Processo de resposta a vulnerabilidades
Princípios de gerenciamento de vulnerabilidades da Huawei
Uma das nossas principais estratégias de desenvolvimento é apoiar a construção contínua e a implementação completa de um "sistema global de garantia de segurança cibernética de ponta a ponta". Diante disso, estabelecemos um sistema de gestão de vulnerabilidades sustentável e confiável, abrangendo políticas, organizações, processos, gestão, tecnologias e especificações. Além disso, continuamos a enfrentar os desafios de forma aberta e em conjunto com stakeholders externos.
Para esclarecer a nossa posição básica e planos sobre vulnerabilidades, listamos cinco princípios básicos para a gestão de vulnerabilidades:
1. Redução de danos e riscos
Reduzir ou eliminar os danos e riscos de segurança causados aos clientes/usuários pelas vulnerabilidades dos produtos/serviços da Huawei é a nossa visão para o gerenciamento de vulnerabilidades e a diretriz que seguimos no tratamento e divulgação de vulnerabilidades.
2. Redução e mitigação da vulnerabilidade
Apesar de ser consenso na indústria o fato de que as vulnerabilidades são inevitáveis, ainda assim nos esforçamos para: (1) Tomar medidas para reduzir as vulnerabilidades nos nossos produtos e serviços. (2) Fornecer prontamente mitigações de risco aos clientes/usuários após serem encontradas vulnerabilidades em nossos produtos e serviços.
3. Gestão proativa
As questões de vulnerabilidade têm de ser resolvidas em conjunto com os parceiros a montante e a jusante em toda a cadeia de abastecimento. Identificamos ativamente nossas responsabilidades e requisitos de gerenciamento de vulnerabilidades (incluindo leis/regulamentos aplicáveis sobre operação comercial, requisitos contratuais e padrões públicos aplicáveis) e construímos um sistema para gerenciar vulnerabilidades de forma proativa.
4. Otimização contínua
As ameaças evoluem continuamente, o que significa que a segurança cibernética é um processo em constante evolução, no qual os defensores precisam inovar constantemente. Continuaremos a otimizar nossos processos e padrões de gestão de vulnerabilidades, aprender com os padrões e melhores práticas do setor e melhorar nossa maturidade em gestão de vulnerabilidades.
5. Abertura e colaboração
Continuaremos a manter uma atitude aberta e cooperativa para fortalecer a nossa ligação com a cadeia de abastecimento e o ecossistema de segurança externo, incluindo os nossos parceiros a montante e a jusante na cadeia de abastecimento, investigadores de segurança, empresas de segurança e reguladores de segurança. Nos nossos esforços de gestão de vulnerabilidades, ampliaremos a colaboração com as partes interessadas e construiremos parcerias confiáveis.
Em conformidade com esses princípios e com os padrões da indústria ISO/IEC 30111, ISO/IEC 29147 e ISO/SAE 21434, estabelecemos um processo robusto de gerenciamento de vulnerabilidades. Sempre defendemos as nossas responsabilidades e nos esforçamos para fazer todos os esforços possíveis para proteger os clientes e reduzir os riscos causados pela exploração de vulnerabilidades.
Processo de tratamento de vulnerabilidades
Estamos empenhados em melhorar a segurança dos nossos produtos para apoiar totalmente as operações seguras das redes e serviços dos clientes. Sempre atribuímos grande importância ao gerenciamento de vulnerabilidades no desenvolvimento e manutenção de produtos e estabelecemos um processo robusto de tratamento de vulnerabilidades, baseado nos padrões ISO/IEC 30111 e ISO/IEC 29147, para melhorar a segurança do produto e garantir uma resposta oportuna às vulnerabilidades.
- Conscientização sobre vulnerabilidades: Receber e coletar vulnerabilidades suspeitas em produtos.
- Validação e avaliação: Confirmar a validade e o escopo do impacto das vulnerabilidades suspeitas.
- Correção de vulnerabilidades: Desenvolver e implementar soluções de correção de vulnerabilidades.
- Divulgação de informações de correção: Divulgar informações de correção de vulnerabilidade aos clientes.
- Melhoria de ciclo fechado: Promover melhorias contínuas com base nos comentários e práticas dos clientes.
Tomar conhecimento das vulnerabilidades imediatamente é um pré-requisito crítico para uma resposta oportuna. Incentivamos pesquisadores de segurança, organizações do setor, clientes e fornecedores a relatarem proativamente suspeitas de vulnerabilidades ao nosso PSIRT e exigimos que os fornecedores upstream nos relatem prontamente as vulnerabilidades nos produtos. Enquanto isso, monitoramos proativamente bancos de dados de vulnerabilidades públicas bem conhecidas, comunidades de código aberto, sites de segurança e outras fontes para detectar rapidamente vulnerabilidades relacionadas aos produtos Huawei. Gerenciamos todas as vulnerabilidades suspeitas que conhecemos e investigamos o impacto em todas as versões de produtos que não atingiram o fim do serviço e suporte (EOS). Com base nas melhores práticas do setor, recomendamos fortemente que os clientes revisem regularmente a disponibilidade do suporte ao produto para garantir que tenham direito a atualizações de software.
Depois de receber qualquer suspeita de vulnerabilidade, nosso PSIRT trabalhará com a equipe de produto relevante para analisar/validar a vulnerabilidade, avaliar sua gravidade com base em seu impacto real nos produtos, determinar sua prioridade de correção e desenvolver correções (incluindo mitigações, patches/versões e outras mitigações de risco que podem ser implementadas pelos clientes). Seguindo os princípios de redução de danos e riscos, divulgamos informações sobre vulnerabilidades às partes interessadas e ajudamos os clientes a avaliar os riscos reais de vulnerabilidades nas suas redes.
Ao descobrir vulnerabilidades nos produtos ou serviços vindas de um fornecedor durante o desenvolvimento, entrega e implantação do produto, entraremos em contato proativamente com o fornecedor para correção da vulnerabilidade. Para vulnerabilidades de software de código aberto, cumprimos as políticas de gestão de vulnerabilidades das comunidades de código aberto, submetemos vulnerabilidades suspeitas às comunidades, promovemos as comunidades para liberar remediações em tempo hábil e contribuímos ativamente com nossas remediações para as comunidades.
Nosso PSIRT coordenará com os repórteres para lidar com as vulnerabilidades. Podemos atuar como coordenadores ou contratar um centro de coordenação terceirizado para transferir informações sobre vulnerabilidades a outros fornecedores e organizações de padrões para promover a resolução de vulnerabilidades. Se a vulnerabilidade envolver protocolos padrão, é recomendado que o relator notifique as organizações do setor ao reportá-la ao nosso PSIRT. Por exemplo, vulnerabilidades relacionadas aos protocolos 3GPP podem ser relatadas ao programa de Divulgação Coordenada de Vulnerabilidades (CVD) da GSMA..
Aderindo ao princípio da otimização contínua, melhoraremos continuamente a segurança do nosso produto e o processo de tratamento de vulnerabilidades.
Durante todo o processo de tratamento de vulnerabilidades, nosso PSIRT garante estritamente que as informações de vulnerabilidade sejam transferidas apenas entre manipuladores relevantes. Solicitamos sinceramente que se mantenha as informações confidenciais até que uma solução completa esteja disponível para nossos clientes.
Tomaremos as medidas necessárias e razoáveis para proteger os dados obtidos com base nos requisitos de conformidade legal. Não compartilharemos ou divulgaremos proativamente os dados a terceiros, a menos que exigido de outra forma por lei ou pelo cliente afetado.
Classificação de gravidade da vulnerabilidade
Avaliamos a gravidade das vulnerabilidades suspeitas em nossos produtos com base nos padrões do setor. Tomemos como exemplo o Common Vulnerability Scoring System (CVSS). Ele é composto por três grupos de métricas: Base, Temporal e Ambiental. Geralmente fornecemos a pontuação base e, em alguns casos, fornecemos a pontuação temporal e a pontuação ambiental de cenários típicos. Incentivamos os usuários finais a avaliar a pontuação ambiental real com base nas condições de sua rede. Essa pontuação é usada como pontuação final de vulnerabilidade no ambiente específico para apoiar a tomada de decisões sobre a implantação de mitigação de vulnerabilidades.
Na Huawei Cloud, as vulnerabilidades são priorizadas com base no resultado da avaliação de risco de exploração de vulnerabilidades. Na BU de Soluções Automotivas Inteligentes (IAS), as gravidades das vulnerabilidades são avaliadas com base no impacto real nos produtos de acordo com a ISO/SAE 21434, e as prioridades de remediação de vulnerabilidades são determinadas com base em suas gravidades.
Diferentes padrões são adotados em diferentes setores. Usamos o Security Severity Rating (SSR) como uma forma mais simples de classificar vulnerabilidades. Com o SSR, podemos classificar as vulnerabilidades como críticas, altas, médias, baixas e informativas com base na pontuação geral de gravidade.
Vulnerabilidade de software de terceiros
Considerando vários cenários em que software/componentes de terceiros são integrados em nossos produtos de diferentes maneiras, ajustaremos as pontuações de vulnerabilidade de software/componentes de terceiros com base em cenários específicos para refletir o impacto real das vulnerabilidades. Por exemplo, se o módulo afetado no software/componente de terceiros não for chamado, a vulnerabilidade será considerada “não explorável e não terá impacto”. Se uma dimensão não estiver coberta no sistema de avaliação existente, a Huawei será responsável pela interpretação do resultado da avaliação.
Consideramos uma vulnerabilidade de alto perfil quando todas as seguintes condições são atendidas:
- A pontuação CVSS é 4.0 ou superior.
- Despertou ampla atenção do público.
- A vulnerabilidade provavelmente será explorada ou já foi explorada, ou pode ser explorada de forma selvagem.
Para uma vulnerabilidade de terceiros de alto perfil, investigaremos todas as versões do produto que não atingiram o EOS e lançaremos um aviso de segurança (SN) dentro de 24 horas após a vulnerabilidade ser confirmada como de alto perfil para notificar os clientes relacionados sobre o progresso do tratamento. Quando uma mitigação de vulnerabilidade estiver disponível, lançaremos um comunicado de segurança (SA) para apoiar os clientes na tomada de decisões e mitigação de riscos. Para vulnerabilidades de terceiros que não são classificadas como de alto perfil, nós as descrevemos nas notas de versão (RNs).
Boletins de Vulnerabilidade
Publicações
Divulgamos informações sobre vulnerabilidades e soluções nas seguintes publicações:
- SA: Uma SA informa sobre a correção, contendo informações como gravidade da vulnerabilidade, impacto do serviço e correção. Vulnerabilidades críticas e de alto risco diretamente relacionadas aos produtos Huawei e as correções correspondentes são liberadas por meio de SAs. As SAs oferecem a opção de baixar o Common Vulnerability Reporting Framework (CVRF), que foi projetado para descrever vulnerabilidades em formato legível por máquina (arquivo XML) para que os clientes afetados possam usá-lo com suas ferramentas.
- SN: SNs respondem a tópicos de segurança pública (relacionados a vulnerabilidades ou outros tópicos) em produtos. As informações sobre as questões cuja SSR é informativa (por exemplo, uma questão discutida em um blog, uma lista de discussão ou outros fóruns públicos) são divulgadas através de SNs. Além disso, os SNs também podem ser usados para notificar os clientes sobre o progresso da nossa resposta à vulnerabilidade em determinados cenários, por exemplo, a vulnerabilidade de uma versão de produto da Huawei pode despertar ampla preocupação pública ou foi detectada em explorações selvagens.
- RN: RNs contêm informações sobre vulnerabilidades corrigidas. Um RN faz parte das entregas lançadas com uma versão/patch do produto, descrevendo vulnerabilidades cujo SSR é médio ou baixo. Os RNs também cobrem as vulnerabilidades e as correções correspondentes liberadas por meio de SAs. Isso ajuda os clientes a avaliar de forma abrangente os riscos de vulnerabilidade na versão/patch. Para nuvens privadas, os RNs estão contidos nos documentos de versão dos produtos de serviços em nuvem. Para produtos de consumo, as RNs estão contidas em boletins de rotina.
Canais
A Huawei lança SAs e SNs para manter os clientes informados sobre informações de correção de vulnerabilidades. Os RNs fazem parte das entregas lançadas com uma versão/patch do produto e os clientes podem obtê-los junto com a versão/patch do produto.
Plano
Se uma ou mais das seguintes condições forem atendidas, lançaremos um SN ou SA para facilitar aos clientes a tomada de decisões sobre riscos de rede ativa.
- A vulnerabilidade SSR é crítica ou alta. Concluímos o processo de resposta a vulnerabilidades e somos capazes de fornecer uma solução de correção de vulnerabilidades para apoiar a mitigação de riscos pelo cliente em sua rede ativa.
- Os clientes estão expostos a riscos crescentes porque uma vulnerabilidade numa versão de produto da Huawei pode suscitar grande preocupação pública ou foi detectada em explorações à solta. Nesse caso, aceleraremos nossa resposta, liberaremos um SN dentro de 24 horas após a confirmação da condição mencionada e manteremos os clientes informados sobre nosso progresso no tratamento da vulnerabilidade.
- Para minimizar os riscos cibernéticos globais, aderimos à política de divulgação coordenada de vulnerabilidades (CVD) ao coordenar com terceiros o cronograma de divulgação.
Agenda
Para melhor ajudar os clientes a desenvolver seus planos de implantação de patches e avaliar os riscos, lançamos SAs regularmente (às quartas-feiras). Além disso, liberamos SAs fora deste cronograma nos seguintes casos (não exaustivos):
- Quando notamos explorações ativas de vulnerabilidades.
- Quando notamos uma grande preocupação do público sobre vulnerabilidades em nossos produtos.
- Quando colaboramos com terceiros para divulgar vulnerabilidades.
Observação: para a Huawei Cloud, divulgaremos informações sobre vulnerabilidades e soluções de correção com referência ao White Paper de segurança da Huawei Cloud. Para produtos de consumo, geralmente divulgamos informações sobre vulnerabilidades e soluções de remediação em boletins de rotina.
Como obter atualizações de software
O gerenciamento de vulnerabilidades é baseado em marcos do ciclo de vida de versões de produtos/software. A Huawei PSIRT gerencia as vulnerabilidades de todos os produtos/versões antes que cheguem ao EOS. A correção da vulnerabilidade é fornecida antes do Fim do Suporte Total (EOFS). Vulnerabilidades cujo SSR é crítico ou alto são corrigidas conforme apropriado após o EOFS. Uma equipe de produto pode usar marcos que não estão definidos nesta política. Para obter detalhes sobre o suporte à correção de vulnerabilidades em outros marcos, consulte a documentação específica do produto.
Você pode mitigar os riscos de vulnerabilidade corrigindo ou atualizando para uma nova versão de produto/software de acordo com o contrato. Você só pode obter e usar versões de software que tenham licenças válidas (ativadas na rede ativa). Os produtos/versões que têm vulnerabilidades corrigidas não dão aos clientes o direito a novas licenças de software, outras funções/recursos de software ou atualizações de versões principais. Você pode entrar em contato com os engenheiros de suporte da Huawei ou com o TAC para obter versões ou patches:
Se você é cliente da Huawei Carrier BG, clique aqui.
Se você é cliente da Huawei Enterprise BG, clique aqui.
Se você é cliente da Huawei Consumer BG, pode realizar uma atualização online ou clicar aqui.
Se você é cliente da Huawei Cloud, clique aqui.
Se você é cliente da HiSilicon (Xangai), clique aqui.
Se você for cliente do Huawei Enterprise BG, consulte a Política de Fim de Vida do Produto (https://support.huawei.com/enterprise/en/warranty-policy) do Enterprise BG para saber detalhes sobre a correção de vulnerabilidades no produto vida útil. Para obter detalhes sobre os recursos de correção de vulnerabilidades de produtos ou versões de software específicos, consulte os boletins de ciclo de vida do produto clicando aqui.
Isenção de responsabilidade e direitos reservados
Se este documento estiver disponível em vários idiomas, a versão chinesa prevalecerá. A política descrita neste documento não constitui garantias, compromissos ou partes contratuais. A Huawei poderá ajustá-lo conforme apropriado.
Reservamo-nos o direito de alterar ou atualizar este documento a qualquer momento, conforme necessário para aumentar a transparência ou responder de forma mais ativa. Exemplos de atualizações incluem:
- Feedback de clientes, reguladores, indústria ou outros stakeholders interessados
- Mudanças na política geral
- Introdução de melhores práticas
À medida que alterações nesta política forem publicadas, revisaremos a “Data de atualização” na parte inferior desta política.
Definição
A tabela a seguir lista as definições usadas nesta política.
Atualizado em 2022.1.18