Ujawnienie luk w zabezpieczeniach

Polityka

1. Centrum reagowania na luki w zabezpieczeniach (S-CERT)

Dział S-CERT*1 firmy Hanwha Vision to zespół zajmujący się usuwaniem luk w zabezpieczeniach produktów Wisenet firmy Hanwha Vision i szybkim reagowaniem (analizowanie i przygotowywanie środków zaradczych) w przypadku wystąpienia luki w zabezpieczeniach. Prosimy o kontakt z zespołem S-CERT pod adresem secure.cctv@hanwha.com ze szczegółowymi informacjami o produkcie i instrukcjami, jak odtworzyć objawy luki w zabezpieczeniach, gdy znajdziesz lukę w zabezpieczeniach produktu.※ S-CERT nie odpowiada na zgłoszenia związane z podatnościami strony głównej (https://www.hanwhavision.com/), wsparciem produktowym i funkcjami. Prosimy o kontakt z przedstawicielem handlowym Hanwha w celu uzyskania ogólnych zapytań dotyczących produktów.

2. Proces reagowania na luki w zabezpieczeniach

Po otrzymaniu zgłoszenia luki w zabezpieczeniach natychmiast zwołuje się Radę ds. Przeciwdziałania Wypadkom Naruszeń Bezpieczeństwa. Osoby zgłaszające podatności bezpieczeństwa mogą otrzymać wstępną odpowiedź w ciągu 2 dni roboczych oraz mogą otrzymać odpowiedź dotyczącą planu działań producenta i planu dystrybucji związanego z podatnością w ciągu 10 dni roboczych.

Oprogramowanie układowe (firmware) z poprawionymi podatnościami oraz szczegółami dotyczącymi podatności nie będzie ujawniane do 90 dni od otrzymania zgłoszenia lub do daty uzgodnionej wspólnie z informującym. Dla przejrzystego i efektywnego zarządzania podatnościami bezpieczeństwa, od września 2023 roku Hanwha Vision uczestniczy w programie CVE jako CNA, który może bezpośrednio rejestrować i zarządzać podatnościami CVE, oraz prowadzi program bug bounty dla wewnętrznych klientów.

3. Zasady powiadamiania o lukach w zabezpieczeniach

Oprogramowanie układowe zawierające załatane luki w zabezpieczeniach jest przesyłane na stronę internetową*2 wraz z raportem o lukach w zabezpieczeniach. Szczegóły luki w zabezpieczeniach (zawartość luki w zabezpieczeniach, informacje o produkcie/wersja oprogramowania sprzętowego, której dotyczy luka, ryzyko, środki zaradcze itp.) nie są ujawniane do czasu opublikowania poprawionego oprogramowania układowego w witrynie internetowej w celu zapobiegania atakom typu zero-day. Szczegóły, takie jak scenariusze ataków pod kątem luk w zabezpieczeniach, nie są ujawniane, aby zapobiec imitowaniu ataków. Jeśli luka dotyczy wielu produktów, odpowiednie poprawki oprogramowania układowego zostaną wydane jednocześnie.

*1. S-CERT: Zespół reagowania na sytuacje awaryjne związane z bezpieczeństwem komputerowym

*2. Strona Cyber ​​Security w witrynie (Support > Bezpieczeństwo cybernetyczne)

 

Nasze zaangażowanie w cyberbezpieczeństwo

Znalazłeś lukę w zabezpieczeniach?