Startseite / Ressourcen / Sicherheit / Sicherheitspolitiken / Digi Remote Manager Schwachstellen-Patch-Richtlinie
Ressourcen Kundengeschichten Veranstaltungen IoT Terminologie Zertifizierungen Projekt-Galerie Ressourcen-Bibliothek Sicherheitszentrum Videos Webinare

Digi Remote Manager Richtlinie für Schwachstellen-Patches

Inhalt

Zielsetzung

Diese Richtlinie soll die Standards von Digi für die Reaktion auf bekannte potenzielle Sicherheitsschwachstellen in der Cloud-Version von Digi Remote Managerbeschreiben und gilt nicht für die On-Premise-Version. Sie definiert die Richtlinien von Digi für die Kommunikation potenzieller Schwachstellen und die Bereitstellung von Lösungen für Kunden.

Umfang

Diese Richtlinie bezieht sich speziell auf Sicherheitsschwachstellen in Digi Remote Manager. Wir definieren eine Sicherheitslücke als eine unbeabsichtigte Schwäche oder einen Fehler in der Software, der von einem Bedrohungsagenten ausgenutzt werden kann, um das Netzwerk eines Kunden zu gefährden.

Diese Richtlinie gilt nicht für den allgemeinen Support und den Lösungsprozess für nicht sicherheitsrelevante Fehler. Weitere Informationen zu allgemeinen Support-Richtlinien finden Sie unter Support & Helpdesk Ops.

Publikum

Diese Richtlinie ist für Partner und Kunden von Digi bestimmt.

Einführung

Digi Remote Manager dient der sicheren Konfiguration, Bereitstellung und Überwachung von Anlagen in Kundennetzen. Unser Produkt umfasst viele Sicherheitsfunktionen wie: RBAC, sichere Bereitstellung, Sicherheitsrichtlinien (CIDR-Blockbereiche für den Webzugriff usw.), DUO 2FA-fähig, SAML, Push/Pull-Überwachung von Ereignisprotokollen und Warnmeldungen mithilfe des Konfigurationsmanagers. Alle Vorgänge sind API-programmierbar, so dass Gerätekonfiguration, Protokolle oder Verhalten leicht durch kundenspezifische Lösungen überwacht werden können.

Digi begrüßt die transparente Meldung von Schwachstellen und ist bestrebt, diese zeitnah zu beheben. Zusätzlich zur Meldung durch die Benutzer sucht Digi aktiv nach Schwachstellen durch interne Tests, statische/dynamische Code-Analyse, interne/externe Penetrationstests und die kontinuierliche Bewertung neuer CVEs mit der Softwarekompositionsanalyse der nächsten Generation. Die Schwachstellen können durch interne Sicherheitstests entdeckt, öffentlich als Common Vulnerability and Exposure (CVE) gemeldet oder durch eine unabhängige Sicherheitsbewertung, einen Kunden oder eine andere Partei entdeckt werden.

Digi ist bestrebt, die Auswirkungen aller gemeldeten Schwachstellen schnell zu bewerten. Wenn sehr spezifische kritische Schwachstellen oder Zero-Day-Exploits auftreten, können wir einen Hinweis veröffentlichen, um unsere Kunden über die Auswirkungen und den Zeitplan für Patches oder Abhilfemaßnahmen zu informieren.

Meldung potenzieller Schwachstellen

Kunden oder Partner, bei denen Sicherheitsprobleme mit Digi Remote Manager auftreten, werden gebeten, das Problem so bald wie möglich über das Digi-Sicherheitsformular zu melden. Wenn Sie eine potenzielle Schwachstelle melden, geben Sie bitte so viele Informationen wie möglich (einschließlich der CVE-Nummer, falls verfügbar) über die Umstände, einen Konzeptnachweis, falls zutreffend, die potenziellen Auswirkungen und Ihre Kontaktinformationen an, damit wir während der Triage kommunizieren können.

Bewertung potenzieller Schwachstellen

Digi verwendet das Common Vulnerability Scoring System (CVSS 4.0). Der ermittelte CVSS-Score spiegelt die potenzielle Sicherheitsbedrohung der Schwachstelle im Kontext des Digi-Produktdesigns wider. Das Sicherheits- und Technikteam von Digi behält sich das Recht vor, den CVSS-Score intern neu zu klassifizieren, um die Wahrscheinlichkeit von Auswirkungen auf unsere Produkte auf der Grundlage der Implementierung zu bestimmen. Für den Fall, dass ein Verbraucher von Digi-Produkten und -Dienstleistungen Fragen zu den getroffenen Festlegungen hat, kann ein Vektorstring unter Verwendung von CVSS V4 des von Digi ermittelten Scores zur Klärung über eine Supportanfrage an folgende Adresse übermittelt werden Digi-Support.

Informationen und Fristen für die Lösung

Der CVSS 4.0-Score wird verwendet, um Prioritäten zu setzen und Ziele für die Kommunikation und Problemlösung wie folgt festzulegen:

Schweregrad CVSS 4.0 Auflösung Ziel
Kritisch 9.0-10.0 Patch-Veröffentlichung innerhalb von 30 Tagen
Hoch 7.0-8.9 Patch-Veröffentlichung innerhalb von 30 Tagen
Major 4.0-6.9 Patch-Veröffentlichung innerhalb von 90 Tagen
Kleinere N/A Zukünftige Veröffentlichung
Keine Verwundbarkeit N/A N/A

Beseitigung potenzieller Schwachstellen>

Digi nimmt Sicherheitslücken ernst und ist bestrebt, Kunden und Partnern in Übereinstimmung mit den Lösungsvorgaben Lösungen zur Verfügung zu stellen. Für alle Produkte, die derzeit unterstützt werden (um zu überprüfen, welche Produkte nicht mehr unterstützt werden), besuchen Sie bitte das Digi-Kundenportal, wo Sie eine Liste der PCNs und EOL-Ankündigungen finden).

Für kritische Schwachstellen setzt Digi einen formellen Incident Management Prozess ein. Dieser Prozess beinhaltet die Bereitstellung angemessener Ressourcen für die Lösung des Problems, bis eine Lösung veröffentlicht wurde. Der Prozess umfasst interne Kommunikations- und Eskalationsverfahren, um sicherzustellen, dass die Lösung die höchstmögliche Priorität erhält.

Alle relevanten Schwachstellen werden laufend durch Aktualisierungen des Remote Manager-Dienstes mit Hilfe unserer Softwarekompositionsanalyse-Technologie behoben, es sei denn, in einem Sicherheitshinweis werden andere Informationen bereitgestellt.

Erhalt von Informationen über potenzielle Schwachstellen

Kunden und Partner können sich registrieren, um Informationen über potenzielle Schwachstellen zu erhalten, die gerade bewertet oder über das Digi Security Center behoben werden. Wenn Sie sicherstellen möchten, dass Sie die neuesten Updates erhalten, abonnieren Sie den RSS-Feed.