Firma NVIDIA poważnie podchodzi do kwestii bezpieczeństwa i stara się szybko oszacowywać i rozwiązywać związane z nim problemy. Gdy zgłaszane jest potencjalne naruszenie bezpieczeństwa, firma NVIDIA angażuje odpowiednie zasoby, aby dany problem przeanalizować, zweryfikować i podjąć odpowiednie działania mające na celu jego rozwiązanie.
NVIDIA PSIRT – zarządzanie informacjami o lukach w zabezpieczeniach Zgłaszanie potencjalnych luk w zabezpieczeniach Skoordynowane ujawnianie podatności / luk w zabezpieczeniach (Coordinated Vulnerability Disclosure) Podziękowania NVIDIA Subskrypcja Biuletynów i aktualizacji dotyczących bezpieczeństwa Zapytania od mediów i agencji PR dotyczące informacji o lukach w zabezpieczeniach NVIDIA NVIDIA PSIRT – proces zarządzania informacjami o lukach w zabezpieczeniach Ocena zagrożenia bezpieczeństwa w oparciu o system CVSS (Common Vulnerability Scoring System) Polityka komunikacji dotyczącej luk w zabezpieczeniach Biuletyny bezpieczeństwa Powiadomienia związane z bezpieczeństwem Środki zaradcze dotyczące luk w zabezpieczeniach Uczestnictwo NVIDIA PSIRT Prawa klienta: gwarancje, wsparcie, utrzymanie Zastrzeżenie
Celem zespołu ds. reagowania na incydenty naruszeń bezpieczeństwa produktu NVIDIA (PSIRT – Product Security Incident Response Team) jest minimalizowanie ryzyka klientów związanego z lukami w zabezpieczeniach poprzez dostarczanie aktualnych informacji i wskazówek oraz stosowanie środków zaradczych dotyczących luk w zabezpieczeniach naszych produktów. NVIDIA PSIRT to globalny zespół zajmujący się przyjmowaniem zgłoszeń dotyczących bezpieczeństwa produktów, prowadzeniem dochodzeń, wewnętrzną koordynacją, stosowaniem środków zaradczych dotyczących luk w zabezpieczeniach i ujawnianiem informacji na temat luk w zabezpieczeniach powiązanych z produktami NVIDIA.
Jednym z kluczowych zadań zespołu NVIDIA PSIRT jest koordynowanie działań i ujawnianie wszystkich zidentyfikowanych zewnętrznie luk w zabezpieczeniach produktów NVIDIA.
NVIDIA przyjmuje raporty od niezależnych badaczy, organizacji branżowych, dostawców, klientów i innych źródeł, związanych z bezpieczeństwem produktów.
Aby dowiedzieć się więcej na temat zgłaszania potencjalnych luk w zabezpieczeniach, odwiedź stronę poświęconą zgłaszaniu luk w zabezpieczeniach.
NVIDIA stara się wypełniać założenia strategii skoordynowanego ujawniania podatności / luk w zabezpieczeniach (Coordinated Vulnerability Disclosure – CVD). CVD to proces, w ramach którego niezależne osoby, które odkryły lukę w zabezpieczeniach naszego produktu, kontaktują się bezpośrednio z NVIDIA, stwarzając nam możliwość zbadania i usunięcia luki, zanim zgłaszający ujawnią te informacje publicznie.
Zespół NVIDIA PSIRT będzie współpracować w trakcie badania luki w zabezpieczeniach ze zgłaszającymi lukę oraz – w stosownych przypadkach – dostarczać bieżących informacji na temat postępów w sprawie. Za zgodą zgłaszających, zespół NVIDIA PSIRT może umieścić informacje o nich na naszej stronie z podziękowaniami za wykrycie aktualnej luki w zabezpieczeniach produktu i zgłoszenie tego problemu bezpośrednio naszej firmie. Po opublikowaniu przez NVIDIA informacji o usunięciu luki w zabezpieczeniach lub wydaniu aktualizacji jej dotyczącej, zachęcamy zgłaszających do publicznego jej omówienia.
Postępowanie zgodnie ze strategią CVD pozwala NVIDIA chronić swoich klientów, jednocześnie koordynując publiczne ujawnianie informacji dotyczących bezpieczeństwa oraz odpowiednio uhonorować zgłaszających daną lukę.
Jeśli zgłaszana luka w zabezpieczeniach dotyczy produktu dostawcy, zespół NVIDIA PSIRT powiadomi o tym dostawcę bezpośrednio, skontaktuje go ze zgłaszającymi lub zaangażuje zewnętrzny ośrodek koordynacyjny.
Choć obecnie NVIDIA nie prowadzi programu nagród za zgłoszone błędy, to publikujemy podziękowania w przypadku zgłoszonego z zewnątrz problemu związanego z bezpieczeństwem i rozwiązanego w ramach naszej polityki skoordynowanego ujawniania podatności / luk w zabezpieczeniach.
Lista opublikowanych Biuletynów bezpieczeństwa znajduje się na stronie Biuletynów bezpieczeństwa NVIDIA.
Zdecydowanie zalecamy klientom subskrybowanie powiadomień o Biuletynach bezpieczeństwa NVIDIA w celu otrzymywania informacji o wstępnych wydaniach oraz istotnych poprawkach do Biuletynów bezpieczeństwa NVIDIA.
Subskrypcję powiadomień możesz zamówić tutaj.
Aby uzyskać informacje na temat Biuletynów bezpieczeństwa NVIDIA, zapoznaj się z sekcją Biuletyny bezpieczeństwa niniejszego dokumentu.
Prosimy skorzystać z wymienionych tutaj kontaktów w ramach komunikacji korporacyjnej.
Poniższa grafika ilustruje proces postępowania zespołu NVIDIA PSIRT na wysokim szczeblu.
Ilustracja 1. Proces postępowania zespołu NVIDIA PSIRT (Product Security Incident Response Team)
Do oceny istotności zidentyfikowanych luk w zabezpieczeniach NVIDIA wykorzystuje obecnie system Common Vulnerability Scoring System w wersji 3.1 (CVSS v3.1). System CVSS umożliwia zastosowanie metody wspólnej punktacji i wspólnego języka w celu określenia charakterystyki oraz skutków luk w zabezpieczeniach. System CVSS ma za zadanie ocenę zagrożeń wynikających z danej luki w zabezpieczeniach. Model CVSS wykorzystuje trzy różne miary lub punktacje, na które składają się wyliczenia bazowe, czasowe i środowiskowe, a każde z nich składa się z zestawu wskaźników. Pełny opis standardu, który jest utrzymywany przez organizację Forum of Incident Response and Security Teams (FIRST), można znaleźć pod adresem: https://www.first.org/cvss.
NVIDIA stosuje się do wytycznych zawartych w dokumencie „CVSS v3.1 Specification Document Qualitative Severity Rating Scale” (https://www.first.org/cvss/specification-document) w celu określenia współczynnika istotności luk, klasyfikując je zgodnie z poniższą tabelą:
W określonych przypadkach NVIDIA zastrzega sobie prawo do odstąpienia od niniejszych wytycznych, jeśli wynik CVSS nie oddaje prawidłowo dodatkowych czynników.
W stosownych przypadkach Biuletyny bezpieczeństwa NVIDIA będą zawierać wynik bazowy, uzyskany w oparciu o system CVSS v3.1. NVIDIA koncentruje się tylko na grupie wskaźników bazowych, ponieważ ma ona największą wartość dla naszych klientów i reprezentuje swoiste cechy podatności / luki w zabezpieczeniach. Ocena ryzyka przez NVIDIA opiera się na uśrednionych wynikach, uzyskanych za pomocą zróżnicowanego zestawu systemów i nie musi odzwierciedlać rzeczywistego ryzyka dotyczącego Twojej lokalnej instalacji.
NVIDIA zaleca skonsultowanie się ze specjalistą IT lub specjalistą ds. bezpieczeństwa, aby ocenić ryzyko dotyczące Twojej konkretnej konfiguracji i zachęca do wyliczenia wyniku środowiskowego w oparciu o parametry Twojej sieci. NVIDIA zaleca, aby w celu oceny ogólnego ryzyka wszyscy klienci brali pod uwagę wynik bazowy oraz wynik czasowy i/lub środowiskowy, które mogą mieć znaczenie w ich otoczeniu. Taki ogólny wynik uwzględnia parametr czasowy i jest dopasowany do Twojego konkretnego środowiska. W celu określenia reakcji adekwatnej we własnym środowisku prosimy o uwzględnienie oceny problemu przez specjalistę ds. bezpieczeństwa lub ds. IT i tego wyniku końcowego.
W celu określenia odpowiedniej strategii komunikacji, NVIDIA stosuje się do następujących wytycznych dotyczących luk w zabezpieczeniach oprogramowania nienależącego do stron trzecich:
Jeśli wystąpi problem związany z bezpieczeństwem komponentu oprogramowania strony trzeciej, który jest wykorzystany w produkcie NVIDIA, wówczas NVIDIA może opublikować Biuletyn bezpieczeństwa. W przypadku publikacji Biuletynu bezpieczeństwa w związku z luką w zabezpieczeniach komponentu oprogramowania strony trzeciej, NVIDIA wykorzystuje zazwyczaj wynik CVSS uzyskany przez twórcę komponentu. W niektórych przypadkach NVIDIA może skorygować wynik CVSS tak, aby odzwierciedlał wpływ na produkt NVIDIA.
W większości przypadków NVIDIA będzie informować klientów, gdy określony zostanie praktyczny sposób obejścia luki w zabezpieczeniach lub zostanie wydana aktualizacja zabezpieczeń. Powiadomienie odbywa się w ramach ukierunkowanej komunikacji lub poprzez publikację Biuletynu bezpieczeństwa. Przed publikacją Biuletynu bezpieczeństwa zespół NVIDIA PSIRT zakończy proces postępowania w sprawie wykrytej luki i ustali, że istnieją odpowiednie aktualizacje oprogramowania lub metody obejścia, pozwalające usunąć lukę w zabezpieczeniach, bądź też planowane jest publiczne ujawnienie środków zaradczych w celu wyeliminowania luki w zabezpieczeniach.
Biuletyny bezpieczeństwa mają za zadanie dostarczanie wyważonych informacji, które zapewnią klientom wystarczająco szczegółowe dane, aby mogli się zabezpieczyć, pomijając jednak te informacje, które mogłyby zostać wykorzystane przez szkodliwych użytkowników. W stosownych przypadkach Biuletyny bezpieczeństwa NVIDIA zawierają zwykle następujące informacje:
NVIDIA nie będzie dostarczać żadnych dodatkowych informacji o specyfice luk w zabezpieczeniach, poza informacjami podanymi w Biuletynie bezpieczeństwa oraz powiązanej dokumentacji, obejmującej informacje o wersji, artykuły z bazy wiedzy, często zadawane pytania itp. NVIDIA nie rozpowszechnia kodu programu wykorzystującego lukę ani kodu dowodu słuszności koncepcji dla zidentyfikowanych luk w zabezpieczeniach.
Zgodnie z obowiązującymi w branży praktykami, NVIDIA nie udostępnia podmiotom zewnętrznym wyników wewnętrznych testów zabezpieczeń ani innych rodzajów działań związanych z bezpieczeństwem. Prosimy zwrócić uwagę, że każdy przypadek skanowania zabezpieczeń systemów produkcyjnych NVIDIA zostanie uznany za próbę ich naruszenia. W przypadku partnerów OEM, prosimy o uzgodnienie potrzeb ze swoim menedżerem programu NVIDIA.
Biuletyny bezpieczeństwa NVIDIA publikowane są na stronie Biuletynów bezpieczeństwa. Subskrypcję powiadomień możesz zamówić tutaj.
Powiadomienia związane z bezpieczeństwem
NVIDIA może wydać specjalny komunikat, aby szybko i odpowiednio zareagować na publiczne ujawnienie luki w zabezpieczeniach, gdy może ona wzbudzić duże zainteresowanie opinii publicznej lub jeśli prawdopodobne jest istnienie programów wykorzystujących daną lukę, lub zachodzi podejrzenie, że zostanie ona aktywnie wykorzystana. W takich przypadkach NVIDIA może przyspieszyć publikację odpowiednich informacji oraz może, choć nie musi, dołączyć do nich kompletny zestaw poprawek lub metod obejścia danej luki. Informacje takie będą publikowane jako Powiadomienia związane z bezpieczeństwem na stronie Biuletynów bezpieczeństwa.
NVIDIA poważnie podchodzi do kwestii bezpieczeństwa i pracuje nad odpowiednim oszacowywaniem i rozwiązywaniem związanych z nimi problemów. Ramy czasowe reakcji zależą od wielu czynników, w tym istotności zgłaszanej luki, zagrożonego produktu, aktualnego cyklu produkcyjnego, cyklów kontroli jakości oraz tego, czy dany problem może zostać rozwiązany wyłącznie w formie dużej aktualizacji.
Środki zaradcze mogą uwzględniać jedną lub kilka z poniższych form:
Niezależnie od powyższego, NVIDIA nie gwarantuje konkretnego rozwiązania problemów i nie wszystkie zidentyfikowane problemy mogą być rozwiązane.
Dumny uczestnik
NVIDIA jest organem nadającym identyfikatory CVE.
Prawa klientów NVIDIA w zakresie gwarancji, wsparcia technicznego i utrzymania, w tym luk w zabezpieczeniach, związane z dowolnym oprogramowaniem NVIDIA, regulowane są odpowiednią umową między NVIDIA i poszczególnymi klientami.
Oświadczenia na tej stronie nie modyfikują ani nie rozszerzają żadnych praw klienta, ani nie tworzą żadnych dodatkowych gwarancji. Wszelkie informacje przekazywane NVIDIA, dotyczące luk w zabezpieczeniach produktów NVIDIA, w tym wszystkie informacje zawarte w zgłoszeniu dotyczącym luki w zabezpieczeniach produktu, pozostają informacjami dostępnymi wyłącznie dla NVIDIA.
Wszystkie aspekty dotyczące procesu postępowania i polityki zespołu PSIRT NVIDIA mogą ulec zmianie bez powiadomienia i indywidualnie dla każdego przypadku. Nie gwarantujemy reakcji na żaden konkretny problem ani rodzaj problemów. Wykorzystanie informacji zawartych w dokumencie lub materiałach powiązanych z dokumentem odbywa się na własne ryzyko. NVIDIA zastrzega sobie prawo do zmiany lub aktualizacji tego dokumentu bez powiadomienia i w dowolnym momencie.
WSZYSTKIE INFORMACJE NVIDIA, SPECYFIKACJE PROJEKTU, REFERENCYJNE PŁYTKI DRUKOWANE, PLIKI, RYSUNKI, DIAGNOSTYKA, LISTY I INNE DOKUMENTY (RAZEM I OSOBNO „MATERIAŁY”) DOSTARCZANE SĄ NA ZASADZIE „W STANIE ZASTANYM”. NVIDIA NIE UDZIELA ŻADNYCH GWARANCJI, WYRAŹNYCH, DOMNIEMANYCH, WYNIKAJĄCYCH Z PRZEPISÓW ANI INNYCH, W ODNIESIENIU DO MATERIAŁÓW I W MAKSYMALNYM ZAKRESIE DOZWOLONYM PRZEZ PRAWO WYŁĄCZA WSZELKIE WYRAŹNE LUB DOMNIEMANE WARUNKI, OŚWIADCZENIA I GWARANCJE, W TYM WSZELKIE GWARANCJE DOROZUMIANE CO DO NARUSZEŃ PRAW AUTORSKICH, MOŻLIWOŚCI SPRZEDAŻY, SATYSFAKCJONUJĄCEJ JAKOŚCI, PRZYDATNOŚCI DO OKREŚLONEGO CELU I NIENARUSZALNOŚCI.
Uznaje się, że informacje podane w niniejszym dokumencie są dokładne i rzetelne w momencie ich dostarczenia. Jednakże NVIDIA Corporation nie ponosi odpowiedzialności za konsekwencje wykorzystania tych informacji bądź jakiekolwiek naruszenia patentów lub innych praw stron trzecich, które mogą wyniknąć z wykorzystania podanych tu informacji. NVIDIA Corporation nie przyznaje żadnych dorozumianych lub innych praw licencyjnych w zakresie praw patentowych. Specyfikacje wymienione w niniejszej publikacji mogą ulec zmianie bez powiadomienia. Niniejsza publikacja zastępuje wszelkie poprzednio udostępnione informacje. Niedozwolone jest stosowanie produktów NVIDIA Corporation jako krytycznych podzespołów w urządzeniach lub systemach podtrzymujących życie bez pisemnej zgody NVIDIA Corporation.