Policy di Divulgazione delle Vulnerabilità

Introduzione

Qui in Ivanti ci impegniamo a garantire la sicurezza e l'integrità dei nostri prodotti software aziendali. Riconosciamo il ruolo fondamentale che i ricercatori sulla sicurezza, gli hacker etici e in generale tutti coloro che si occupano di sicurezza svolgono nell'identificazione e nella segnalazione delle vulnerabilità. La presente Politica di Divulgazione delle Vulnerabilità delinea il nostro impegno a collaborare con i ricercatori di sicurezza per migliorare la sicurezza del nostro software, illustrando i passaggi necessari per segnalare le vulnerabilità, cosa ci aspettiamo e cosa puoi aspettarti da noi.

Se riscontri problemi relativi alla sicurezza riguardante i prodotti o le soluzioni Ivanti, compresi quelli relativi a prodotti di aziende acquisite da Ivanti (come Pulse Secure, Cherwell e MobileIron), o se rilevi falle di sicurezza relative all'infrastruttura Ivanti, ti invitiamo a segnalarli attraverso uno dei canali descritti in "Canali di segnalazione". Grazie al tuo sguardo vigile, contribuirai a salvaguardare la sicurezza dei nostri prodotti e a mantenere l'integrità della nostra infrastruttura. Ti ringraziamo per il tuo impegno nel migliorare i nostri sforzi sulla sicurezza e per collaborare con noi in questa importante iniziativa.

Ambiti applicativi

All'interno dell'ambito

La Politica di Divulgazione delle Vulnerabilità si applica a qualsiasi asset digitale posseduto, gestito o mantenuto all'interno di Ivanti, inclusi i prodotti, i servizi e l'infrastruttura IT e OT di Ivanti (includendone i sistemi e la rete).

Al di fuori dell'ambito

I seguenti tipi di attacchi non vengono considerati parte del nostro Programma di Divulgazione delle Vulnerabilità:

  • Attacchi di tipo DoS, inclusi gli attacchi che portino all'esaurimento delle risorse, gli exploit che causano Denial of Service o qualsiasi forma di test di resilienza rispetto a Ivanti Corporate o Ivanti Hosted Solutions, che potrebbero portare all'interruzione del servizio
  • Test fisici di uffici, data center, strutture di colocation Ivanti ecc.
  • Social Engineering dei nostri dipendenti, clienti, partner, ecc.
  • Qualsiasi attacco o evento nei confronti di un prodotto o una soluzione Ivanti hostati da un cliente nella propria rete, senza approvazione preventiva per il test
  • Risultati da scanner automatizzati

Premi per la Vulnerabilità

Oltre al Programma di Divulgazione delle Vulnerabilità, Ivanti gestisce un programma specializzato di bug-bounty su HackerOne per alcuni prodotti Ivanti selezionati. Questo programma esclusivo è solo su invito e garantisce ai ricercatori di sicurezza l'accesso ad ambienti dedicati che ospitano i prodotti Ivanti.

Se il tuo report di vulnerabilità riguardano un prodotto che rientra nell'ambito del programma di bug-bounty di Ivanti, verrà trasferito al programma di bug-bounty di Ivanti e potresti ricevere un premio. Visita  https://hackerone.com/ivanti  per maggiori dettagli.

Ivanti si riserva il diritto esclusivo di valutare e qualificare le segnalazioni per questi premi a sua esclusiva discrezione.

Canali di segnalazione

Se hai individuato una vulnerabilità della sicurezza in qualsiasi prodotto o servizio software aziendale Ivanti, ti invitiamo a segnalarcelo in modo responsabile e coordinato, attraverso una delle seguenti modalità:

1. Modulo per l'invio della segnalazione sulle vulnerabilità, di semplice utilizzo.

2. Email a [email protected]. La tua segnalazione dovrebbe includere le seguenti informazioni:

  1. Una descrizione dettagliata della vulnerabilità.
  2. Proof of Concept [PoC], se applicabile.
  3. Passaggi necessari per riprodurre la vulnerabilità.
  4. Informazioni sul prodotto o servizio interessato e sulla relativa versione.
  5. Le tue informazioni di contatto, inclusi nome, indirizzo email ed eventuali dettagli di contatto aggiuntivi.

Se desideri crittografare la comunicazione, utilizza la nostra chiave PGP qui (impronta digitale: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D).

3. Per domande generali sulla sicurezza, scrivi a [email protected].

Procedura di gestione delle segnalazioni di vulnerabilità

  • In risposta alla tua segnalazione, il nostro partner VDP/bug-bounty, HackerOne, ti risponderà tempestivamente e collaborerà con te per comprendere e convalidare la tua segnalazione.
  • Il nostro team di sicurezza lavorerà per convalidare la vulnerabilità entro dieci giorni lavorativi dalla ricezione.
  • Una volta confermata la vulnerabilità, Ivanti ne stabilirà la priorità di risoluzione in base alla gravità. Forniremo aggiornamenti regolari al segnalatore sullo stato del processo di riparazione.
  • Ivanti riserverà e pubblicherà CVE per le vulnerabilità con punteggio CVSS pari o superiore a 4,0, come calcolato e convalidato dal processo di valutazione interna di Ivanti.
  • Ci impegniamo ad affrontare e mitigare la vulnerabilità segnalata in buona fede. Potremmo chiedere il contributo o l'assistenza del segnalatore, se necessario.
  • Ivanti potrebbe, di tanto in tanto, approvare e rendere disponibili procedure più specifiche per la gestione di determinati tipi di vulnerabilità di sicurezza. Tali procedure aggiuntive sono estensioni del presente Programma di Divulgazione delle Vulnerabilità.

Codici di condotta

  • Rispetta le regole, incluso il rispetto della presente policy e di qualsiasi altro accordo pertinente. In caso di discordanza tra la presente policy e altri termini applicabili, prevarranno le condizioni della presente policy. 
  • Segnala tempestivamente qualsiasi vulnerabilità che hai rilevato. 
  • Evita di violare la privacy di terzi, di disturbare i nostri sistemi, di distruggere dati e/o di danneggiare l'esperienza dell'utente. 
  • Utilizza solo i "Canali ufficiali" per discutere con noi d'informazioni sulla vulnerabilità. 
  • Concedici un periodo di tempo ragionevole (almeno 120 giorni dalla segnalazione iniziale) per risolvere il problema, prima di divulgarlo pubblicamente. 
  • Se una vulnerabilità fornisce un accesso involontario ai dati: limita la quantità di dati a cui si accede al minimo necessario per dimostrare efficacemente una Proof of Concept; interrompi i test e invia immediatamente un report se trovi dati utente durante i test, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie. 
  • Dovresti interagire solo con gli account di test di tua proprietà o con l'autorizzazione esplicita del titolare dell'account 
  • Non commettere estorsioni.

Esenzioni legali

Per incoraggiare la ricerca e la divulgazione responsabile delle vulnerabilità della sicurezza, Ivanti non intraprenderà azioni legali contro i ricercatori di sicurezza che si impegnano in buona fede a rispettare e segnalare le vulnerabilità della sicurezza in conformità con il presente Programma di Divulgazione delle Vulnerabilità.

Se la tua ricerca sulla sicurezza coinvolge le reti, i sistemi, le informazioni, le applicazioni, i prodotti o i servizi di una terza parte (che non siamo noi), non possiamo vincolare tale terza parte, che potrebbe intraprendere azioni legali o informare le forze dell'ordine. Non possiamo e non autorizziamo ricerche sulla sicurezza a nome di altre entità e non possiamo in alcun modo offrirci di difenderti, indennizzarti o proteggerti in altro modo da qualsiasi azione di terzi basata sulle tue azioni.

Sei tenuto, come di consueto, a rispettare tutte le leggi applicabili e a non interrompere o compromettere alcun dato oltre a quanto consentito dal nostro Programma di Divulgazione delle Vulnerabilità.

Ti preghiamo di contattarci prima di adottare comportamenti che potrebbero essere incoerenti o non contemplati dalla presente policy. Ci riserviamo il diritto esclusivo di determinare se hai compiuto uno sforzo in buona fede per rispettare e segnalare le vulnerabilità di sicurezza in conformità con il presente Programma di Divulgazione delle Vulnerabilità. In tale decisione, il contatto proattivo con noi prima di intraprendere qualsiasi azione risulta essere un fattore significativo. In caso di dubbi, chiedi prima a noi!

Modulo di Segnalazione delle Vulnerabilità

Di seguito trovi il nostro Modulo di Segnalazione delle Vulnerabilità (fornito da HackerOne). Per poterlo utilizzare, è necessario accettare i cookie di terze parti cliccando su "Abilita Cookie". Puoi trovare il modulo anche qui.

Versione 2.0 (marzo 2024). La Policy di Divulgazione delle Vulnerabilità è disponibile anceh per il download.