健格科技致力於嚴謹的產品資安漏洞管理,並提供客戶可靠的產品資訊安全漏洞指引與緩解方法,將產品資訊安全漏洞相關風險降至最低。為此,健格科技設立產品資安事件應變小組 (Product Security Incident Response Team, 以下稱 PSIRT),負責處理回報至健格科技的產品資訊安全事件與相關產品漏洞通報事宜。健格科技持續參考國際及業界廣為接受與認定的相關作法與標準,不斷強化資安漏洞處理程序與回應措施,以積極的態度支持工業網路安全,成為客戶信賴的合作夥伴。
產品資安漏洞管理程序
健格科技的產品資安漏洞管理程序分為五個階段,每一階段皆具有嚴謹的處理流程與作業。
- 首次事件回應:PSIRT 收到外部針對健格科技產品的漏洞回報後,通常將在兩個工作天內對回報者提出的疑慮作出回應。
- 評估與分類:PSIRT 對回報的產品資安漏洞進行分類與分析,以初步確認該漏洞對健格科技產品的影響程度。此階段完成後會提供初步評估結果給漏洞回報者。
- 調查:PSIRT 將與產品開發部門共同協作,確認漏洞的根因 (Root Cause) 及對健格科技產品的影響程度與範圍,並進一步針對根因分析出緩解與解決方式。在此階段,PSIRT 與回報者會保持積極的溝通。
- 修復:PSIRT 將與產品開發部門共同協作,進行最終軟/韌體修復方案或緩解措施的開發與驗證。同時,PSIRT 將持續關注相關漏洞訊息的更新以便正確評估漏洞的嚴重性。當開發完整修復方案所需的時間較長,同時漏洞可能造成使用者的高度資安風險時,健格科技會在最終修復方案完成前,先提供客戶及時的替代緩解措施。
- 揭露:PSIRT 將根據產品資安漏洞的分析結果提供資安通告 (Security Advisory) 。內容包括:漏洞說明、可能受影響的產品與版本列表,以及緩解措施或修復計畫說明。
健格科技 PSIRT 與研發團隊透過通用漏洞評分系統(Common Vulnerability Scoring System, CVSS)及健格科技風險漏洞管理模型(Risk-based Vulnerability Management Model),根據安全情境 (Security Context)、漏洞被利用的可能性以及被利用時可能構成的影響等因素,評估該資安漏洞的潛在風險,並據此決定處理該漏洞之期程。
在確認該漏洞對健格科技產品可能的影響後,健格科技隨即設置專用的測試環境,進一步驗證漏洞的有效性、嚴重性與影響力。必要時將與回報者/資安事件通報組織做進一步溝通。在確定漏洞的根因及其對健格科技產品的影響程度及範圍後,健格科技會進行修復分析,並提供解決方案或緩解措施計畫。
關於產品資安通告的更新與發佈,請參考健格科技官網的「安全公告」頁面。
產品資安問題聯絡窗口
如果您在任何健格科技產品中發現可疑的資安漏洞,請立即回報給我們。對健格科技而言,及時發現資安漏洞為降低潛在產品資安風險的關鍵。您可透過 PSIRT 電郵信箱向我們回報與健格科技產品相關的資安事件。
回報產品資安漏洞時,若您的報告包含以下資訊,將能加速我們進行風險評估與提供修復或緩解措施:
- 產品名稱與型號
- 軟/韌體版本
- 重現問題所需的設備及軟體
- 重現問題的步驟(如果可以,請附上圖片或程式碼)
- 概念驗證或漏洞利用程式碼
- 攻擊者可以如何利用此弱點
- 攻擊的過程之封包側錄
- 其他您想補充的資訊
PSIRT 電郵信箱: psirt@connet.com.tw
免責聲明
資訊安全漏洞管理原則各個部分可能會視個案情況而有所變更。我們不保證對任何特定問題做出回應。若使用本文件中包含的資訊或本文件中連結的內容,需由您自行承擔風險。健格科技保留隨時修改本原則中任何內容的權利,恕不另行通知。如有任何修改,修訂後的文件將公告於健格科技官方網站:www.connet.com.tw。