PSIRT-Überprüfungsprozess

Um sicherzustellen, dass unsere Produkte den höchsten Sicherheitsstandards und der höchsten Integrität entsprechen, führen wir einen formellen Untersuchungsprozess durch, der vom Product Security Investigation Team durchgeführt wird.

Die folgende Abbildung zeigt den OneSpan PSIRT-Prozess auf hoher Ebene.

 

 

 

 

 

 

 

Entdeckung

In einem ersten Schritt wird das OneSpan PSIRT auf eine vermutete Sicherheitsanfälligkeit in einem oder mehreren OneSpan-Produkten aufmerksam. Dies kann auf verschiedene Arten geschehen:

Ein Dritter (Kunde, Partner, Forscher usw.) meldet eine vermutete Sicherheitsanfälligkeit direkt an OneSpan.

  1. OneSpan wird auf eine öffentliche Veröffentlichung (auf Bugtraq, VulnDev usw.) über eine vermutete Sicherheitsanfälligkeit aufmerksam.
  2. Die Abteilung OneSpan selbst entdeckt eine Sicherheitsanfälligkeit in einem OneSpan-Produkt.
  3. Anschließend protokolliert das OneSpan PSIRT die vermutete Sicherheitsanfälligkeit mit unterstützenden Details und informiert den Reporter, dass er den Fall untersucht.

Wenn die vermutete Sicherheitsanfälligkeit privat von einem Dritten gemeldet wird, fordert das OneSpan PSIRT den Reporter auf, die strikte Vertraulichkeit zu wahren, bis vollständige Lösungen verfügbar sind und vom OneSpan PSIRT gemäß den verantwortungsvollen Offenlegungspraktiken veröffentlicht wurden. Das OneSpan PSIRT hält den Reporter über alle Schritte während des gesamten Prozesses auf dem Laufenden.

Interne Analyse

PSIRT meldet die vermutete Sicherheitsanfälligkeit zur Überprüfung an die entsprechenden Produktteams. Das Produktteam versucht, das Problem zu reproduzieren, um zu überprüfen, ob es sich tatsächlich um eine Sicherheitsanfälligkeit handelt.

Während der Analyse bemüht sich das OneSpan PSIRT, mit dem Reporter zusammenzuarbeiten, um die Art der Sicherheitsanfälligkeit zu bestätigen, die erforderlichen technischen Informationen zu sammeln und geeignete Abhilfemaßnahmen sicherzustellen.

Das OneSpan PSIRT verwaltet alle vertraulichen Informationen streng vertraulich. Die Verteilung innerhalb von OneSpan ist auf diejenigen Personen beschränkt, die wissen müssen und bei der Lösung helfen können.

Wenn die vermutete Sicherheitsanfälligkeit bestätigt wird, definieren OneSpan PSIRT und das Produktteam gemeinsam den Schweregrad der Sicherheitsanfälligkeit mithilfe von Common Vulnerability Scoring System (CVSS) , Version 2.0.

Minderung

Das Produktteam legt fest, für welche Produktversionen ein Fix entwickelt werden soll, und gibt eine Schätzung für das Veröffentlichungsdatum der Fixes. Das Produktteam entwickelt auch die Korrekturen.

Benachrichtigung

PSIRT bestimmt, ob eine Sicherheitspublikation herausgegeben wird, und wenn ja, welche Art von Sicherheitspublikation zur Offenlegung der Sicherheitsanfälligkeit verwendet wird.

PSIRT erstellt in Zusammenarbeit mit dem Produktteam eine Sicherheitspublikation. Mit Zustimmung des Berichterstatters kann das OneSpan PSIRT den Beitrag des Berichterstatters während der öffentlichen Offenlegung der Sicherheitsanfälligkeit anerkennen. Bei Bedarf generiert das OneSpan PSIRT in Zusammenarbeit mit der MITRE Corporation CVE-Kennungen für die Sicherheitsanfälligkeit.

Das OneSpan PSIRT veröffentlicht die Sicherheitspublikation über verschiedene Kanäle:

  • Auf der PSIRT-Website
  • Über Sicherheitshinweise und Antwort-RSS-Feed

Das OneSpan PSIRT kann die Sicherheitsveröffentlichung auch in Sicherheitsforen, Schwachstellendatenbanken oder E-Mail-Listen veröffentlichen. Es wird jedoch nur die offizielle OneSpan PSIRT-Website auf dem neuesten Stand gehalten. 
Schließlich informiert OneSpan Kunden, die ein betroffenes Produkt verwenden, auch per E-Mail.