Não é possível evitar totalmente as lacunas de segurança em softwares. Portanto, é importante informarmos os usuários e os administradores sobre essas lacunas a tempo para que possam tomar as contramedidas necessárias antes de ocorrer um dano. Para que isso funcione de modo controlado, é importante estabelecer um gerenciamento adequado na empresa, inclusive com uma equipe de resposta sobre incidentes com a segurança do produto (em inglês, Product Security Incident Response Team, PSIRT).
Security Incident Management
Por que o gerenciamento de incidentes (Incident Management) é necessário?
O que é uma Security Advisory (notificação de segurança)?
Uma notificação de segurança (em inglês, Security Advisory) informa sobre a existência de lacunas de segurança nos nossos produtos e normalmente é formada pelos seguintes componentes:
- descrição da vulnerabilidade,
- estimativa da criticidade da vulnerabilidade na forma de uma pontuação CVSS*,
- listagem dos produtos afetados, inclusive sua versão,
- possíveis contramedidas e, se houver, agradecimentos àqueles que nos reportaram a vulnerabilidade.
*O sistema de pontuação de vulnerabilidade comum (em inglês, Common Vulnerability Scoring System, CVSS) é um procedimento padrão reconhecido internacionalmente para avaliar a criticidade de uma vulnerabilidade. Atualmente, o CVSS está na versão 3.0. O CVSSv3 define uma pontuação de 0 a 10, sendo que a menor criticidade recebe nota 0 e a maior recebe nota 10.
Veja aqui as Security Advisories atuais.
A equipe de resposta sobre incidentes com a segurança do produto (Product Security Incident Response Team, PSRIT) da Pilz
Os especialistas em Security da PSIRT da Pilz analisam, avaliam e processam as possíveis vulnerabilidades de segurança bem como os acontecimentos de Security nos produtos e nas soluções da Pilz. Se a vulnerabilidade for confirmada, as Security Advisories da PSIRT da Pilz divulgarão a informação com as orientações para solucioná-la.
Dessa forma, queremos encorajar que especialistas em segurança, pesquisadores independentes, clientes e outras pessoas nos notifiquem caso encontrem problemas de segurança nos nossos produtos e nas nossas soluções. Apenas assim é possível discutir outras atividades, coordená-las e aprimorar os produtos e as soluções de Security. Para não colocar em risco os nossos clientes nem as pessoas não envolvidas, solicitamos a publicação coordenada das vulnerabilidades considerando a nossa PSIRT.
É assim que você entra em contato com a PSIRT da Pilz
Os especialistas em Security da PSIRT da Pilz processam e avaliam todas as mensagens sobre possíveis vulnerabilidades da Security nos produtos da Pilz. Se você tem perguntas sobre a Security dos nossos produtos ou da nossa infraestrutura, ou caso deseje notificar brechas de segurança, entre em contato com os nossos especialistas de Security da PSIRT. Comunique-se com a PSIRT em alemão ou inglês. Normalmente, você receberá o primeiro retorno em dois dias úteis (CET).
Informe os problemas de segurança dos nossos produtos, soluções e serviços online:
Incluir as seguintes informações com a sua mensagem:
- Código do produto afetado
- Aparelho e firmware (se disponível)
- Se aplicável, exploit ou dados adicionais que podem nos ajudar a reproduzir o problema
- Aviso se a vulnerabilidade já foi divulgada (por você ou outro órgão)
Processo de gerenciamento de incidentes da Pilz
1. Analisar: nossa PSIRT examina a vulnerabilidade notificada e solicita mais informações à pessoa informante, se necessário. Observe que, dependendo da complexidade da vulnerabilidade e do tipo do produto, esse exame pode demorar alguns dias ou até semanas. Independente disso, retornamos ao informante pela primeira vez em, no máximo, 15 dias úteis.
2. Definir as medidas: as atualizações são preparadas dependendo da gravidade da vulnerabilidade e de possíveis outras restrições. No caso de uma vulnerabilidade grave, a Pilz prepara uma Security Advisory. Notificamos o informante regularmente sobre o estado durante o processo.
3. Publicar: a Security Advisory pronta e os patches relacionados serão publicados aqui e ficam disponíveis para download para todos os clientes. Para fazer o download, é preciso entrar com o seu nome de usuário. Se você ainda não tiver um perfil, registre-se gratuitamente aqui. Observe que, dependendo da gravidade da vulnerabilidade, é possível que os patches sejam liberados somente no âmbito do ciclo de publicação típico do produto.
Mais sobre Security industrial
Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Alemanha
Telefone: +49 711 3409-0
Email: pilz.gmbh@pilz.de
Telefone: +49 711 3409 444
Email: support@pilz.com
Américas
- México: +52 55 5572 1300
- Brasil: + 55 11 4942-7032
- Estados Unidos (gratuito): +1 877-PILZUSA (745-9872)
- Canadá: +1 888-315-PILZ (315-7459)
Europa
- Irlanda: +353 21 4804983
- Áustria: +43 1 7986263-444
- Finlândia: +358 10 3224030 / +45 74436332
- Itália: +39 0362 1826711
- Rússia: +7 495 6654993
- Espanha: +34 938497433
- Dinamarca: +45 74436332
- Suíça: +41 62 889 79 32
- Alemanha: +49 711 3409 444
- Bélgica: +32 9 321 75 70
- Turquia: +90 216 5775552
- Holanda: +31 347 320477
- França (gratuito): +33 3 88104000
- Suécia: +46 300 13990 / +45 74436332
- Portugal: +351 229 407 594
- Reino Unido: +44 1536 460866
Ásia Pacífico
- Coreia do Sul: +82 31 778 3390
- Nova Zelândia: +64 9 6345350
- Japão: +81 45 471 2281
- Taiwan: +886 2 25700068
- Cingapura: +65 6829 2920
- Tailândia: +66 210 54613
- China: +86 400-088-3566
- Austrália (gratuito): +61 3 9560 0621 / 1300 723 334