การรายงานช่องโหว่ด้านความปลอดภัย
Amazon Web Services เห็นความสำคัญของการรักษาความปลอดภัยอย่างจริงจัง และสืบสวนช่องโหว่ที่มีการรายงานทั้งหมด หน้านี้จะอธิบายถึงวิธีปฏิบัติของเราในการจัดการช่องโหว่ที่อาจเกิดขึ้นในแง่มุมต่างๆ ของบริการระบบคลาวด์
การรายงานช่องโหว่ที่น่าสงสัย
- Amazon Web Services (AWS): หากคุณต้องการรายงานช่องโหว่หรือมีข้อกังวลด้านความปลอดภัยเกี่ยวกับ AWS Cloud Services หรือโปรเจกต์โอเพนซอร์ส โปรดส่งข้อมูลโดยติดต่อ aws-security@amazon.com หากคุณต้องการปกป้องเนื้อหาที่คุณส่งมา คุณสามารถใช้คีย์ PGP ของเราได้
- Amazon.com (การค้าปลีก): หากคุณมีข้อกังวลด้านความปลอดภัยของ Amazon.com (การค้าปลีก), Seller Central, Amazon Payments หรือปัญหาอื่นๆ ที่เกี่ยวข้อง เช่น คำสั่งซื้อที่น่าสงสัย การชำระเงินด้วยบัตรเครดิตที่ไม่ถูกต้อง อีเมลที่น่าสงสัย หรือการรายงานช่องโหว่ โปรดไปที่เว็บเพจการรักษาความปลอดภัยสำหรับการค้าปลีกของเรา
- นโยบายการสนับสนุนลูกค้าของ AWS สำหรับการทดสอบการเจาะข้อมูล: ลูกค้า AWS สามารถดำเนินการประเมินความปลอดภัยหรือการประเมินความเสี่ยงด้วยการทดสอบเจาะระบบโครงสร้างพื้นฐานของ AWS ของตนได้โดยไม่ต้องขออนุมัติล่วงหน้าสำหรับบริการที่ระบุ การขอใช้สิทธิ์สำหรับเหตุการณ์จำลองอื่นๆ ควรส่งคำขอผ่านแบบฟอร์มเหตุการณ์จำลอง สำหรับลูกค้าที่ปฏิบัติงานใน AWS Region จีน (หนิงเซี่ยและปักกิ่ง) โปรดใช้แบบฟอร์มเหตุการณ์จำลองนี้
- AWS Abuse: หากคุณสงสัยว่ามีการใช้งานทรัพยากร AWS (เช่น อินสแตนซ์ EC2 หรือบัคเก็ต S3) เพื่อกิจกรรมที่น่าสงสัย คุณสามารถรายงานให้ทีม AWS Abuse ทราบได้โดยใช้แบบฟอร์มรายงานการใช้งาน Amazon AWS ที่ไม่เหมาะสม หรือติดต่อ abuse@amazonaws.com
- AWS Compliance Information: สามารถเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ผ่าน AWS Artifact หากคุณมีข้อสงสัยเพิ่มเติมเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS โปรดติดต่อทีมงานผ่านแบบฟอร์มรับข้อมูล
เพื่อให้เราตอบสนองต่อรายงานของคุณได้อย่างมีประสิทธิภาพมากขึ้น โปรดแจ้งข้อมูลสนับสนุนทั้งหมด (โค้ดการพิสูจน์แนวคิด เอาต์พุตเครื่องมือ ฯลฯ) ที่จะเป็นประโยชน์และช่วยให้เราเข้าใจลักษณะและความรุนแรงของช่องโหว่ได้
ข้อมูลที่คุณแชร์กับ AWS ซึ่งเป็นส่วนหนึ่งของกระบวนการนี้จะถูกเก็บเป็นความลับภายใน AWS AWS จะแชร์ข้อมูลนี้กับบริษัทภายนอกก็ต่อเมื่อพบว่าช่องโหว่ที่คุณรายงานส่งผลกระทบต่อผลิตภัณฑ์ของบริษัทภายนอกเท่านั้น ซึ่งในกรณีดังกล่าว เราจะแชร์ข้อมูลนี้กับผู้สร้างหรือผู้ผลิตของผลิตภัณฑ์ของบริษัทภายนอก มิฉะนั้นแล้ว AWS จะแชร์ข้อมูลนี้ตามที่คุณอนุญาตเท่านั้น
AWS จะตรวจสอบรายงานที่ส่งมาและกำหนดหมายเลขติดตามให้กับรายงาน จากนั้นเราจะตอบคุณโดยแจ้งว่าได้รับรายงานแล้ว และแสดงข้อมูลขั้นตอนถัดไปในกระบวนการ
ขอบเขต
กิจกรรมต่อไปนี้อยู่นอกขอบเขตของโปรแกรมการรายงานช่องโหว่ของ AWS การดำเนินกิจกรรมใดๆ ด้านล่างนี้จะส่งผลให้ถูกตัดสิทธิ์จากโปรแกรมเป็นการถาวร
- การมุ่งเป้าไปที่สินทรัพย์ของลูกค้า AWS หรือเว็บไซต์ที่ไม่ใช่ของ AWS ซึ่งโฮสต์อยู่บนโครงสร้างพื้นฐานของเรา
- ช่องโหว่ที่มาจากการเข้าถึงบัญชีของลูกค้าหรือพนักงาน AWS โดยไม่ได้รับอนุญาต
- การโจมตีโดยปฏิเสธการให้บริการ (DoS) ต่อผลิตภัณฑ์ของ AWS หรือลูกค้า AWS
- การโจมตีทางกายภาพต่อพนักงาน สำนักงาน และศูนย์ข้อมูลของ AWS
- การโจมตีแบบวิศวกรรมสังคมต่อพนักงาน ผู้รับจ้าง ผู้จำหน่าย หรือผู้ให้บริการของ AWS
- การโพสต์ การถ่ายทอด การอัปโหลด การลิงก์ไปยัง หรือการส่งมัลแวร์โดยรู้เท่าทัน
- การดำเนินการตามช่องโหว่ซึ่งส่งข้อความที่ไม่ได้ร้องขอเป็นจำนวนมาก (สแปม)
SLA สำหรับการประเมินโดย AWS
AWS มุ่งมั่นที่จะตอบสนองและแจ้งให้คุณทราบถึงความก้าวหน้าของเราอยู่เสมอ คุณจะได้รับการอัปเดตอย่างทันท่วงที ซึ่งเป็นการตอบกลับแบบไม่อัตโนมัติที่จะตรวจสอบการรับรายงานเบื้องต้นของคุณภายใน 24 ชั่วโมง และการเช็คอินทุกเดือนตลอดระยะเวลาการมีส่วนร่วม คุณสามารถขอข้อมูลอัปเดตได้ตลอดเวลา และเรายินดีรับการสนทนาที่ชี้แจงข้อกังวลหรือการประสานงานการเปิดเผยข้อมูล
การแจ้งต่อสาธารณะ
AWS จะประสานงานการแจ้งต่อสาธารณะเกี่ยวกับช่องโหว่ที่ยืนยันแล้วกับคุณ หากสามารถทำได้ เราต้องการให้มีการโพสต์เปิดเผยต่อสาธารณะดังกล่าวพร้อมกันหากเป็นไปได้
เพื่อปกป้องลูกค้าของเรา AWS ขอให้คุณไม่โพสต์หรือแชร์ข้อมูลใดๆ เกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นในพื้นที่สาธารณะใดๆ จนกว่าเราจะค้นหา ตอบสนอง และจัดการช่องโหว่ที่ได้รับรายงานและแจ้งให้ลูกค้าทราบแล้วตามความจำเป็น นอกจากนี้ เรายังต้องขอด้วยความเคารพไม่ให้คุณโพสต์หรือแชร์ข้อมูลใดๆ ของลูกค้า การจัดการกับช่องโหว่ที่ได้รับรายงานและมีการยืนยันแล้วเป็นสิ่งที่ต้องใช้เวลา และไทม์ไลน์จะขึ้นอยู่กับความรุนแรงของช่องโหว่และระบบที่ได้รับผลกระทบ
AWS จะแจ้งต่อสาธารณะในรูปแบบของกระดานข่าวด้านความปลอดภัย ซึ่งโพสต์ไว้ในเว็บไซต์ AWS Security โดยปกติ บุคคล บริษัท และทีมงานด้านความปลอดภัยจะโพสต์คำแนะนำของตนบนเว็บไซต์ของตนเองและในฟอรัมอื่นๆ เราจะระบุลิงก์ไปยังทรัพยากรของบุคคลภายนอกในกระดานข่าวด้านความปลอดภัยของ AWS เมื่อมีข้อมูลที่เกี่ยวข้อง
ข้อยกเว้นความรับผิด
AWS เชื่อว่าการวินิจฉัยด้านความปลอดภัยที่ดำเนินการด้วยความสุจริตควรได้รับข้อยกเว้นความรับผิด เพื่อวัตถุประสงค์ของ Safe Harbor สำหรับการวิจัยด้านความปลอดภัยและการรายงานช่องโหว่ AWS Security จึงได้นำข้อกำหนดหลักของ disclose.io มาปรับใช้ โดยเฉพาะ “ข้อยกเว้นความรับผิด” และ “ความคาดหวังของเรา” เราตั้งตารอที่จะได้ร่วมงานกับนักวิจัยด้านความปลอดภัยที่มีความหลงใหลในการปกป้องลูกค้า AWS เช่นเดียวกับเรา
ดังนั้นเราจึงถือว่าการวิจัยด้านความปลอดภัยที่ดำเนินการภายใต้นโยบายนี้:
- ได้รับอนุญาตเกี่ยวกับกฎหมายต่อต้านการแฮ็ก และเราจะไม่เริ่มต้นหรือสนับสนุนการดำเนินการทางกฎหมายกับคุณสำหรับการละเมิดนโยบายนี้โดยไม่ได้ตั้งใจและโดยสุจริต
- ได้รับอนุญาตเกี่ยวกับกฎหมายต่อต้านการหลบเลี่ยงมาตรการต่าง ๆ และเราจะไม่เรียกร้องสิทธิ์กับคุณสำหรับการหลบเลี่ยงการควบคุมเทคโนโลยี
- ได้รับการยกเว้นจากข้อจำกัดในข้อกำหนดในการให้บริการและ/หรือนโยบายการใช้งานที่ยอมรับได้ของเรา ซึ่งอาจรบกวนการดำเนินการวิจัยด้านความปลอดภัย และเราสละข้อจำกัดเหล่านั้นบนพื้นฐานที่จำกัด และ
- ถูกต้องตามกฎหมาย เป็นประโยชน์ต่อความปลอดภัยโดยรวมของอินเทอร์เน็ต และดำเนินการโดยสุจริต
ซึ่งคุณจำเป็นต้องปฏิบัติตามกฎหมายที่เกี่ยวข้องทั้งหมด เราจะดำเนินการเพื่อให้แน่ใจว่าการกระทำของคุณเป็นไปตามนโยบายนี้ในกรณีที่บุคคลที่สามดำเนินคดีทางกฎหมายกับคุณและคุณได้ปฏิบัติตามนโยบายดังกล่าวแล้ว
หากเมื่อใดก็ตามที่คุณมีข้อกังวลหรือไม่แน่ใจว่าการวิจัยด้านความปลอดภัยของคุณนั้นสอดคล้องกับนโยบายนี้หรือไม่ โปรดส่งรายงานผ่านช่องทางใดช่องทางหนึ่งที่กล่าวถึงก่อนหน้านี้ของเราภายใต้ “การรายงานช่องโหว่ที่น่าสงสัย” ก่อนที่จะดำเนินการใด ๆ เพิ่มเติม
โปรดทราบว่าข้อยกเว้นความรับผิดจะมีผลกับการเรียกร้องทางกฎหมายภายใต้การควบคุมขององค์กรที่เข้าร่วมในนโยบายนี้เท่านั้น และนโยบายนี้ไม่ได้ผูกมัดบุคคลที่สามที่เป็นอิสระ
เพื่อเข้าร่วมอย่างสุจริตในโครงการเปิดเผยช่องโหว่ของเรา เราขอให้คุณ:
- ปฏิบัติตามกฎ รวมถึงการปฏิบัติตามนโยบายนี้และข้อตกลงอื่น ๆ ที่เกี่ยวข้อง หากมีความไม่สอดคล้องกันระหว่างนโยบายนี้กับข้อกำหนดอื่นที่เกี่ยวข้อง ให้ยึดข้อกำหนดของนโยบายนี้เป็นหลัก
- รายงานช่องโหว่ที่คุณพบทันที
- หลีกเลี่ยงการละเมิดความเป็นส่วนตัวของผู้อื่น ขัดขวางระบบของเรา ทำลายข้อมูล และ/หรือทำให้ประสบการณ์ของผู้ใช้เสียหาย
- ใช้เฉพาะช่องทางที่กล่าวถึงก่อนหน้านี้เพื่อหารือเกี่ยวกับข้อมูลช่องโหว่กับเรา
- ให้เวลาแก่เราตามสมควรจากการรายงานเบื้องต้นเพื่อแก้ไขปัญหาก่อนที่คุณจะเปิดเผยต่อสาธารณะ
- ทดสอบบนระบบที่อยู่ในขอบเขตเท่านั้น และเคารพระบบและกิจกรรมที่อยู่นอกขอบเขต
- หากช่องโหว่ทำให้เกิดการเข้าถึงข้อมูลโดยไม่ได้ตั้งใจ: ให้จำกัดปริมาณข้อมูลที่คุณเข้าถึงให้เหลือน้อยที่สุดที่จำเป็นสำหรับการสาธิตการพิสูจน์แนวคิดอย่างมีประสิทธิภาพ และหยุดการทดสอบและส่งรายงานเข้ามาทันทีหากคุณพบข้อมูลผู้ใช้ในระหว่างการทดสอบ เช่น ข้อมูลที่ระบุตัวตนของบุคคลได้ (PII) ข้อมูลการดูแลสุขภาพส่วนบุคคล (PHI) ข้อมูลบัตรเครดิต หรือข้อมูลที่เป็นกรรมสิทธิ์
- ติดต่อกับบัญชีทดสอบที่คุณเป็นเจ้าของหรือได้รับอนุญาตอย่างชัดแจ้งจากเจ้าของบัญชีเท่านั้น และ
- อย่ามีส่วนร่วมในการบีบบังคับ
นโยบายการเปิดเผยข้อมูล
เมื่อส่งรายงานแล้ว AWS จะดำเนินการตรวจสอบช่องโหว่ที่ได้รับรายงาน หากจำเป็นต้องใช้ข้อมูลเพิ่มเติมเพื่อตรวจสอบหรือจำลองปัญหา AWS จะร่วมมือกับคุณเพื่อหาข้อมูลดังกล่าว เมื่อการตรวจสอบขั้นต้นเสร็จสมบูรณ์ จะมีการส่งผลลัพธ์ให้คุณพร้อมแผนการแก้ไขปัญหาและการปรึกษาหารือเกี่ยวกับการเปิดเผยต่อสาธารณะ
สิ่งที่ควรทราบเกี่ยวกับกระบวนการของ AWS มีดังนี้
- ผลิตภัณฑ์ของบริษัทภายนอก: ผู้จำหน่ายมากมายมีผลิตภัณฑ์อยู่ใน AWS Cloud หากมีการพบช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ของบริษัทภายนอก AWS จะแจ้งให้เจ้าของเทคโนโลยีที่ได้รับผลกระทบทราบ AWS จะยังคงประสานงานระหว่างคุณกับบริษัทภายนอกต่อไป จะไม่มีการเปิดเผยตัวตนของคุณให้บริษัทภายนอกทราบโดยไม่ได้รับอนุญาตจากคุณ
- การยืนยันการไม่มีช่องโหว่: หากไม่สามารถยืนยันปัญหา หรือพบว่าปัญหาไม่ได้เกิดขึ้นในผลิตภัณฑ์ของ AWS เราจะแจ้งผลลัพธ์นี้ให้คุณทราบ
- การจัดหมวดหมู่ของช่องโหว่: AWS ใช้ Common Vulnerability Scoring System (CVSS) เวอร์ชัน 3.1 เพื่อประเมินช่องโหว่ที่อาจเกิดขึ้น คะแนนผลลัพธ์จะแสดงความรุนแรงของปัญหาและจัดลำดับความสำคัญในการตอบสนองของเรา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ CVSS โปรดอ้างอิง เว็บไซต์ NVD
