Offenlegung von Sicherheitslücken
Politik
1. Security Vulnerability Response Center (S-CERT)
Die S-CERT*1-Abteilung von Hanwha Techwin ist ein Team, das sich der Behebung von Sicherheitslücken der Wisenet-Produkte von Hanwha Techwin und der umgehenden Reaktion (Analyse und Vorbereitung von Gegenmaßnahmen) im Falle einer Sicherheitslücke widmet. Bitte kontaktieren Sie das S-CERT-Team unter secure.cctv@hanwha.com mit detaillierten Produktinformationen und Anweisungen zum Reproduzieren der Symptome der Schwachstelle, wenn Sie eine produktbezogene Sicherheitslücke finden.※ S-CERT antwortet nicht auf Anfragen in Bezug auf Produktunterstützung und -funktionen. Bitte wenden Sie sich für allgemeine Produktanfragen an Ihren Hanwha-Vertriebsmitarbeiter.
2. Prozess zur Reaktion auf Sicherheitslücken
Nach Erhalt eines Berichts über eine Sicherheitslücke wird unverzüglich ein Sicherheitsrat für Unfallabwehrmaßnahmen einberufen. Das Ziel des Rates ist es, den Inhalt und die Auswirkungen der Schwachstelle zu analysieren, die Lösung für das Problem vorzubereiten und die gepatchte Firmware so schnell wie möglich auf der Website zu veröffentlichen.
3. Richtlinie zur Benachrichtigung über Sicherheitslücken
Die gepatchte Firmware für Schwachstellen wird zusammen mit dem Schwachstellenbericht auf die Website*2 hochgeladen. Die Details der Schwachstelle (Inhalt der Schwachstelle, betroffene Produktinformationen/Firmware-Version, Risiko, Gegenmaßnahmen usw.) werden nicht offengelegt, bis die gepatchte Firmware auf der Website zur Verhinderung von Zero-Day-Angriffen veröffentlicht wird. Details wie Angriffsszenarien für Schwachstellen werden nicht offengelegt, um Nachahmerangriffe zu verhindern. Wenn mehrere Produkte von der Schwachstelle betroffen sind, werden entsprechende Firmware-Patches gleichzeitig veröffentlicht.
Die gepatchte Firmware für Schwachstellen wird zusammen mit dem Schwachstellenbericht auf die Website*2 hochgeladen. Die Details der Schwachstelle (Inhalt der Schwachstelle, betroffene Produktinformationen/Firmware-Version, Risiko, Gegenmaßnahmen usw.) werden nicht offengelegt, bis die gepatchte Firmware auf der Website zur Verhinderung von Zero-Day-Angriffen veröffentlicht wird. Details wie Angriffsszenarien für Schwachstellen werden nicht offengelegt, um Nachahmerangriffe zu verhindern. Wenn mehrere Produkte von der Schwachstelle betroffen sind, werden entsprechende Firmware-Patches gleichzeitig veröffentlicht.
* 1. S-CERT: Sicherheits-Computer-Notfallteam
*2. Cyber Security-Seite der Website (Unterstützung > Internet-Sicherheit)