0-Day: Our Vulnerability Disclosure Guideline

Inhaltsverzeichnis

Description

Dieses Dokument beschreibt, wie wir mit der Entdeckung einer 0-Day Sicherheitslücke umgehen. Es ist eine Regel und Referenz für einen solchen Sicherheitsvorfall. Diese Norm gibt verbindliche Hinweise zur sachgerechten und sicheren Verarbeitung durch die ProSec GmbH

Disclosure Specification

Folgende Angaben müssen in die Offenlegung aufgenommen werden:

WORDEXPLANATION
Vulnerability typespecifies, which vulnerability type affects the finding.
Vulnerable versiondescribes the version associated with the vulnerability.
Vulnerable componentnames the susceptible devices of the vulnerability.
Report confidencehere you can find the detailed report of the vulnerability.
Fixed versionnames the repository version.
Vendor notificationexplains, what the vendor responds about this vulnerability.
Solution datespecifies the resolution date of the vulnerability.
CVE referenceis an industry standard, which aims to introduce a unified naming convention for vulnerabilities.
CWEis a category system for software weaknesses and vulnerabilities.
CVSSv3 Calculatorshows the components of the Common Vulnerability Scoring System.
Researcher Creditsnames the researcher who found the vulnerability
Vulnerability Detailsdescribes the exact details of the vulnerabilities and which devices are affected.
Riskdescribes the effects the vulnerability might have.
Steps to reproduceexplains the way to reconstruct the vulnerability.
Solutionshows a possible solution to fix the vulnerability
Historydescribes the history of the vulnerability, when it was identified and how it progressed further.

Das Unternehmen, das die Sicherheitslücke betrifft, muss den Pentester offiziell in
dem “Advisory” nennen. Darüber hinaus darf die ProSec GmbH die Firma als Referenz nennen.

Hast Du Fragen zur Guideline?
Wir beraten Dich gerne!
Jetzt Anfragen

Bug bounty

Besteht ein Bug-Bounty-Programm, ist die ProSec GmbH berechtigt, den Erlös einzufordern.

Public disclosure

Reagiert das betroffene Unternehmen nicht innerhalb von 14 Tagen auf die Bekanntgabe der Sicherheits
Lücke, wird die Offenlegung einschließlich der PoC-Codes veröffentlicht.

Reagiert das betroffene Unternehmen innerhalb von 14 Tagen auf die Offenlegung, wird eine koordinierte Offenlegung
durchgeführt; ist der Hersteller betroffen, wird eine gemeinsame  Lösung für des Problems gefunden.

Coordinated disclosure

Nachdem die Schwachstelle behoben wurde, warten wir 14 Tage bis zur Veröffentlichung (von der Offenlegung ausgenommen sind die PoC-Codes). Die Veröffentlichung gibt Kunden die Möglichkeit, die Schwachstellen durch Updates des Herstellers zu beheben. Unser Ziel bei dieser Strategie ist es nicht, Nachahmer zu schaffen. Um unseren Prozess zu veranschaulichen, finden Sie nachfolgend zwei Zeitleisten:

0-Day Our Vulnerability-Disclosure Guideline

Timeframe

Das Unternehmen, das von der Sicherheitslücke betroffen ist, muss innerhalb von 14 Tagen nach der Benachrichtigung durch die ProSec GmbH eine Stellungnahme an die security@prosec-networks.com abgeben. Erfolgt keine Information, ist die ProSec GmbH berechtigt, die Offenlegung zu veröffentlichen. Benötigt das Unternehmen oder der Hersteller mehr Zeit zur Behebung der Sicherheitslücke, wird eine gemeinsame Frist mit der ProSec GmbH vereinbart.

Supplementary agreement

Alle Beteiligten müssen sich über die Fristen und Konsequenzen dieser Offenlegung im Klaren sein.

Newsletter Form (#7)

Become a Cyber Security Insider

Sichere dir frühen Zugang und exklusive Inhalte!


Mit deiner Anmeldung erklärst du dich damit einverstanden, gelegentlich Marketing-E-Mails von uns zu erhalten.
ANDERE BEITRÄGE

Inhaltsverzeichnis

PSN_KU_Cover
NewsLetter Form Pop Up New

Become a Cyber Security Insider

Abonniere unsere Knowledge Base und erhalte:

Frühen Zugriff auf neue Blogbeiträge
Exklusive Inhalte
Regelmäßige Updates zu Branchentrends und Best Practices


Mit deiner Anmeldung erklärst du dich damit einverstanden, gelegentlich Marketing-E-Mails von uns zu erhalten.