Offenlegung von Sicherheitslücken

Politik

1. Security Vulnerability Response Center (S-CERT)

Die S-CERT*1-Abteilung von Hanwha Vision ist ein Team, das sich der Behebung von Sicherheitslücken der Wisenet-Produkte von Hanwha Vision und der umgehenden Reaktion (Analyse und Vorbereitung von Gegenmaßnahmen) im Falle einer Sicherheitslücke widmet. Bitte kontaktieren Sie das S-CERT-Team unter [email protected] mit detaillierten Produktinformationen und Anweisungen zum Reproduzieren der Symptome der Schwachstelle, wenn Sie eine produktbezogene Sicherheitslücke finden.※ S-CERT antwortet nicht auf Anfragen, die sich auf die Homepage (https://www.hanwhavision.com/), die Sicherheitslücken, den Produktsupport und die Funktionen beziehen. Bitte wenden Sie sich für allgemeine Produktanfragen an Ihren Hanwha-Vertriebsmitarbeiter.

2. Prozess zur Reaktion auf Sicherheitslücken

Nach Erhalt eines Berichts über eine Sicherheitslücke wird unverzüglich ein Sicherheitsrat für Unfallabwehrmaßnahmen einberufen. Wer eine Sicherheitslücke meldet, kann innerhalb von 2 Arbeitstagen eine erste Antwort erhalten, und innerhalb von 10 Arbeitstagen eine Antwort über die künftigen Maßnahmen und den Ablaufs Plan des Herstellers im Zusammenhang mit der Sicherheitslücke.

Firmware mit beseitigten Schwachstellen und Details zu den Schwachstellen werden erst 90 Tage nach Erhalt oder bis zu einem mit dem Informanten vereinbarten Termin veröffentlicht. Zur transparenten und effizienten Verwaltung von Sicherheitslücken nimmt Hanwha Vision ab September 2023 am CVE-Programm als CNA teil, der CVE-Schwachstellen direkt registrieren und verwalten kann, und betreibt ein Bug-Bounty-Programm für interne Kunden.

3. Richtlinie zur Benachrichtigung über Sicherheitslücken

Die gepatchte Firmware für Schwachstellen wird zusammen mit dem Schwachstellenbericht auf die Website*2 hochgeladen. Die Details der Schwachstelle (Inhalt der Schwachstelle, betroffene Produktinformationen/Firmware-Version, Risiko, Gegenmaßnahmen usw.) werden nicht offengelegt, bis die gepatchte Firmware auf der Website zur Verhinderung von Zero-Day-Angriffen veröffentlicht wird. Details wie Angriffsszenarien für Schwachstellen werden nicht offengelegt, um Nachahmerangriffe zu verhindern. Wenn mehrere Produkte von der Schwachstelle betroffen sind, werden entsprechende Firmware-Patches gleichzeitig veröffentlicht.

* 1. S-CERT: Sicherheits-Computer-Notfallteam

*2. Cyber Security-Seite der Website (Unterstützung > Internet-Sicherheit)

 

Unser Engagement für Cybersicherheit

Sicherheitslücke gefunden?