軟體中的資訊安全漏洞無法 100% 避免。因此,及時通知使用者與管理員這些漏洞,以便他們能在遭受損失前採取應變措施便相形重要。為了順利完成,務必建立一套適當的管理系統,其中包括公司內的產品資訊安全事件應變小組(PSIRT)。
資訊安全事件管理
為什麼事件管理有必要性?
何謂資訊安全諮詢?
資訊安全建議告知我們產品的安全漏洞,通常包含:
- 弱點描述、
- 採 CVSS* 評分形式的弱點危害程度評估、
- 包括版本在內的受影響產品清單、
- 可能的對策及確認通知,如有必要向通報弱點的通報人員回報。
*CVSS(漏洞評鑑系統)是一套全球確認標準程序,可用於評估弱點的危害程度。目前可使用 CSVV 的 3.0 版。CVSSv3 定義 0-10 分。最低臨界值評估為 0,最高為 10。
這裡是目前的資安建議。
Pilz 產品資訊安全事件應變小組(PSIRT)
Pilz PSIRT 資訊安全專家負責分析、評估及管理相關 Pilz 產品和解決方案的潛在資訊安全弱點與資訊安全事件。確認弱點後,Pilz 會發佈其 PSIRT 資訊安全建議並提供修補此弱點的方式。
我們要鼓勵資訊安全專家、事件研究人員、客戶及其他相關方向我們回報有關我們產品與解決方案的任何資訊安全問題。這是我們能共同探討進一步活動、協調與改善產品及解決方案資訊安全的方式。為防止波及我們的客戶及無關的第三方,我們要求協調發佈弱點並納入我們的 PSIRT。
如何取得 Pilz PSIRT
Pilz PSIRT 的資安專家會管理和評估 Pilz 產品中潛在資安漏洞的所以報告。若您對我們的產品或基礎架構的資訊安全有任何疑問,或是您想要回報任何資安漏洞,請洽詢我們的 PSIRT 安全專家。請用德語或英語通知 PSIRT。通常,您可以在兩個工作日內獲得初步回應(CET)。
請將我們的產品、解決方案及線上服務的任何資安問題回報給:
請在您的回報中包含下列資訊:
- 受影響產品的項目編號
- 裝置和韌體(若可用)
- 將協助我們再現問題的利用或進一步資料(若適用)
- 關於該漏洞是否已發布(由您或其他人)的附註
Pilz 事件管理流程
1.分析:我們的 PSIRT 會測試回報的弱點,如有必要將向提交者索取進一步資訊。請注意,測試可能需要數日或數週的時間,視弱點複雜性和產品類型而定。不過,我們最晚將在 15 個工作天後向提交者提供意見反應。
2.定義措施:視弱點的嚴重程度而定,如有必要,將準備其他界限條件的更新。如為嚴重弱點,Pilz 將準備資訊安全建議。在此過程期間,我們將定期通報提交者有關狀態。
3.發佈:最終資訊安全建議與任何相關修補方法都將在此發佈,並可提供每位客戶下載。若要下載,請用您的使用者名稱登入。若您尚未擁有設定檔,則可以在這裡免費註冊。請注意,依弱點的嚴重程度而定,修補程式可能只會在一般產品發布週期的背景下發布。
關於工業資安的更多資訊
電話號碼: +886 2 2570 0068
電子郵件: info@pilz.tw