationen stoßen.
  • Sie sollten nur mit Testkonten interagieren, die Ihnen gehören oder für die Sie die ausdrückliche Erlaubnis des Kontoinhabers haben.
  • Unterlassen Sie Erpressungen.

Rechtlicher Safe Harbour

Um die Forschung und die verantwortungsvolle Offenlegung von Sicherheitslücken zu fördern, wird Ivanti keine rechtlichen Schritte gegen Sicherheitsforscher einleiten, die sich in gutem Glauben bemühen, Sicherheitslücken in Übereinstimmung mit diesem Programm zur Offenlegung von Sicherheitslücken einzuhalten und zu melden.

Bitte haben Sie Verständnis dafür, dass wir, wenn Ihre Sicherheitsrecherche die Netzwerke, Systeme, Informationen, Anwendungen, Produkte oder Dienstleistungen einer dritten Partei (bei der es sich nicht um uns handelt) betrifft, diese dritte Partei nicht binden können und diese möglicherweise rechtliche Schritte einleitet oder die Strafverfolgungsbehörden informiert. Wir können und werden keine Sicherheitsrecherchen im Namen anderer Unternehmen genehmigen und können in keiner Weise anbieten, Sie zu verteidigen, zu entschädigen oder anderweitig vor Klagen Dritter zu schützen, die auf Ihren Handlungen beruhen.

Es wird von Ihnen erwartet, dass Sie wie immer alle für Sie geltenden Gesetze einhalten und keine Daten stören oder gefährden, die über das hinausgehen, was unser Programm zur Offenlegung von Sicherheitslücken erlaubt.

Bitte nehmen Sie Kontakt mit uns auf, bevor Sie Handlungen vornehmen, die mit dieser Richtlinie unvereinbar sind oder von ihr nicht abgedeckt werden. Wir behalten uns das alleinige Recht vor, zu entscheiden, ob Sie sich nach Treu und Glauben bemüht haben, Sicherheitslücken in Übereinstimmung mit diesem Programm zur Offenlegung von Sicherheitslücken zu befolgen und zu melden, und ein proaktiver Kontakt mit uns vor der Durchführung von Maßnahmen ist ein wichtiger Faktor bei dieser Entscheidung. Fragen Sie uns im Zweifelsfall zuerst!

Formular zur Übermittlung von Sicherheitslücken

Nachfolgend finden Sie unser Formular zur Übermittlung von Sicherheitslücken (powered by HackerOne). Um das Formular nutzen zu können, müssen Sie Cookies von Drittanbietern akzeptieren, indem Sie auf „Cookies zulassen“ klicken. Sie können dieses Formular auch hier finden.

Version 2.0 (März 2024). Die Richtlinie zur Offenlegung von Sicherheitslücken steht ebenfalls zum Download zur Verfügung.