Proceso de revisión de PSIRT

Para garantizar que nuestros productos mantengan los más altos estándares de seguridad e integridad, tenemos un proceso formal de investigación que es manejado por el Equipo de Investigación de Seguridad del Producto.

La siguiente figura ilustra el proceso OneSpan PSIRT a alto nivel.

 

 

 

 

 

 

 

Descubrimiento

Como primer paso, OneSpan PSIRT se da cuenta de una posible vulnerabilidad en uno o más productos OneSpan. Esto puede suceder de varias maneras:

Un tercero (cliente, socio, investigador, etc.) informa una sospecha de vulnerabilidad directamente a OneSpan.

  1. OneSpan se da cuenta de una publicación pública (en Bugtraq, VulnDev, etc.) sobre una presunta vulnerabilidad.
  2. El propio departamento de OneSpan descubre una vulnerabilidad en un producto OneSpan.
  3. Posteriormente, OneSpan PSIRT registra la vulnerabilidad sospechada con detalles de respaldo e informa al periodista que está investigando el caso.

Si un tercero informa la sospecha de vulnerabilidad, OneSpan PSIRT solicita al reportero que mantenga una estricta confidencialidad hasta que las resoluciones completas estén disponibles y hayan sido publicadas por OneSpan PSIRT, de acuerdo con las prácticas de divulgación responsables. OneSpan PSIRT mantendrá informado al reportero sobre todos los pasos a lo largo del proceso.

Análisis interno

PSIRT informa la sospecha de vulnerabilidad a los equipos de productos relevantes para su verificación. El equipo del producto intenta reproducir el problema para verificar si es efectivamente una vulnerabilidad.

A lo largo del análisis, OneSpan PSIRT se esfuerza por trabajar en colaboración con el reportero para confirmar la naturaleza de la vulnerabilidad, recopilar la información técnica requerida y garantizar la acción correctiva adecuada.

OneSpan PSIRT gestiona toda la información confidencial de forma altamente confidencial. La distribución dentro de OneSpan se limita a aquellas personas que necesitan saber y pueden ayudar en la resolución.

Si se confirma la sospecha de vulnerabilidad, OneSpan PSIRT y el equipo del producto trabajan juntos para definir el nivel de gravedad de la vulnerabilidad utilizando Sistema de puntuación de vulnerabilidad común (CVSS) , versión 2.0.

Mitigación

El equipo del producto determina para qué versiones del producto se debe desarrollar un arreglo y proporciona una estimación de la fecha de lanzamiento de los arreglos. El equipo del producto también desarrolla las soluciones.

Notificación

PSIRT determina si se emitirá una publicación de seguridad y, de ser así, el tipo de publicación de seguridad que se utilizará para revelar la vulnerabilidad.

PSIRT redacta una publicación de seguridad, en cooperación con el equipo del producto. Con el acuerdo del reportero, OneSpan PSIRT puede reconocer la contribución del reportero durante la divulgación pública de la vulnerabilidad. Si es necesario, OneSpan PSIRT trabaja con MITRE Corporation para generar identificadores CVE para la vulnerabilidad.

OneSpan PSIRT publica la publicación de seguridad a través de diferentes canales:

  • En el sitio web de PSIRT
  • Vía Avisos de seguridad y respuesta RSS Feed

OneSpan PSIRT también puede lanzar la publicación de seguridad en foros de seguridad, bases de datos de vulnerabilidades o listas de correo electrónico. Sin embargo, solo el sitio web oficial de OneSpan PSIRT se mantiene actualizado. 
Finalmente, OneSpan también informa a los clientes que usan un producto afectado por correo electrónico.