Proces przeglądu PSIRT

Aby upewnić się, że nasze produkty zachowują najwyższe standardy bezpieczeństwa i integralności, mamy formalny proces dochodzenia, który jest prowadzony przez zespół dochodzenia w sprawie bezpieczeństwa produktów.

Poniższy rysunek ilustruje proces PSIRT OneSpan na wysokim poziomie.

 

 

 

 

 

 

 

Odkrycie

W pierwszej kolejności PSIRT OneSpan dowiaduje się o podejrzeniu podatności na co najmniej jeden produkt OneSpan. Może się to zdarzyć na kilka sposobów:

Strona trzecia (klient, partner, badacz itp.) Zgłasza podejrzaną lukę bezpośrednio w OneSpan.

  1. OneSpan dowiaduje się o publicznym opublikowaniu (na Bugtraq, VulnDev itp.) O podejrzanej podatności.
  2. Sam dział OneSpan odkrywa lukę w zabezpieczeniach produktu OneSpan.
  3. Następnie PSIRT OneSpan rejestruje podejrzaną lukę, podając szczegółowe informacje i informuje reportera, że bada sprawę.

Jeśli podejrzana luka zostanie zgłoszona prywatnie przez stronę trzecią, PSIRT OneSpan prosi reportera o zachowanie ścisłej poufności, dopóki nie zostaną udostępnione pełne rozwiązania i nie zostaną opublikowane przez PSIRT OneSpan, zgodnie z praktykami odpowiedzialnego ujawniania. OneSpan PSIRT będzie informować reportera o wszystkich krokach w całym procesie.

Analiza wewnętrzna

PSIRT zgłasza podejrzenie podatności odpowiednim zespołom produktów w celu weryfikacji. Zespół produktu próbuje odtworzyć problem, aby sprawdzić, czy jest to luka w zabezpieczeniach.

W trakcie całej analizy PSIRT OneSpan dąży do współpracy z reporterem w celu potwierdzenia charakteru luki, zebrania wymaganych informacji technicznych i zapewnienia odpowiednich działań naprawczych.

OneSpan PSIRT zarządza wszystkimi poufnymi informacjami w sposób wysoce poufny. Dystrybucja w ramach OneSpan jest ograniczona do osób, które potrzebują wiedzy i mogą pomóc w rozwiązaniu problemu.

Jeśli podejrzewana luka zostanie potwierdzona, PSIRT OneSpan i zespół ds. Produktu współpracują ze sobą, aby określić poziom ważności luki w zabezpieczeniach za pomocą metody Common System Vulnerability Scoring System (CVSS) , wersja 2.0.

Łagodzenie

Zespół produktu określa, dla których wersji produktu należy opracować poprawkę, i podaje szacunkową datę wydania poprawek. Zespół produktu opracowuje również poprawki.

Powiadomienie

PSIRT określa, czy publikacja zabezpieczeń zostanie wydana, a jeśli tak, to rodzaj publikacji zabezpieczeń, która zostanie wykorzystana do ujawnienia podatności.

PSIRT opracowuje publikację dotyczącą bezpieczeństwa we współpracy z zespołem ds. Produktu. Za zgodą zgłaszającego PSIRT OneSpan może potwierdzić wkład zgłaszającego podczas publicznego ujawnienia podatności. Jeśli to konieczne, OneSpan PSIRT współpracuje z MITER Corporation w celu wygenerowania identyfikatorów CVE dla luki w zabezpieczeniach.

OneSpan PSIRT publikuje publikację dotyczącą bezpieczeństwa różnymi kanałami:

  • Na stronie internetowej PSIRT
  • Za pośrednictwem porad bezpieczeństwa i odpowiedzi RSS Feed

OneSpan PSIRT może również opublikować publikację dotyczącą bezpieczeństwa na forach bezpieczeństwa, bazach danych podatności lub listach e-mail. Jednak tylko oficjalna strona internetowa OneSpan PSIRT jest aktualizowana. 
Wreszcie OneSpan informuje również klientów korzystających z produktów, których dotyczy problem, za pośrednictwem poczty elektronicznej.