Automation Anywhere에서는 보안을 최우선 사항으로 여기며, 고객이 부여하는 신뢰와 확신을 유지하는 데 집중하고 있습니다. Automation Anywhere 고객은 사전 승인을 받은 후 외부에서 등록된 자체 Automation Anywhere 테넌트에 대해 외부 보안 스캔, 평가 또는 침투 테스트를 수행할 수 있습니다. 테스트 일정은 사전에 승인되어야 하며, Automation Anywhere와 합의된 날짜와 시간에 진행되어야 합니다.

이 페이지에서는 고객에 의해 합의된 일회성(승인당 하나의 테스트 슬롯이 허용됨), 취약성 테스트 및 침투 테스트 활동에 대한 범위, 승인 요청 절차, 보고 절차에 대한 지침을 정의합니다. 이러한 테스트 중에 Automation Anywhere의 시스템, 애플리케이션 또는 네트워크 인프라에서 취약점을 발견한 경우, 이를 책임감 있는 방식으로 알려 주시면 감사하겠습니다.

범위

이 테스트의 범위는 기존 고객으로서 귀사에 할당된 Automation 360 프로덕션 클라우드 테넌트 URL에서 발견된 보안 취약점과 문제로만 제한됩니다. 이러한 URL 또는 도메인의 예는 다음 형식과 유사합니다. https://sample_organization.automationanywhere.digital.

승인 프로세스 요청

대부분의 고객은 매년 다양한 공급업체에 의해 수행되는 Automation Anywhere의 지속적인 타사 침투 테스트를 사용합니다. 이러한 테스트의 보고서는 필요한 수정 계획과 함께 NDA에 따라 제공됩니다.

자체 침투 테스트를 수행하도록 요청해야 하는 경우, Automation Anywhere는 최소 2주 전에 통지할 것을 요청합니다. Automation Anywhere 지원 팀에 문의: 이 요청 제출 및 알림을 위해 지원 케이스(A-People 로그인 필요)를 엽니다. 요청 알림에서 다음 정보를 제공합니다.
  • 테스트할 특정 URL
  • 지역(제한적인 경우)
  • 테스트 기간, 테스트가 진행될 시작 및 종료 날짜
  • 테스트를 수행하는 기기의 IP 주소
  • 방법론: 블랙 박스, 화이트 박스, 또는 그레이 박스
  • 자동화된 스캔: 예 또는 아니요
  • DOS 유형 공격: 예 또는 아니요
  • 무차별 대입 공격 또는 사전 공격: 예 또는 아니요
  • 기타 관련 정보

지침

테스트를 수행할 때 다음 지침에 주의하십시오.

  • 잠재적인 보안 문제를 가능한 한 빨리 보고하십시오. Automation Anywhere는 문제에 신속하게 대응하고 해결하기 위해 최선을 다할 것입니다.
  • 취약점을 재현할 수 있도록 충분한 세부 정보를 제공하고 개념 증명을 포함합니다.
  • Automation Anywhere가 공식적인 응답을 제공하기 전까지는 문제를 대중이나 제3자에게 공개하지 마십시오.
  • 개인정보 침해, 데이터 파괴, 서비스 중단 또는 저하를 피하기 위해 충분한 노력을 기울이십시오. 직접 소유하거나 계정 소유자의 명시적인 허가를 받은 애플리케이션 및 테넌트와만 상호 작용하십시오.
  • 애플리케이션, Automation Anywhere의 고객, 또는 그들의 취약점에 대한 식별 정보나 세부 정보를 제공할 수 있는 언어 또는 이미지가 있다면 삭제하십시오.
  • 서비스 거부(DoS)와 같은 방해 테스트나 Automation Anywhere 정보 및 시스템의 기밀성, 무결성 또는 가용성에 영향을 미칠 수 있는 모든 행동을 취하지 마십시오.
  • 고객이나 직원에 대한 소셜 엔지니어링이나 피싱에 관여하지 마십시오.
  • 발견된 취약점에 대한 시간과 자료에 대해 보상을 요청하지 마십시오.

금지된 활동

다음 활동을 수행하지 마십시오.

  • 승인된 테스트 범위를 벗어난 도메인 또는 하위 도메인
  • 서비스 거부(DoS) 공격을 실행하거나 시도하는 것
  • 사용자의 컴퓨터나 기기에 물리적 접근이 필요한 취약점
  • Automation Anywhere 파트너 사이트, 타사 애플리케이션, 웹사이트 또는 Automation Anywhere 시스템과 통합되거나 연결된 서비스의 취약성을 테스트
  • Automation Anywhere 사무실이나 데이터 센터에 대한 물리적 공격
  • 자신에게 속하지 않은 계정에 있는 데이터에 접근, 다운로드 또는 수정
  • 모든 악성 소프트웨어의 게시, 전송, 업로드, 링크 연결, 발송 또는 저장
  • 원치 않거나 승인되지 않은 정크 이메일, 스팸, 피라미드 사기 또는 기타 형태의 원치 않는 메시지를 보내는 결과를 초래하는 방식으로 테스트를 수행
  • Automation Anywhere 시스템의 운영을 저하시킬 수 있는 방식으로 테스트를 수행

보고

테스트 기간이 종료된 후, Automation Anywhere 지원을 통해 보안 취약점 발견 사항을 제출하십시오. 지원 케이스 열기(A-People 로그인 필요). 취약성을 보고할 때 공격 시나리오, 구체적이고 상세한 테스트 케이스, 악용 가능성(있는 경우) 및 취약성의 보안 영향에 대한 정보를 제공해 주십시오. Automation Anywhere는 다음을 약속합니다.

  • 문제를 이해하고 검증하기 위해 협력합니다.
  • 위험을 해결합니다(Automation Anywhere에서 적절하다고 판단한 경우).