Ujawnienie luk w zabezpieczeniach
Polityka
1. Centrum reagowania na luki w zabezpieczeniach (S-CERT)
Dział S-CERT*1 firmy Hanwha Techwin to zespół zajmujący się usuwaniem luk w zabezpieczeniach produktów Wisenet firmy Hanwha Techwin i szybkim reagowaniem (analizowanie i przygotowywanie środków zaradczych) w przypadku wystąpienia luki w zabezpieczeniach. Prosimy o kontakt z zespołem S-CERT pod adresem secure.cctv@hanwha.com ze szczegółowymi informacjami o produkcie i instrukcjami, jak odtworzyć objawy luki w zabezpieczeniach, gdy znajdziesz lukę w zabezpieczeniach produktu.※ S-CERT nie odpowiada na zapytania dotyczące wsparcia i funkcji produktu. Prosimy o kontakt z przedstawicielem handlowym Hanwha w celu uzyskania ogólnych zapytań dotyczących produktów.
2. Proces reagowania na luki w zabezpieczeniach
Po otrzymaniu zgłoszenia luki w zabezpieczeniach natychmiast zwołuje się Radę ds. Przeciwdziałania Wypadkom Naruszeń Bezpieczeństwa. Celem Rady jest przeanalizowanie zawartości i wpływu luki, przygotowanie rozwiązania problemu i jak najszybsze umieszczenie załatanego oprogramowania na stronie internetowej.
3. Zasady powiadamiania o lukach w zabezpieczeniach
Oprogramowanie układowe zawierające załatane luki w zabezpieczeniach jest przesyłane na stronę internetową*2 wraz z raportem o lukach w zabezpieczeniach. Szczegóły luki w zabezpieczeniach (zawartość luki w zabezpieczeniach, informacje o produkcie/wersja oprogramowania sprzętowego, której dotyczy luka, ryzyko, środki zaradcze itp.) nie są ujawniane do czasu opublikowania poprawionego oprogramowania układowego w witrynie internetowej w celu zapobiegania atakom typu zero-day. Szczegóły, takie jak scenariusze ataków pod kątem luk w zabezpieczeniach, nie są ujawniane, aby zapobiec imitowaniu ataków. Jeśli luka dotyczy wielu produktów, odpowiednie poprawki oprogramowania układowego zostaną wydane jednocześnie.
Oprogramowanie układowe zawierające załatane luki w zabezpieczeniach jest przesyłane na stronę internetową*2 wraz z raportem o lukach w zabezpieczeniach. Szczegóły luki w zabezpieczeniach (zawartość luki w zabezpieczeniach, informacje o produkcie/wersja oprogramowania sprzętowego, której dotyczy luka, ryzyko, środki zaradcze itp.) nie są ujawniane do czasu opublikowania poprawionego oprogramowania układowego w witrynie internetowej w celu zapobiegania atakom typu zero-day. Szczegóły, takie jak scenariusze ataków pod kątem luk w zabezpieczeniach, nie są ujawniane, aby zapobiec imitowaniu ataków. Jeśli luka dotyczy wielu produktów, odpowiednie poprawki oprogramowania układowego zostaną wydane jednocześnie.
* 1. S-CERT: Zespół reagowania na sytuacje awaryjne związane z bezpieczeństwem komputerowym
*2. Strona Cyber Security w witrynie (Support > Bezpieczeństwo cybernetyczne)