Estándar de Bitget de Procesamiento de Inteligencia de Amenazas Externas
Estimados usuarios de Bitget:
Lea detenidamente el estándar de procesamiento de inteligencia de amenazas externas de Bitget.
Ámbito de aplicación
Este proceso se aplica a toda la inteligencia recibida por el Centro de Respuesta de Seguridad de Bitget ([email protected]).
Fecha de implementación
Este documento se ha implementado a partir de la fecha de publicación.
Principio básico
- Bitget concede gran importancia a la seguridad de sus productos y servicios. Prometemos que todos los comentarios de cada reportero serán seguidos, analizados y procesados, y respondidos con prontitud.
- Bitget admite la divulgación y el procesamiento responsable de vulnerabilidades. Prometemos que daremos gracias y comentarios a cada usuario que guarda el espíritu del sombrero blanco, protege los intereses de los usuarios y ayuda a Bitget a mejorar la seguridad y la calidad.
- Bitget se opone y denuncia todos los comportamientos de piratería que utilizan las pruebas de vulnerabilidad como excusa para explotar las vulnerabilidades de seguridad para dañar o dañar a los usuarios, incluidas, entre otras, la explotación de vulnerabilidades para robar la privacidad del usuario y la propiedad virtual, invadir los sistemas comerciales, robar datos de los usuarios y explotar maliciosamente las vulnerabilidades, etc.
- Bitget se opone y condena todo uso de lagunas de seguridad para intimidar a los usuarios y atacar a los competidores.
- Bitget cree que el manejo de cada vulnerabilidad de seguridad y el progreso de toda la industria de la seguridad son inseparables de la cooperación de todas las partes. Se espera que las empresas, las empresas de seguridad, las organizaciones de seguridad y los investigadores de seguridad se unan al proceso de "divulgación responsable de vulnerabilidades" para trabajar juntos en la construcción de una Internet segura y saludable.
Retroalimentación y protección de la inteligenciade amenazas
[Etapa de presentación de informes]
Los reporteros de inteligencia de amenazas retroalimentan la inteligencia de amenazas a través del buzón de recepción de inteligencia de amenazas de Bitget ([email protected]).
[Etapa de procesamiento]
- Dentro de un día hábil, el personal del Centro de Respuesta a Emergencias de Seguridad Bitget (BGSRC) confirmará el informe de inteligencia de amenazas recibido y hará un seguimiento para comenzar la evaluación del problema (estado: revisión).
- En un plazo de tres días hábiles, el personal de BGSRC maneja el problema, da una conclusión y puntúa (estado: confirmado/ignorad). Cuando sea necesario, el personal de BGSRC se comunicará con el reportero para confirmar y pedirle que lo ayude.
[Etapa de reparación]
- La unidad de negocio corrige los problemas de seguridad en la inteligencia de amenazas y programa la actualización para que se publique (estado: solucionado). El tiempo de reparación depende de la gravedad del problema y la dificultad de la reparación. En términos generales, problemas graves y de alto riesgo dentro de las 24 horas, riesgo medio dentro de los tres días hábiles, bajo riesgo dentro de los siete días hábiles. Los problemas de seguridad del cliente están limitados por el lanzamiento de la versión y el tiempo de reparación se determina en función de las condiciones reales.
- El reportero de inteligencia de amenazas revisa si el problema de seguridad está solucionado (estado: objeción revisada/revisada).
[Etapa de finalización]
- BGSRC emitirá el anuncio de procesamiento de inteligencia de amenazas del mes pasado en la primera semana de cada mes. Los reporteros de inteligencia de amenazas en el mes anterior agradecerán y anunciarán la situación de manejo; la información sobre amenazas críticas o de gran impacto emitirá un anuncio de seguridad de emergencia por separado.
- Los reporteros de inteligencia de amenazas pueden usar puntos para canjear monedas de seguridad para reemplazar el efectivo o el token de la plataforma. Después de que se complete el reemplazo, BGSRC recompensará a los reporteros de inteligencia de amenazas; y ocasionalmentehabrá recompensas y actividades de reunión.
Estándar de puntuación de inteligencia de amenazas
La inteligencia de amenazas de Bitget contiene principalmente: vulnerabilidades e inteligencia de seguridad del negocio de Bitget. A continuación, describiremos sus criterios de puntuación por separado.
Estándar de puntuación de vulnerabilidades de Negocio
Según el grado de vulnerabilidad, se divide en cinco niveles: severo, alto, medio, bajo y no. La calificación de cada nivel es la siguiente:
[Grave]
El rango de puntuación es de 9-10, y el rango de monedas de seguridad es de 1080 ~ 1200.
Este nivel incluye:
- Acceso directo a la vulnerabilidad (permisos de servidor, permisos de cliente de producto importantes). Incluye, entre otros, la ejecución remota de comandos arbitrarios, la carga de webshell, el desbordamiento de búfer remoto explotable, el desbordamiento de la pila ActiveX disponible, las vulnerabilidades disponibles de "uso después de la liberación", las vulnerabilidades explotables con código de kernel remoto y otras vulnerabilidades de ejecución remota de código explotables causadas por problemas lógicos.
- Una vulnerabilidad que conduce directamente a una divulgación de información seria. Incluye, entre otros, vulnerabilidades de inyección SQL para DBs importantes.
- Una vulnerabilidad lógica que causa directamente un impacto grave. Incluye, pero no se limita a falsificar ID arbitrario para enviar capacidades de vulnerade mensajes, forjar cualquier bomba de ID a cualquier TIPS a cualquier vulnerabilidad de usuario, cualquier vulnerabilidad de cambio de contraseña de cuenta.
[Alto]
Rango de puntuación 6-8, rango de monedas de seguridad 360 ~ 480 (coeficiente de moneda de seguridad de intercambio: Web/servidor 60; PC c/terminal móvil 60)
Este nivel incluye:
- Una vulnerabilidad que puede robar directamente la información de identidad del usuario. Incluyendo: vulnerabilidades XSS de almacenamiento en páginas clave de servicios importantes (como Bitget master), vulnerabilidades de inyección SQL en sitios comunes.
- Acceso sobrepaso. Incluye, pero no se limita a, inicios de sesión en segundo plano de administración confidenciales.
- Vulnerabilidades de divulgación de información de alto riesgo. Incluye, pero no se limita a, fugas de datos confidenciales que son directamente utilizables.
- Ejecución local de código arbitrario. Incluye, pero no selimita a, desbordamiento de pila disponible localmente, UAF, doble libre, cadena de formato, privilegio local, secuestro de DLL asociado a archivos (excluyendo la carga de archivos DLL inexistentes y la carga de legitimidad normal de D LL sin verificar), y otra vulnerabilidad de ejecución de código nativo causado por un problema lógico.
- Vulnerabilidades para obtener directamente permisos de cliente. Incluye, entre otros, la ejecución remota de comandos arbitrarios, desbordamientos de búfer remotos, desbordamientos de pila ActiveX disponibles, uso del navegador después de vulnerabilidades libres, vulnerabilidades de ejecución remota de código del kernel y otras vulnerabilidades de ejecución remota de código causadas por problemas lógicos.
- Vulnerabilidades XSS para productos cliente críticos que reciben información confidencial o realizan operaciones confidenciales.
[Medio]
Rango de puntuación 3-5, rango de monedas de seguridad 45 ~ 75 (coeficiente de moneda de seguridad de intercambio: Web/servidor 15; PC c/terminal móvil 15)
Este nivel incluye:
- Una vulnerabilidad que requiere interacción para obtener información de identidad del usuario. Incluyendo pero no limitado a XSS reflectivo (incluyendo DOM-X SS reflectante), JSONHijacking, CSRF para operaciones sensibles importantes, almacenamiento XSS para servicios generales
- Vulnerabilidad de denegación de servicio de aplicación remota, divulgación de información confidencial, vulnerabilidad de denegación de servicio del kernel, vulnerabilidad XSS para productos cliente que pueden obtener información confidencial o realizar operaciones confidenciales
- Vulnerabilidad de divulgación de información general. Incluye, pero no se limita a, contraseñas de almacenamiento de texto sin formato del cliente, fuga de paquetes de compresión de código fuente que contienen información confidencial
[Baja]
Rango de puntuación 1-2, rango de monedas de seguridad 9 ~ 18 (coeficiente de moneda de seguridad de intercambio: Web/servidor 9; PC c/terminal móvil 9)
Este nivel incluye:
- Las vulnerabilidades en la información de identidad del usuario solo se pueden obtener en ciertos entornos de navegador no populares (como IE6). Incluye, entre otros, XSS reflectante (incluido DOM-XSS reflectante), XSS de almacenamiento para servicios generales, etc.
- Vulnerabilidad de divulgación de información menor. Incluye, pero no se limited a, fugas de ruta, fugas de archivos SVN, phpinfo, filtraciones de información confidencial de logcat.
- Vulnerabilidad de denegación de servicio local del cliente de PC y del cliente móvil. Incluye, entre otros, vulnerabilidades locales de denegación de servicio causadas por permisos de componentes.
- Acceso no autorizado. Incluye, pero no se limita a, omitir la defensa proactiva del cliente, las vulnerabilidades de salto de URL de Bitget y los saltos de URL de terceros que omiten el mecanismo de detección de URL maliciosa de Bitget (Nota: Saltar a un sitio web normal no es una vulnerabilidad).
- Problemas que son difíciles de explotar pero que pueden presentar un peligro potencial para la seguridad. Incluye, entre otros, Self-XS S, que puede causar propagación y explotación, operaciones sensibles no críticas, CSRF y vulnerabilidades de ejecución remota de código que requieren ataques man-in-the-middle y proporcionan un OC de P efectivo.
[No]
Rango de puntuación 0 (coeficiente de moneda de seguridad de intercambio: Web/servidor 0; PC c/terminal móvil 0)
Este nivel incluye:
- Errores de seguridad no relacionados. Incluyendo, pero no limitado a la página web confusa, las páginas web no se pueden abrir y no se puede usar una función.
- "Vulnerabilidades" que no pueden ser explotadas. Esto incluye, pero no se limita a, informes de vulnerabilidad del escáner que no son significativos (como versiones inferiores de WebServer), Self-XSS, secuestro JSON sin información confidencial, CSRF sin operaciones de sensibilidad (como favoritos, adición de carritos de compras, suscripciones para servicios no críticos, modificación de datos personales ordinarios comerciales no críticos, etc.), es decir, fuga de código fuentes, dirección IP de intranet/fuga de nombre de dominio, phishing de autenticación básica 401, problema de confianza de ruta de programa, fuga de información de logcat sin información confidencial.
- No hay conjetura de evidencia.
- Vulnerabilidades comerciales no de Bitget.
Los criterios de clasificación son los siguientes:
Estándar de puntuación de inteligencia de seguridad
La inteligencia de seguridad se refiere a la información relacionada con los productos y las vulnerabilidades comerciales de Bitget, incluidas, entre otras, las señales de vulnerabilidad, las señales de ataque, la información relacionada con el ataque, los métodos de ataque y las tecnologías de ataque. De acuerdo con el peligro y la información proporcionada, los estándares de puntuación detallados son los siguientes:
Principio general de los estándares de puntuación
- Los criterios de puntuación son solo para la inteligencia de amenazas que afectan a los productos y servicios de Bitget. El nombre de dominio incluye, pero no se limita a *.bitget.com, el servidor incluye el servidor operado por Bitget, y el producto es el producto cliente lanzado por Bitget. La inteligencia de amenazas que no tiene ningún impacto en la seguridad de Bitget, no cuenta.
- Los productos de clientes importantes son los productos clientes de Bitget.
- Para los productos y servicios que no son lanzados directamente por Bitget o la inteligencia de amenazas de aplicaciones de terceros de la plataforma abierta Bitget, no se puntúan.
- Para las vulnerabilidades del cliente (incluidos PC y móviles) causadas por bibliotecas de terceros (como libpng, zlib, libjpeg, etc.), y las vulnerabilidades que se pueden corregir actualizando o reemplazando bibliotecas de terceros, solo se puntúan los primeros informes de vulnerabilidad. Al mismo tiempo, desde el momento de retroalimentación de la primera vulnerabilidad obtenida por BGSRC hasta la fecha en que se lanzó la primera versión corregida del tercero, el mismo tipo de vulnerabilidad se califica como una vulnerabilidad; el nivel de peligro se evalúa por la vulnerabilidad más dañina.
- Para las vulnerabilidades de propósito general causadas por sistemas de terminales móviles, como webkit uxss, ejecución de código, etc., solo se califica el primer informador de vulnerabilidades y el mismo informe de vulnerabilidad para los productos ya no se califica por separado.
- Debido a que la auditoría de vulnerabilidades del cliente es compleja e involucra a otros departamentos de desarrollo, el tiempo de auditoría puede ser más largo que la vulnerabilidad WEB. A veces, los detalles de las vulnerabilidades proporcionadas por el reportero no son lo suficientemente detallados, lo que puede hacer que BGSRC no dé conclusiones dentro del tiempo original. Por favor, entienda esto. Por lo tanto, proporcione un poc/exploit cuando se proporcione la vulnerabilidad de retroalimentación y proporcione un análisis de vulnerabilidad correspondiente para acelerar el procesamiento del administrador. Los envíos de vulnerabilidades que no se proporcionan o no se analizan en detalle por poc o exploit pueden afectar directamente la calificación.
- Si se envían varias vulnerabilidades al mismo cliente dentro del mismo período de tiempo, identifique claramente el código clave que causó la vulnerabilidad y active la vulnerabilidad para confirmar rápidamente si son la misma vulnerabilidad y acelerar la confirmación de la vulnerabilidad.
- Los problemas de seguridad derivados de vulnerabilidades genéricas de terceros se basan en los criterios generales de adjudicación de vulnerabilidades.
- Cuando un reportero de inteligencia de amenazas revisa un problema de seguridad, si encuentra que el problema de seguridad persiste o no se soluciona, continuará puntuando como una nueva amenaza.
- La misma información de amenaza, el primer reportero puntúa, los otros reporteros no puntúan; la información de amenaza enviada no se puntúa.
- Rechace los resultados del escáner sin prueba de daño real.
- Utilizar las pruebas de seguridad como excusa para utilizar la información de inteligencia para perjudicar los intereses de los usuarios, afectar el funcionamiento normal del negocio, exponer al público antes de la reparación, robar datos de los usuarios, etc., no se contabilizará, y Bitget se reconoce el derecho a emprender nuevas acciones legales.
Principio de Recompensa
[Recompensas regulares]
- Los premios se intercambian utilizando una moneda de seguridad (una criptomoneda de BGSRC). El número de monedas de seguridad se multiplica por la puntuación de la inteligencia de amenazas por el factor de nivel de peligro correspondiente. El factor de clasificación de peligro se remite a la sección "Criterios de puntuación de inteligencia de amenazas". El coeficiente se ajustará de acuerdo con la situación real, y se anunciará cada ajuste. Las monedas de seguridad generadas por múltiples inteligencias de amenazas se pueden acumular, a menos que se indique lo contrario, las monedas de seguridad no utilizadas no caducarán.
- El derecho a interpretar el Estándar de Procesamiento de Recompensas por Vulnerabilidad es propiedad del Departamento de Seguridad de Bitget.
Resolución de disputas
En el proceso de procesamiento de inteligencia de amenazas, si el informante tiene objeciones al flujo de procesamiento, la evaluación de inteligencia de amenazas, la puntuación de inteligencia de amenazas, etc., comuníquese a tiempo a través del buzón de inteligencia de amenazas actual. El Centro de Respuesta de Emergencia de Seguridad de Bitget manejará la prioridad de los reporteros de inteligencia de amenazas y, si es necesario, presentará partes externas para decidir conjuntamente.
PREGUNTAS MÁS FRECUENTES
P: ¿Cuánto cuesta la moneda de seguridad 1 de BGSRC?
R: De acuerdo con el critero de premio de la industria, la moneda de seguridad BGSRC 1 actual es equivalente a aproximadamente RMB 5.
P: ¿Se hará pública la información de amenazas después de que Bitget reciba comentarios de inteligencia de amenazas?
R: Con el fin de proteger los intereses de los usuarios, la información sobre amenazas no se incluirá hasta que se solucione el problema de seguridad de la retroalimentación de inteligencia de amenazas. Una vez solucionado el problema de seguridad, el reportero de inteligencia de amenazas puede hacerlo público. BGSRC recomienda que los reporteros de inteligencia de amenazas clasifiquen y resuman las tecnologías relacionadas con la inteligencia de amenazas y las hagan públicas en forma de artículos técnicos.
P: ¿Cuál es la relación entre BGSRC y otros grupos de seguridad?
R: La seguridad de Bitget es inseparable del soporte y la ayuda de la industria. BGSRC está dispuesto a cooperarcon varios grupos de seguridad para promover el desarrollo saludable de la industria de la seguridad. Actualmente, BGSRC ha cooperado con algunos grupos de seguridad y tendrá más cooperación en el futuro.
P: ¿Bitget primero "ignorará" la vulnerabilidad y luego la solucionará?
R: Absolutamente no. Una vez que las "vulnerabilidades" enviadas entran en el estado "ignorar", el seguimiento con los colegas dejará la razón. Una ocurrencia común es que esta "vulnerabilidad" no se considera una vulnerabilidad y se evalúa como un error. BGSRC solo conoce a los colegas de producto relevantes, si cambiar este "error" lo determinan los colegas del producto. Otra situación es el cambio en el propio negocio, haciendo que las "vulnerabilidades" dejen de existir. Pero pase lo que pase, Bitget no "arreglará furtivamente".
【Contáctenos】
Atención al cliente: [email protected]
Cooperación de mercado: [email protected]
Cooperación de Creadores de Mercado Cuantitativo: [email protected]
【Canales Oficiales】
Grupo oficial de Telegram en inglés
【Plataformas en las Bitget se ha listado】