Segnalazione di vulnerabilità

Affronta potenziali vulnerabilità in qualsiasi aspetto dei nostri servizi cloud

Amazon Web Services prende molto sul serio la sicurezza e indaga su tutte le vulnerabilità segnalate. Questa pagina descrive le nostre procedure in caso di potenziali vulnerabilità in qualsiasi aspetto dei nostri servizi cloud.

Segnalazione di vulnerabilità sospette

  • Amazon Web Services (AWS): se desideri segnalare una vulnerabilità o un potenziale problema di sicurezza relativo ai servizi del cloud AWS o a progetti open source, invia le informazioni necessarie contattando aws-security@amazon.com. Se desideri proteggere i contenuti inviati, puoi utilizzare la nostra chiave PGP.
  • Policy del servizio clienti AWS per i test di penetrazione (pen-test): i clienti AWS sono invitati a eseguire valutazioni di sicurezza o test di penetrazione (pen-test) sulla loro infrastruttura AWS, senza previa approvazione, per i servizi elencati. La richiesta di autorizzazione per la simulazione di altri eventi deve essere inviata tramite il modulo Simulazione di altri eventi. I clienti che operano nella regione AWS Cina (Ningxia e Pechino) devono utilizzare questo modulo sugli eventi simulati.
  • Uso illecito di AWS: Se hai ragione di credere che una risorsa AWS (ad esempio un'istanza EC2 o un bucket S3) sia utilizzata per attività sospette, puoi scrivere al team che si occupa degli usi illeciti compilando il modulo Segnala uso illecito Amazon AWS o scrivendo all'indirizzo abuse@amazonaws.com.
  • Informazioni su AWS Compliance: i report di conformità sull'accesso ad AWS sono disponibili tramite AWS Artifact. Per eventuali ulteriori domande relative ad AWS Compliance, contattali tramite il relativo modulo di ricezione.
  • Amazon.com (vendita al dettaglio): se hai problemi di sicurezza con Amazon.com (vendita al dettaglio), Seller Central, Amazon Payments o altri problemi correlati, ad esempio ordini sospetti, addebiti non validi sulla carta di credito, e-mail sospette o segnalazioni di vulnerabilità, visita la nostra pagina web Security for Retail.

Per consentirci di rispondere in modo più efficace alla tua segnalazione, ti preghiamo di fornire qualsiasi materiale di supporto (codice proof of concept, output dello strumento, ecc.) che possa essere utile per aiutarci a comprendere la natura e la gravità della vulnerabilità.

Le informazioni condivise con AWS durante questo processo vengono ritenute riservate da AWS. AWS condivide queste informazioni con terzi soltanto se rileva che la vulnerabilità segnalata influenza un prodotto di terze parti, nel cui caso condivideremo queste informazioni con l'autore o il produttore del prodotto di terze parti. In caso contrario, AWS condivide queste informazioni soltanto nella forma da te consentita.

AWS esaminerà la segnalazione inviata e le assegnerà un numero di monitoraggio. Ti risponderemo quindi per confermarne la ricezione e delineare le fasi successive del processo.

SLA per valutazione da parte di AWS

AWS si impegna a rispondere il più velocemente possibile e a informarti sull'avanzamento dell'indagine e/o della mitigazione del problema di sicurezza segnalato. Riceverai una risposta non automatica entro 24 ore dal contatto iniziale, che confermerà la ricezione della vulnerabilità segnalata. Riceverai aggiornamenti sull'avanzamento dell'indagine da AWS almeno ogni cinque giorni lavorativi.

Divulgazione al pubblico

Quando applicabile, AWS coordinerà con l'autore della segnalazione la divulgazione al pubblico di eventuali vulnerabilità accertate. Quando possibile, preferiamo che le nostre rispettive comunicazioni al pubblico siano pubblicate contemporaneamente.

Per mantenere protetti i suoi clienti, AWS richiede di non pubblicare o condividere pubblicamente informazioni relative a una potenziale vulnerabilità finché tale problema non sarà stato esaminato, testato e risolto e i clienti non saranno stati informati, se necessario. Inoltre, chiediamo rispettosamente di non pubblicare o condividere dati appartenenti ai nostri clienti. Rispondere a una vulnerabilità valida segnalata richiede tempo e la cronologia in questione dipende dalla gravità della vulnerabilità e dai sistemi interessati.

AWS rende notifiche pubbliche sono sotto forma di Bollettini sulla sicurezza, che sono pubblicati nel sito web di sicurezza AWS. Singoli individui, aziende e team di sicurezza in genere pubblicano i propri avvisi sui propri siti Web e in altri forum e, se pertinente, includeremo collegamenti a tali risorse di terze parti nei bollettini sulla sicurezza di AWS.  

Safe Harbor

AWS ritiene che la ricerca di sicurezza eseguita in buona fede deve essere fornita in modalità safe harbor. Abbiamo adottato i Termini fondamentali di Disclose.io, in conformità alle condizioni seguenti, e siamo lieti di poter collaborare con ricercatori in ambito di sicurezza che condividono la nostra passione per la protezione dei clienti AWS.

Ambito

Le seguenti attività esulano dal Programma AWS di segnalazione di vulnerabilità. Condurre le attività elencate di seguito comporta la squalifica permanente dal programma.

  1. Presa di mira delle risorse dei clienti AWS o dei siti non AWS in hosting sulla nostra infrastruttura
  2. Qualsiasi vulnerabilità ottenuta tramite la compromissione di clienti o account dei dipendenti AWS
  3. Qualsiasi attacco Denial of Service (DoS) contro prodotti o clienti AWS
  4. Attacchi fisici contro dipendenti, sedi e data center AWS
  5. Social engineering dei dipendenti, appaltatori, fornitori o service provider AWS
  6. Pubblicazione, trasmissione, caricamento, collegamento o invio deliberato di malware
  7. Perseguimento di vulnerabilità che inviano messaggi in massa (spam) non richiesti

Politica di divulgazione

Una volta inviata la segnalazione, AWS esaminerà la vulnerabilità segnalata. Se dovessero essere necessarie ulteriori informazioni per analizzare o riprodurre il problema, AWS lavorerà con te per ottenerle. Una volta completata l'indagine iniziale, riceverai i risultati insieme a un piano per la risoluzione del problema e la discussione sulla divulgazione al pubblico.

Alcuni aspetti da notare sul processo AWS:

  1. Prodotti di terze parti: molti fornitori offrono prodotti all'interno di AWS Cloud. Se la vulnerabilità interessa un prodotto di terze parti, AWS invierà una notifica al titolare della tecnologia interessata. AWS proseguirà nell'indagine coordinandosi sia con te sia con la terza parte coinvolta. La tua identità non sarà divulgata alla terza parte senza il tuo consenso.
  2. Conferma di non vulnerabilità: qualora il problema non potesse essere convalidato o non venisse rilevato che ha origine in un prodotto AWS, ciò ti verrà comunicato.
  3. Classificazione delle vulnerabilità: AWS utilizza la versione 3.1 del sistema di valutazione delle vulnerabilità (CVSS, Common Vulnerability Scoring System) per valutare le potenziali vulnerabilità. Il punteggio risultante ci consente di quantificare la gravità del problema e di dare priorità alla nostra risposta. Per ulteriori informazioni su CVSS, fare riferimento al sito NVD.
Contatta un rappresentante aziendale di AWS
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della sicurezza?
Invia subito la tua domanda »
Desideri aggiornamenti sulla sicurezza in AWS?
Seguici su Twitter »