Processo de revisão do PSIRT

Para garantir que nossos produtos mantenham os mais altos padrões de segurança e integridade, temos um processo formal de investigação que é tratado pela Equipe de investigação de segurança do produto.

A figura a seguir ilustra o processo OneSpan PSIRT em um nível alto.

 

 

 

 

 

 

 

Descoberta

Como primeira etapa, o OneSpan PSIRT toma conhecimento de uma suspeita de vulnerabilidade em um ou mais produtos OneSpan. Isso pode acontecer de várias maneiras:

Um terceiro (cliente, parceiro, pesquisador etc.) relata uma suspeita de vulnerabilidade diretamente ao OneSpan.

  1. O OneSpan toma conhecimento de uma publicação pública (no Bugtraq, VulnDev etc.) sobre uma suspeita de vulnerabilidade.
  2. O próprio departamento do OneSpan descobre uma vulnerabilidade em um produto OneSpan.
  3. Posteriormente, o OneSpan PSIRT registra a suspeita de vulnerabilidade com detalhes de suporte e informa o repórter que está investigando o caso.

Se a suspeita de vulnerabilidade for relatada em particular por terceiros, o OneSpan PSIRT solicitará ao repórter que mantenha estrita confidencialidade até que resoluções completas estejam disponíveis e tenham sido publicadas pelo OneSpan PSIRT, de acordo com as práticas de divulgação responsáveis. O OneSpan PSIRT manterá o repórter informado sobre todas as etapas do processo.

Análise Interna

O PSIRT relata a suspeita de vulnerabilidade às equipes de produtos relevantes para verificação. A equipe do produto tenta reproduzir o problema para verificar se é efetivamente uma vulnerabilidade.

Durante a análise, o OneSpan PSIRT se esforça para trabalhar em colaboração com o repórter para confirmar a natureza da vulnerabilidade, reunir as informações técnicas necessárias e garantir as ações corretivas apropriadas.

O OneSpan PSIRT gerencia todas as informações confidenciais de maneira altamente confidencial. A distribuição no OneSpan é limitada às pessoas que precisam conhecer e podem ajudar na resolução.

Se a suspeita de vulnerabilidade for confirmada, o OneSpan PSIRT e a equipe do produto trabalharão juntos para definir o nível de gravidade da vulnerabilidade usando o comando Sistema de pontuação comum de vulnerabilidades (CVSS) , versão 2.0.

Mitigação

A equipe do produto determina para quais versões do produto uma correção deve ser desenvolvida e fornece uma estimativa para a data de lançamento das correções. A equipe do produto também desenvolve as correções.

Notificação

O PSIRT determina se uma publicação de segurança será emitida e, em caso afirmativo, o tipo de publicação de segurança que será usada para divulgar a vulnerabilidade.

O PSIRT redige uma publicação de segurança, em cooperação com a equipe do produto. Com o acordo do repórter, o OneSpan PSIRT pode reconhecer a contribuição do repórter durante a divulgação pública da vulnerabilidade. Se necessário, o OneSpan PSIRT trabalha com a MITRE Corporation para gerar identificadores de CVE para a vulnerabilidade.

O OneSpan PSIRT publica a publicação de segurança por diferentes canais:

  • No site do PSIRT
  • Via alertas de segurança e feed RSS de resposta

O OneSpan PSIRT também pode lançar a publicação de segurança em fóruns de segurança, bancos de dados de vulnerabilidades ou listas de e-mail. No entanto, apenas o site oficial do OneSpan PSIRT é mantido atualizado. 
Finalmente, o OneSpan também informa os clientes usando um produto impactado por e-mail.