Zielsetzung
Diese Richtlinie soll die Standards von Digi für die Reaktion auf bekannte potenzielle Sicherheitsschwachstellen in der Cloud-Plattform von Digi Axess beschreiben. Sie definiert die Richtlinien von Digi für die Kommunikation potenzieller Schwachstellen und die Bereitstellung von Lösungen für Kunden.
Umfang
Diese Richtlinie bezieht sich speziell auf Sicherheitsschwachstellen in Digi Axess. Wir definieren eine Sicherheitslücke als eine unbeabsichtigte Schwäche oder einen Fehler in der Software, der von einem Bedrohungsagenten ausgenutzt werden kann, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Digi Axess zu gefährden.
Diese Richtlinie gilt nicht für den allgemeinen Support und den Lösungsprozess für nicht sicherheitsrelevante Fehler. Weitere Informationen zu allgemeinen Support-Richtlinien finden Sie unter Support & Helpdesk Ops.
Publikum
Diese Richtlinie ist für Partner und Kunden von Digi bestimmt.
Einführung
Digi Axess wurde für die sichere Konfiguration, Bereitstellung und Überwachung von Anlagen in Kundennetzwerken entwickelt. Unser Produkt umfasst viele Sicherheitsfunktionen wie: RBAC, sichere Bereitstellung, Sicherheitsrichtlinien (CIDR-Blockbereiche für den Webzugriff usw.), DUO 2FA-fähig, SAML, Push/Pull-Überwachung von Ereignisprotokollen und Warnmeldungen über den Konfigurationsmanager. Alle Operationen sind API-programmierbar, so dass Gerätekonfiguration, Protokolle oder Verhalten leicht durch kundenspezifische Lösungen überwacht werden können.
Digi begrüßt die transparente Meldung von Schwachstellen und ist bestrebt, diese zeitnah zu beheben. Zusätzlich zur Meldung durch die Benutzer sucht Digi aktiv nach Schwachstellen durch interne Tests, statische/dynamische Code-Analyse, interne/externe Penetrationstests und die kontinuierliche Bewertung neuer CVEs mit der Softwarekompositionsanalyse der nächsten Generation. Die Schwachstellen können durch interne Sicherheitstests entdeckt werden, öffentlich als Common Vulnerability and Exposure (CVE) gemeldet oder durch eine unabhängige Sicherheitsbewertung, einen Kunden oder eine andere Partei entdeckt werden.
Digi ist bestrebt, die Auswirkungen aller gemeldeten Schwachstellen schnell zu bewerten. Wenn sehr spezifische kritische Schwachstellen oder Zero-Day-Exploits auftreten, können wir einen Hinweis veröffentlichen, um unsere Kunden über die Auswirkungen und den Zeitplan für Patches oder Abhilfemaßnahmen zu informieren.
Meldung potenzieller Schwachstellen
Kunden oder Partner, bei denen Sicherheitsprobleme mit Digi Axess auftreten, werden gebeten, das Problem so bald wie möglich über das Digi-Sicherheitsformular zu melden. Wenn Sie eine potenzielle Schwachstelle melden, geben Sie bitte so viele Informationen wie möglich (einschließlich CVE-Nummer, falls verfügbar) über die Umstände, einen Konzeptnachweis, falls zutreffend, die potenziellen Auswirkungen und Ihre Kontaktinformationen an, damit wir während der Triage kommunizieren können.
Bewertung potenzieller Schwachstellen
Digi verwendet das Common Vulnerability Scoring System (CVSS 4.0). Der ermittelte CVSS-Score spiegelt die potenzielle Sicherheitsbedrohung der Schwachstelle im Kontext des Digi-Produktdesigns wider. Das Sicherheits- und Technikteam von Digi behält sich das Recht vor, den CVSS-Score intern neu zu klassifizieren, um die Wahrscheinlichkeit von Auswirkungen auf unsere Produkte auf der Grundlage der Implementierung zu bestimmen. Für den Fall, dass ein Verbraucher von Digi-Produkten und -Dienstleistungen Fragen zu den getroffenen Festlegungen hat, kann ein Vektorstring unter Verwendung von CVSS V4 des von Digi ermittelten Scores zur Klärung über eine Support-Anfrage an den Digi-Support bereitgestellt werden.
Informationen und Fristen für die Lösung
Der CVSS 4.0-Score wird verwendet, um Prioritäten zu setzen und Ziele für die Kommunikation und Problemlösung wie folgt festzulegen:
Schweregrad |
CVSS 4.0 |
Auflösung Ziel |
Kritisch |
9.0-10.0 |
Patch-Veröffentlichung innerhalb von 30 Tagen |
Hoch |
7.0-8.9 |
Patch-Veröffentlichung innerhalb von 30 Tagen |
Major |
4.0-6.9 |
Patch-Veröffentlichung innerhalb von 90 Tagen |
Kleinere |
N/A |
Zukünftige Veröffentlichung |
Keine Verwundbarkeit |
N/A |
N/A |
Beseitigung potenzieller Schwachstellen>
Digi nimmt Sicherheitslücken ernst und ist bestrebt, Kunden und Partnern in Übereinstimmung mit den Lösungsvorgaben Lösungen zur Verfügung zu stellen. Für alle Produkte, die derzeit unterstützt werden (um zu überprüfen, welche Produkte nicht mehr unterstützt werden), besuchen Sie bitte das Digi-Kundenportal, um eine Liste der PCNs und EOL-Ankündigungen zu erhalten.
Für kritische Schwachstellen setzt Digi einen formellen Incident Management Prozess ein. Dieser Prozess beinhaltet die Bereitstellung angemessener Ressourcen für die Lösung des Problems, bis eine Lösung veröffentlicht wurde. Der Prozess umfasst interne Kommunikations- und Eskalationsverfahren, um sicherzustellen, dass die Lösung die höchstmögliche Priorität erhält.
Alle relevanten Schwachstellen werden laufend durch Updates des Digi Axess-Dienstes durch unsere Software-Sicherheitstechnologie behoben, es sei denn, in einem Sicherheitshinweis werden andere Informationen gegeben.
Erhalt von Informationen über potenzielle Schwachstellen
Kunden und Partner können sich registrieren, um Informationen über potenzielle Schwachstellen zu erhalten, die gerade bewertet oder über das Digi Security Center behoben werden. Wenn Sie sicherstellen möchten, dass Sie die neuesten Updates erhalten, abonnieren Sie den RSS-Feed.
Zuletzt aktualisiert: August, 2024