產品資安漏洞管理程序
Moxa 的產品資安漏洞管理程序分為五個階段,每一階段皆具有嚴謹的處理流程與作業。
- 首次事件回應:PSIRT 收到外部針對 Moxa 產品的漏洞回報後,通常將在兩個工作天內對回報者提出的疑慮作出回應。
- 評估與分類:PSIRT 對回報的產品資安漏洞進行分類與分析,以初步確認該漏洞對 Moxa 產品的影響程度。此階段完成後會提供初步評估結果給漏洞回報者。
- 調查:PSIRT 將與產品開發部門共同協作,確認漏洞的根因 (Root Cause) 及對 Moxa 產品的影響程度與範圍,並進一步針對根因分析出緩解與解決方式。在此階段,PSIRT 與回報者會保持積極的溝通。
- 修復:PSIRT 將與產品開發部門共同協作,進行最終軟/韌體修復方案或緩解措施的開發與驗證。同時,PSIRT 將持續關注相關漏洞訊息的更新以便正確評估漏洞的嚴重性。當開發完整修復方案所需的時間較長,同時漏洞可能造成使用者的高度資安風險時,Moxa 會在最終修復方案完成前,先提供客戶及時的替代緩解措施。
- 揭露:PSIRT 將根據產品資安漏洞的分析結果提供資安通告 (Security Advisory) 。內容包括:漏洞說明、可能受影響的產品與版本列表,以及緩解措施或修復計畫說明。
Moxa PSIRT 與研發團隊透過通用漏洞評分系統(Common Vulnerability Scoring System,CVSS)及 Moxa 風險漏洞管理模型(Moxa Risk-based Vulnerability Management Model),根據安全情境 (Security Context) 、漏洞被利用的可能性以及被利用時可能構成的影響等因素,評估該資安漏洞的潛在風險,並據此決定處理該漏洞之期程。
在確認該漏洞對 Moxa 產品可能的影響後,Moxa 隨即設置專用的測試環境,進一步驗證漏洞的有效性、嚴重性與影響力。必要時將與回報者/資安事件通報組織做進一步溝通。在確定漏洞的根因及其對 Moxa 產品的影響程度及範圍後,Moxa 會進行修復分析,並提供解決方案或緩解措施計畫。
關於產品資安通告的更新與發佈,請參考 Moxa 官網的「安全公告」頁面。Moxa 客戶可以通過 (1) 使用 RSS 閱讀器訂閱 Moxa 資安通告或(2)建立 Moxa 官網會員帳號並「關注更新」指定產品以獲得該產品最新的產品資安通告。