Сообщение об уязвимостях

Устранение потенциальных уязвимостей в любой части структуры облачных сервисов

Amazon Web Services уделяет огромное внимание вопросам безопасности и исследует все уязвимости, о которых сообщают клиенты. На этой странице описан порядок сообщения о потенциальных уязвимостях в любой части структуры облачных сервисов AWS.

Сообщение о потенциальных уязвимостях

  • Amazon Web Services (AWS). Сообщите об уязвимости или проблеме безопасности облачных сервисов AWS или проектов с открытым исходным кодом, обратившись по электронному адресу aws-security@amazon.com. Для защиты содержания сообщений можно использовать наш ключ PGP.
  • Политика поддержки клиентов AWS при проведении проверок уязвимостей: клиенты AWS могут без предварительного согласования проводить оценки безопасности и проверки уязвимостей используемой ими инфраструктуры в перечисленных сервисах. Заявку на авторизацию для использования других вариантов тестирования необходимо отправлять с использованием формы тестирования. Для клиентов, работающих в регионе AWS Китай (Нинся и Пекин): пользуйтесь этой формой видов тестирования.
  • Несанкционированное использование AWS. Если у вас есть подозрение, что ресурсы AWS (например, инстанс EC2 или корзина S3) используются для запрещенных действий, сообщить об этом в конфликтную комиссию AWS можно с помощью формы Сообщить о несанкционированном использовании AWS или обратившись по адресу abuse@amazonaws.com.
  • Информация о соответствии AWS нормативным требованиям: доступ к отчетам AWS о соответствии нормативным требованиям можно получить с помощью AWS Artifact. Если у вас есть другие вопросы, связанные с соответствием AWS нормативным требованиям, обратитесь в соответствующее подразделение с использованием формы.
  • Магазин розничной торговли Amazon.com. Если у вас возникли опасения, связанные с безопасностью таких ресурсов, как интернет-магазин розничной торговли Amazon.com, Seller Central, Amazon Payments, или аналогичные проблемы, например подозрительные заказы, необоснованное списание средств с кредитной карты, подозрительные сообщения электронной почты, а также если вы хотите сообщить об уязвимостях, перейдите нашу на страницу Безопасность розничной торговли.

Чтобы мы могли эффективно отреагировать на ваше сообщение, просим при этом предоставлять подтверждающие материалы (код, выходные данные программного средства и т. п.), которые помогут нам определить происхождение и серьезность уязвимости.

Информация, сообщаемая вами AWS в рамках данного процесса, является конфиденциальной. AWS будет передавать эту информацию третьим лицам только в том случае, если уязвимость, о которой вы сообщаете, влияет на продукт стороннего производителя. В этом случае мы передадим эту информацию стороннему автору или производителю. В других случаях AWS будет передавать эту информацию только в соответствии с вашими разрешениями.

AWS ознакомится с вашим отчетом и присвоит ему идентификационный номер. Мы ответим на ваше сообщение, подтвердив получение отчета и наметив последующие действия по решению проблемы.

SLA для оценки AWS

AWS будет поддерживать связь с вами и информировать о продвижении процесса исследования и разрешения обнаруженной вами проблемы безопасности. В течение 24 рабочих часов со времени сообщения об уязвимости вы получите индивидуальный ответ с подтверждением получения вашего отчета. AWS будет направлять вам обновленную информацию о продвижении процесса не реже, чем раз в пять рабочих дней в США.

Публичное оповещение

В тех случаях, когда это применимо, AWS будет согласовывать с вами свои действия по публичному оповещению о подтвержденных уязвимостях. По возможности, информация об одной и той же уязвимости должна публиковаться обеими сторонами одновременно.

Чтобы защитить наших клиентов, компания AWS просит не публиковать и не распространять никакой информации о потенциальных уязвимостях на публично доступных ресурсах до проведения ею исследования уязвимости, принятия мер и при необходимости оповещения клиентов. Просим также не публиковать и не распространять никаких данных, касающихся наших клиентов. Для устранения подтвержденной уязвимости потребуется время, которое будет зависеть от серьезности уязвимости и затронутых систем.

Публичные оповещения AWS в форме бюллетеней по безопасности публикуются на веб-сайте безопасности AWS. Частные лица, компании и отделы безопасности обычно публикуют свои предупреждения об опасности на собственных веб-сайтах или на форумах, и мы включаем ссылки на такого рода сторонние ресурсы в бюллетени по безопасности AWS, когда это уместно.  

Safe Harbor

AWS считает, что исследование безопасности следует проводить в зоне безопасности. Мы приняли Основные положения Disclose.io на описанных ниже условиях и хотим работать с исследователями безопасности, которые разделяют с нами стремление защищать клиентов AWS.

Охват

Указанные действия выходят за рамки программы отчетности об уязвимостях AWS. Проведение любых указанных ниже действий приведет к дисквалификации от участия в программе без возможности восстановления.

  1. Таргетинг на ресурсы клиентов AWS или сайты, не принадлежащие AWS, на нашей инфраструктуре
  2. Любая уязвимость, приобретенная из-за нарушения безопасности аккаунта клиента или сотрудника AWS
  3. Любая DoS-атака против продуктов или клиентов AWS
  4. Физическая атака против сотрудников, офисов и центров обработки данных AWS
  5. Социальный инжиниринг сотрудников, подрядчиков, поставщиков или поставщиков сервисов AWS
  6. Сознательная публикация, передача, выгрузка или отправка вредоносных программ и ссылок на них
  7. Использование уязвимостей, которые осуществляют несанкционированную пакетную отправку сообщений (спам)

Политика разглашения

Получив отчет, AWS займется оценкой уязвимости. Если для оценки или воспроизведения проблемы потребуется дополнительная информация, AWS обратится к вам. После выполнения предварительного исследования мы сообщим вам его результаты, предоставим план разрешения проблемы и обсуждения обнародования информации о ней.

Отметим следующие моменты процесса AWS.

  1. Продукты сторонних поставщиков. Многие поставщики предлагают свои продукты для использования в облаке AWS. Если окажется, что уязвимость влияет на работу продукта стороннего поставщика, AWS сообщит об этом автору данной технологии. AWS продолжит координировать ваши действия с действиями последнего, не разглашая ваших личных данных без вашего на то согласия.
  2. Неподтвержденные уязвимости. Если подтвердить наличие проблемы невозможно или ее источником не является продукт AWS, мы сообщим вам об этом.
  3. Классификация уязвимостей. Для оценки потенциальных уязвимостей в AWS используется версия 3.1 общей системы оценки уязвимостей (CVSS). На основании полученного балла мы определяем уровень серьезности проблемы и ее приоритетность. За дополнительной информацией о CVSS обратитесь на сайт NVD.
Связаться с представителем AWS
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере обеспечения безопасности?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости по безопасности AWS?
Следите за новостями в Twitter »