Zielsetzung
Diese Richtlinie soll die Standards von Digi für die Reaktion auf bekannte potenzielle Sicherheitsschwachstellen in der Cloud-Version von Digi Remote Managerbeschreiben und gilt nicht für die On-Premise-Version. Sie definiert die Richtlinien von Digi für die Kommunikation potenzieller Schwachstellen und die Bereitstellung von Lösungen für Kunden.
Umfang
Diese Richtlinie bezieht sich speziell auf Sicherheitsschwachstellen in Digi Remote Manager. Wir definieren eine Sicherheitslücke als eine unbeabsichtigte Schwäche oder einen Fehler in der Software, der von einem Bedrohungsagenten ausgenutzt werden kann, um das Netzwerk eines Kunden zu gefährden.
Diese Richtlinie gilt nicht für den allgemeinen Support und den Lösungsprozess für nicht sicherheitsrelevante Fehler. Weitere Informationen zu allgemeinen Support-Richtlinien finden Sie unter Support & Helpdesk Ops.
Publikum
Diese Richtlinie ist für Partner und Kunden von Digi bestimmt.
Einführung
Digi Remote Manager dient der sicheren Konfiguration, Bereitstellung und Überwachung von Anlagen in Kundennetzen. Unser Produkt umfasst viele Sicherheitsfunktionen wie: RBAC, sichere Bereitstellung, Sicherheitsrichtlinien (CIDR-Blockbereiche für den Webzugriff usw.), DUO 2FA-fähig, SAML, Push/Pull-Überwachung von Ereignisprotokollen und Warnmeldungen mithilfe des Konfigurationsmanagers. Alle Vorgänge sind API-programmierbar, so dass Gerätekonfiguration, Protokolle oder Verhalten leicht durch kundenspezifische Lösungen überwacht werden können.
Digi welcomes the transparent reporting of vulnerabilities and is committed to resolving them in a timely manner. In addition to reporting by users, Digi actively searches for vulnerabilities through internal testing, static/dynamic code analysis, internal/external penetration testing and assessing new CVEs continously with next generation software composition analysis. The vulnerabilities may be discovered through internal security testing, reported publicly as a Common Vulnerability and Exposure (CVE), or discovered by an independent security assessment, a customer, or another party.
Digi ist bestrebt, die Auswirkungen aller gemeldeten Schwachstellen schnell zu bewerten. Wenn sehr spezifische kritische Schwachstellen oder Zero-Day-Exploits auftreten, können wir einen Hinweis veröffentlichen, um unsere Kunden über die Auswirkungen und den Zeitplan für Patches oder Abhilfemaßnahmen zu informieren.
Meldung potenzieller Schwachstellen
Kunden oder Partner, bei denen Sicherheitsprobleme mit Digi Remote Manager auftreten, werden gebeten, das Problem so bald wie möglich über das Digi-Sicherheitsformular zu melden. Wenn Sie eine potenzielle Schwachstelle melden, geben Sie bitte so viele Informationen wie möglich (einschließlich der CVE-Nummer, falls verfügbar) über die Umstände, einen Konzeptnachweis, falls zutreffend, die potenziellen Auswirkungen und Ihre Kontaktinformationen an, damit wir während der Triage kommunizieren können.
Bewertung potenzieller Schwachstellen
Digi verwendet das Common Vulnerability Scoring System (CVSS 3.0). Der ermittelte CVSS-Score spiegelt die potenzielle Sicherheitsbedrohung der Schwachstelle im Kontext des Digi-Produktdesigns wider. Das Sicherheits- und Technikteam von Digi behält sich das Recht vor, den CVSS-Score intern neu zu klassifizieren, um die Wahrscheinlichkeit von Auswirkungen auf unsere Produkte auf der Grundlage der Implementierung zu bestimmen. Für den Fall, dass ein Verbraucher von Digi-Produkten und -Dienstleistungen Fragen zu den getroffenen Festlegungen hat, kann ein Vektorstring unter Verwendung von CVSS V3 des von Digi ermittelten Scores zur Klärung über eine Supportanfrage an folgende Adresse übermittelt werden Digi-Support.
Informationen und Fristen für die Lösung
Der CVSS 3.0-Score wird verwendet, um Prioritäten zu setzen und Ziele für die Kommunikation und Problemlösung wie folgt festzulegen:
| Schweregrad |
CVSS 3.0 |
Auflösung Ziel |
| Kritisch |
9.0-10.0 |
Patch-Veröffentlichung innerhalb von 30 Tagen |
| Hoch |
7.0-8.9 |
Patch-Veröffentlichung innerhalb von 30 Tagen |
| Major |
4.0-6.9 |
Patch-Veröffentlichung innerhalb von 90 Tagen |
| Kleinere |
N/A |
Zukünftige Veröffentlichung |
| Keine Verwundbarkeit |
N/A |
N/A |
Beseitigung potenzieller Schwachstellen>
Digi nimmt Sicherheitslücken ernst und ist bestrebt, Kunden und Partnern in Übereinstimmung mit den Lösungsvorgaben Lösungen zur Verfügung zu stellen. Für alle Produkte, die derzeit unterstützt werden (um zu überprüfen, welche Produkte nicht mehr unterstützt werden), besuchen Sie bitte das Digi-Kundenportal, wo Sie eine Liste der PCNs und EOL-Ankündigungen finden).
Für kritische Schwachstellen setzt Digi einen formellen Incident Management Prozess ein. Dieser Prozess beinhaltet die Bereitstellung angemessener Ressourcen für die Lösung des Problems, bis eine Lösung veröffentlicht wurde. Der Prozess umfasst interne Kommunikations- und Eskalationsverfahren, um sicherzustellen, dass die Lösung die höchstmögliche Priorität erhält.
Alle relevanten Schwachstellen werden laufend durch Aktualisierungen des Remote Manager-Dienstes mit Hilfe unserer Softwarekompositionsanalyse-Technologie behoben, es sei denn, in einem Sicherheitshinweis werden andere Informationen bereitgestellt.
Erhalt von Informationen über potenzielle Schwachstellen
Kunden und Partner können sich registrieren, um Informationen über potenzielle Schwachstellen zu erhalten, die gerade bewertet oder über das Digi Security Center behoben werden. Wenn Sie sicherstellen möchten, dass Sie die neuesten Updates erhalten, abonnieren Sie den RSS-Feed.