Não é possível evitar totalmente as lacunas de segurança em softwares. Portanto, é importante informarmos os usuários e os administradores sobre essas lacunas a tempo para que possam tomar as contramedidas necessárias antes de ocorrer um dano. Para que isso funcione de modo controlado, é importante estabelecer um gerenciamento adequado na empresa, inclusive com uma equipe de resposta sobre incidentes com a segurança do produto (em inglês, Product Security Incident Response Team, PSIRT).
Security Incident Management
Por que o gerenciamento de incidentes (Incident Management) é necessário?
O que é uma Security Advisory (notificação de segurança)?
Uma notificação de segurança (em inglês, Security Advisory) informa sobre a existência de lacunas de segurança nos nossos produtos e normalmente é formada pelos seguintes componentes:
- descrição da vulnerabilidade,
- estimativa da criticidade da vulnerabilidade na forma de uma pontuação CVSS*,
- listagem dos produtos afetados, inclusive sua versão,
- possíveis contramedidas e, se houver, agradecimentos àqueles que nos reportaram a vulnerabilidade.
*O sistema de pontuação de vulnerabilidade comum (em inglês, Common Vulnerability Scoring System, CVSS) é um procedimento padrão reconhecido internacionalmente para avaliar a criticidade de uma vulnerabilidade. Atualmente, o CVSS está na versão 3.0. O CVSSv3 define uma pontuação de 0 a 10, sendo que a menor criticidade recebe nota 0 e a maior recebe nota 10.
Veja aqui as Security Advisories atuais.
A equipe de resposta sobre incidentes com a segurança do produto (Product Security Incident Response Team, PSRIT) da Pilz
Os especialistas em Security da PSIRT da Pilz analisam, avaliam e processam as possíveis vulnerabilidades de segurança bem como os acontecimentos de Security nos produtos e nas soluções da Pilz. Se a vulnerabilidade for confirmada, as Security Advisories da PSIRT da Pilz divulgarão a informação com as orientações para solucioná-la.
Dessa forma, queremos encorajar que especialistas em segurança, pesquisadores independentes, clientes e outras pessoas nos notifiquem caso encontrem problemas de segurança nos nossos produtos e nas nossas soluções. Apenas assim é possível discutir outras atividades, coordená-las e aprimorar os produtos e as soluções de Security. Para não colocar em risco os nossos clientes nem as pessoas não envolvidas, solicitamos a publicação coordenada das vulnerabilidades considerando a nossa PSIRT.
É assim que você entra em contato com a PSIRT da Pilz
Os especialistas em Security da PSIRT da Pilz processam e avaliam todas as mensagens sobre possíveis vulnerabilidades da Security nos produtos da Pilz. Se você tem perguntas sobre a Security dos nossos produtos ou da nossa infraestrutura, ou caso deseje notificar brechas de segurança, entre em contato com os nossos especialistas de Security da PSIRT. Comunique-se com a PSIRT em alemão ou inglês. Normalmente, você receberá o primeiro retorno em dois dias úteis (CET).
Informe os problemas de segurança dos nossos produtos, soluções e serviços online:
Incluir as seguintes informações com a sua mensagem:
- Código do produto afetado
- Aparelho e firmware (se disponível)
- Se aplicável, exploit ou dados adicionais que podem nos ajudar a reproduzir o problema
- Aviso se a vulnerabilidade já foi divulgada (por você ou outro órgão)
Processo de gerenciamento de incidentes da Pilz
1. Analisar: nossa PSIRT examina a vulnerabilidade notificada e solicita mais informações à pessoa informante, se necessário. Observe que, dependendo da complexidade da vulnerabilidade e do tipo do produto, esse exame pode demorar alguns dias ou até semanas. Independente disso, retornamos ao informante pela primeira vez em, no máximo, 15 dias úteis.
2. Definir as medidas: as atualizações são preparadas dependendo da gravidade da vulnerabilidade e de possíveis outras restrições. No caso de uma vulnerabilidade grave, a Pilz prepara uma Security Advisory. Notificamos o informante regularmente sobre o estado durante o processo.
3. Publicar: a Security Advisory pronta e os patches relacionados serão publicados aqui e ficam disponíveis para download para todos os clientes. Para fazer o download, é preciso entrar com o seu nome de usuário. Se você ainda não tiver um perfil, registre-se gratuitamente aqui. Observe que, dependendo da gravidade da vulnerabilidade, é possível que os patches sejam liberados somente no âmbito do ciclo de publicação típico do produto.
Mais sobre Security industrial
Nuno Silva
Rotunda Eng. Egdar Cardoso, Nº 23, 5º - Sala E (Edifício Tower Plaza)
4400-676 Vila Nova de Gaia
Portugal
Telefone: +351 911 780 281
Email: info@pilz.pt
Telefone: +351 229 407 594
Email: suporte@pilz.pt