Bei Automation Anywhere hat Sicherheit für uns oberste Priorität, und wir legen großen Wert darauf, das Vertrauen und die Zuversicht zu bewahren, die unsere Kunden in uns setzen. Als Kunde von Automation Anywhere sind Sie herzlich eingeladen, externe Sicherheitsüberprüfungen, Bewertungen oder Penetrationstests gegen Ihren eigenen registrierten Automation Anywhere-Mandanten extern mit vorheriger Genehmigung durchzuführen. Die geplanten Tests müssen im Voraus genehmigt und zu einem Datum und einer Uhrzeit durchgeführt werden, die mit Automation Anywhere vereinbart wurden.

Diese Seite beschreibt den Umfang, das Genehmigungsverfahren und die Richtlinien für das Meldeverfahren für solche vereinbarten, einmaligen (nur ein Testzeitfenster pro Genehmigung ist erlaubt) Schwachstellen- und Penetrationstests durch unsere Kunden. Wenn Sie während eines solchen Tests eine Schwachstelle in unseren Systemen, Anwendungen oder der Netzwerkinfrastruktur entdecken, ist Automation Anywhere dankbar, wenn Sie uns verantwortungsbewusst darüber informieren.

Umfang

Der Umfang dieses Tests beschränkt sich ausschließlich auf Sicherheitslücken und Schwachstellen, die auf der Ihnen als einem unserer bestehenden Kunden zugewiesenen Automation 360 Production Cloud-URL entdeckt wurden. Das Beispiel für eine solche URL oder Domain wird in folgendem Format sein: https://sample_organization.automationanywhere.digital.

Antrag auf Genehmigungsverfahren

Die meisten Kunden verlassen sich auf die laufenden Penetrationstests von Drittanbietern, die jährlich von verschiedenen Anbietern für Automation Anywhere durchgeführt werden. Berichte über diese Tests werden unter NDA zusammen mit allen erforderlichen Behebungsplänen zur Verfügung gestellt.

Wenn Sie Ihre eigenen Penetrationstests durchführen möchten, bittet Automation Anywhere um eine Benachrichtigung mindestens zwei Wochen im Voraus. Automation Anywhere-Support kontaktieren: Öffnen Sie einen Supportfall (A-People-Anmeldung erforderlich) für diese Antragsübermittlung und Benachrichtigung. In der Anforderungsbenachrichtigung geben Sie die folgenden Informationen an:
  • Spezifische URLs, die getestet werden sollen
  • Region (falls einschränkend)
  • Zeitraum der Tests, Start- und Enddaten, wann die Tests stattfinden werden
  • IP-Adressen der Geräte, die die Tests durchführen
  • Methodik: Black Box, White Box oder Grey Box
  • Automatisierte Scans: Ja oder Nein
  • DOS-Angriffe: Ja oder Nein
  • Brute-Force- oder Wörterbuchangriffe: Ja oder Nein
  • Andere relevante Informationen

Richtlinien

Achten Sie auf die folgenden Richtlinien während der Durchführung der Tests:

  • Melden Sie potenzielle Sicherheitsprobleme so schnell wie möglich. Automation Anywhere wird alle Anstrengungen unternehmen, um schnell zu reagieren und das Problem zu lösen.
  • Stellen Sie ausreichende Details zur Verfügung, um die Schwachstelle zu reproduzieren, einschließlich eines Proof of Concept.
  • Geben Sie ein Problem nicht an die Öffentlichkeit oder an Dritte weiter, bis Automation Anywhere eine offizielle Antwort gegeben hat.
  • Bemühen Sie sich nach bestem Wissen und Gewissen, Datenschutzverletzungen, Datenzerstörung sowie Unterbrechungen oder Beeinträchtigungen unseres Dienstes zu vermeiden. Interagieren Sie nur mit Anwendungen und Mandanten, die Sie besitzen oder für die Sie die ausdrückliche Erlaubnis des Kontoinhabers haben.
  • Schwärzen Sie alle Sprachelemente oder Bilder, die die Anwendung, unsere Kunden oder deren Schwachstellen, falls vorhanden, identifizieren oder Details darüber liefern könnten.
  • Beteiligen Sie sich nicht an störenden Tests (wie Denial of Service, DoS) oder an Maßnahmen, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Automation Anywhere-Informationen und -Systemen beeinträchtigen könnten.
  • Beteiligen Sie sich nicht an Social Engineering oder Phishing von Kunden oder Mitarbeitern.
  • Versuchen Sie nicht, den Zeit- und Materialaufwand für die gefundenen Schwachstellen vergütet zu bekommen.

Verbotene Aktivitäten

Führen Sie die folgenden Aktivitäten nicht durch:

  • Domains oder Subdomains außerhalb des genehmigten Testumfangs
  • Ausführen oder der Versuch, einen Denial-of-Service (DoS)-Angriff auszuführen
  • Schwachstellen, die physischen Zugriff auf den Computer oder das Gerät eines Nutzers erfordern
  • Testen auf Schwachstellen in Automation Anywhere-Partnerseiten, Drittanbieteranwendungen, Websites oder Diensten, die in Automation Anywhere-Systeme integriert sind oder mit diesen verlinkt sind
  • Physische Angriffe auf Automation Anywhere-Büros oder Rechenzentren
  • Zugriff auf, Herunterladen oder Ändern von Daten, die sich in einem Konto befinden, das nicht Ihnen gehört.
  • Veröffentlichen, Übertragen, Hochladen, Verlinken, Senden oder Speichern von Schadsoftware
  • Das Testen in einer Weise, die zum Versenden von unerwünschten oder unautorisierten Junk-E-Mails, Spam, Pyramidensystemen oder anderen Formen von unerwünschten Nachrichten führen würde.
  • Das Testen in einer Weise, die den Betrieb von Automation Anywhere-Systemen beeinträchtigen würde

Reporting

Nach Ablauf der Testphase reichen Sie die Ergebnisse der Sicherheitslücken über den Automation Anywhere-Support ein: Supportfall öffnen (Anmeldung bei A-People erforderlich) Beim Melden von Schwachstellen geben Sie die Angriffsszenarien, spezifische detaillierte Testfälle, die Ausnutzbarkeit (falls vorhanden) und die Sicherheitsauswirkungen der Schwachstelle an. Automation Anywhere verpflichtet zu Folgendem:

  • Mit Ihnen zusammenarbeiten, um das Problem zu verstehen und zu validieren.
  • Das Risiko ansprechen (falls von Automation Anywhere als angemessen erachtet)