Сообщение об уязвимостях
Amazon Web Services уделяет огромное внимание вопросам безопасности и исследует все уязвимости, о которых сообщают клиенты. На этой странице описан порядок сообщения о потенциальных уязвимостях в любой части структуры облачных сервисов AWS.
Сообщение о потенциальных уязвимостях
- Amazon Web Services (AWS). Сообщите об уязвимости или проблеме безопасности облачных сервисов AWS или проектов с открытым исходным кодом, обратившись по электронному адресу aws-security@amazon.com. Для защиты содержания сообщений можно использовать наш ключ PGP.
- Магазин розничной торговли Amazon.com. Если у вас возникли опасения, связанные с безопасностью таких ресурсов, как интернет-магазин розничной торговли Amazon.com, Seller Central, Amazon Payments, или аналогичные проблемы, например подозрительные заказы, необоснованное списание средств с кредитной карты, подозрительные сообщения электронной почты, а также если вы хотите сообщить об уязвимостях, перейдите нашу на страницу Безопасность розничной торговли.
- Политика поддержки клиентов AWS при проведении проверок уязвимостей: клиенты AWS могут без предварительного согласования проводить оценки безопасности и проверки уязвимостей используемой ими инфраструктуры в перечисленных сервисах. Заявку на авторизацию для использования других вариантов тестирования необходимо отправлять с использованием формы видов тестирования. (Для клиентов, работающих в регионе AWS Китай (Нинся и Пекин): пользуйтесь этой формой видов тестирования.)
- Несанкционированное использование AWS. Если у вас есть подозрение, что ресурсы AWS (например, инстанс EC2 или корзина S3) используются для запрещенных действий, сообщить об этом в конфликтную комиссию AWS можно с помощью формы Сообщить о несанкционированном использовании AWS или по адресу электронной почты abuse@amazonaws.com.
- Информация о соответствии AWS нормативным требованиям: доступ к отчетам AWS о соответствии нормативным требованиям можно получить через AWS Artifact. Если у вас есть другие вопросы, связанные с соответствием AWS нормативным требованиям, обратитесь в соответствующее подразделение с использованием этой формы.
Чтобы мы могли эффективно отреагировать на ваше сообщение, просим предоставить в запросе подтверждающие материалы (код, выходные данные программного средства и т. п.), которые помогут нам определить характер и серьезность уязвимости.
Информация, сообщаемая вами AWS в рамках данного процесса, считается конфиденциальной. AWS будет передавать эту информацию третьим лицам только в том случае, если уязвимость, о которой вы сообщаете, влияет на продукт стороннего производителя. В этом случае мы передадим эту информацию конкретному автору или производителю. В других случаях AWS будет передавать эту информацию только с вашего разрешения.
AWS ознакомится с вашим отчетом и присвоит ему номер отслеживания. Мы ответим на ваше сообщение, чтобы подтвердить получение отчета и описать порядок действий по решению проблемы.
Охват
Указанные действия выходят за рамки программы отчетов AWS об уязвимостях. Выполнение любых из указанных ниже действий приведет к немедленному исключению из участия в этой программе без возможности восстановления.
- Атака на ресурсы клиентов AWS или сайты третьих лиц, размещенные на нашей инфраструктуре
- Проявление любой уязвимости из-за нарушений безопасности аккаунта клиента или сотрудника AWS
- Любая DoS-атака против продуктов или клиентов AWS
- Физическое нападение на сотрудников, офисы и центры обработки данных AWS
- Социальный инжиниринг в отношении сотрудников, подрядчиков, поставщиков или провайдеров сервисов AWS
- Осознанная публикация, передача, выгрузка или отправка вредоносных программ или ссылок на них
- Использование уязвимостей, которые позволяют выполнять несанкционированную пакетную отправку сообщений (спам)
SLA для Оценки AWS
AWS будет поддерживать с вами связь и информировать о процессе рассмотрения заявки. Вы получите неавтоматизированный ответ с подтверждением отчета в течение 24 часов, а также регулярные обновления состояния и ежемесячные контрольные сообщения на протяжении всего срока рассмотрения вопроса. Вы можете в любое время запросить сведения о текущем состоянии, и мы будем рады пообщаться с вами, чтобы решить любые проблемы или согласовать раскрытие информации.
Публичное оповещение
В тех случаях, когда это применимо, AWS будет согласовывать с вами свои действия по публичному оповещению о подтвержденных уязвимостях. По возможности, информация об одной и той же уязвимости должна публиковаться обеими сторонами одновременно.
Чтобы защитить наших клиентов, компания AWS просит не публиковать и не распространять никакой информации о потенциальных уязвимостях на публично доступных ресурсах до проведения ею исследования уязвимости, принятия мер и при необходимости оповещения клиентов. Просим также не публиковать и не распространять никаких данных, касающихся наших клиентов. Для устранения подтвержденной уязвимости потребуется время, которое будет зависеть от серьезности уязвимости и затронутых систем.
Публичные оповещения AWS в форме бюллетеней по безопасности публикуются на веб-сайте безопасности AWS. Частные лица, компании и отделы безопасности обычно публикуют свои предупреждения об опасности на собственных веб-сайтах или на форумах, и мы включаем ссылки на сторонние ресурсы такого рода в бюллетени по безопасности AWS, когда это уместно.
Зона безопасности
AWS считает, что любое исследование безопасности следует проводить в зоне безопасности. Для исследований безопасности и обработки сообщений об уязвимостях сервис «Безопасность AWS» использует терминологию disclose.io, в частности концепции «Зона безопасности» и «Наши ожидания». Мы будем рады любому сотрудничеству с исследователями безопасности, которые разделяют наше стремление к защите клиентов AWS.
Соответственно, мы считаем, что выполняемое в соответствии с этой политикой исследование безопасности:
- считается допустимым по любым применимым законам о борьбе с хакерскими атаками, то есть мы не будем возбуждать или поддерживать против вас судебные иски за случайные нарушения этой политики в пределах добросовестного поведения;
- считается допустимым по любым применимым законам о борьбе с обходом ограничений, то есть мы не будем возбуждать против вас судебные иски за обход средств технологического контроля;
- освобождается от ограничений, содержащихся в наших Условиях предоставления услуг и/или Политике допустимого использования, насколько они могут помешать проведению исследований в области безопасности, то есть мы снимаем ограниченно отменяем эти ограничения;
- считается законным, полезным для общей безопасности Интернета и добросовестным.
Как и всегда, мы ожидаем от вас соблюдения всех применимых законов. Если третья сторона возбудит против вас судебный иск, то при условии соблюдения этой политики мы предпримем меры для того, чтобы проинформировать о том, что ваши действия совершались в соответствии с этой политикой.
Если у вас в любой момент возникнут сомнения, соответствует ли ваше исследование безопасности этой политике, отправьте отчет о нем по любому из каналов для связи с нами, упомянутых выше в разделе «Сообщение о предполагаемых уязвимостях», прежде чем продолжать исследование.
Обратите внимание, что концепция «Зона безопасности» относится только к судебным искам от организаций, которые принимают участи в применении этой политики, и что эта политика не налагает обязательств на независимые третьи стороны.
Для добросовестного участия в нашей программе раскрытия уязвимостей вам следует соблюдать следующее:
- Не нарушайте правила, в том числе эту политику и любые другие применимые соглашения. Если обнаружится любое несоответствие между этой политикой и любыми другими применимыми условиями, условия этой политики будут иметь преимущественную силу;
- Немедленно сообщайте о любой обнаруженной уязвимости;
- Не нарушайте конфиденциальность других лиц, не мешайте работе наших систем, не уничтожайте данные и не мешайте взаимодействию с нашими пользователями;
- Используйте для обсуждения с нами информации об уязвимостях только указанные выше каналы;
- Предоставьте нам разумный промежуток времени с момента оформления первоначального отчета для решения проблемы, прежде чем раскрывать ее публично;
- Проводите тестирование только на тех системах, которые входят в область применения, и соблюдайте все требования к системам и видам деятельности за пределами области применения;
- Если уязвимость позволяет организовать непреднамеренный доступ к данным, ограничьте ваш доступ к данным минимально необходимым объемом, который потребуется для эффективной демонстрации концепции. Прекратите тестирование и немедленно отправьте нам отчет, если во время тестирования вы получите доступ к любым пользовательским данным, таким как информация, позволяющая установить личность (PII), личная медицинская информация (PHI), данные о кредитных картах и так далее;
- Взаимодействуйте только с принадлежащими вам тестовыми учетными записями или с теми, для которых владелец явным образом предоставил согласие;
- Не занимайтесь вымогательством.
Политика разглашения
Получив отчет, AWS займется оценкой уязвимости. Если для оценки или воспроизведения проблемы потребуется дополнительная информация, AWS обратится к вам. После выполнения предварительного исследования мы сообщим вам его результаты, предоставим план разрешения проблемы и обсуждения обнародования информации о ней.
Отметим следующие моменты процесса AWS.
- Продукты сторонних поставщиков. Многие поставщики предлагают свои продукты для использования в облаке AWS. Если окажется, что уязвимость влияет на работу продукта стороннего поставщика, AWS сообщит об этом автору данной технологии. AWS продолжит координировать ваши действия с действиями последнего, не разглашая ваших личных данных без вашего на то согласия.
- Неподтвержденные уязвимости. Если подтвердить наличие проблемы невозможно или ее источником не является продукт AWS, мы сообщим вам об этом.
- Классификация уязвимостей. Для оценки потенциальных уязвимостей в AWS используется версия 3.1 общей системы оценки уязвимостей (CVSS). На основании полученной оценки мы определяем уровень серьезности и приоритет проблемы. За дополнительной информацией о применении CVSS обратитесь на сайт NVD.