Princípios de gerenciamento de vulnerabilidades da Huawei

Uma das nossas principais estratégias de desenvolvimento é apoiar a constru??o contínua e a implementa??o completa de um "sistema global de garantia de seguran?a cibernética de ponta a ponta". Diante disso, estabelecemos um sistema de gest?o de vulnerabilidades sustentável e confiável, abrangendo políticas, organiza??es, processos, gest?o, tecnologias e especifica??es. Além disso, continuamos a enfrentar os desafios de forma aberta e em conjunto com stakeholders externos.

Para esclarecer a nossa posi??o básica e planos sobre vulnerabilidades, listamos cinco princípios básicos para a gest?o de vulnerabilidades:

1. Redu??o de danos e riscos

Reduzir ou eliminar os danos e riscos de seguran?a causados ​​aos clientes/usuários pelas vulnerabilidades dos produtos/servi?os da Huawei é a nossa vis?o para o gerenciamento de vulnerabilidades e a diretriz que seguimos no tratamento e divulga??o de vulnerabilidades.

2. Redu??o e mitiga??o da vulnerabilidade

Apesar de ser consenso na indústria o fato de que as vulnerabilidades s?o inevitáveis, ainda assim nos esfor?amos para: (1) Tomar medidas para reduzir as vulnerabilidades nos nossos produtos e servi?os. (2) Fornecer prontamente mitiga??es de risco aos clientes/usuários após serem encontradas vulnerabilidades em nossos produtos e servi?os.

3. Gest?o proativa

As quest?es de vulnerabilidade têm de ser resolvidas em conjunto com os parceiros a montante e a jusante em toda a cadeia de abastecimento. Identificamos ativamente nossas responsabilidades e requisitos de gerenciamento de vulnerabilidades (incluindo leis/regulamentos aplicáveis ​​sobre opera??o comercial, requisitos contratuais e padr?es públicos aplicáveis) e construímos um sistema para gerenciar vulnerabilidades de forma proativa.

4. Otimiza??o contínua

As amea?as evoluem continuamente, o que significa que a seguran?a cibernética é um processo em constante evolu??o, no qual os defensores precisam inovar constantemente. Continuaremos a otimizar nossos processos e padr?es de gest?o de vulnerabilidades, aprender com os padr?es e melhores práticas do setor e melhorar nossa maturidade em gest?o de vulnerabilidades.

5. Abertura e colabora??o

Continuaremos a manter uma atitude aberta e cooperativa para fortalecer a nossa liga??o com a cadeia de abastecimento e o ecossistema de seguran?a externo, incluindo os nossos parceiros a montante e a jusante na cadeia de abastecimento, investigadores de seguran?a, empresas de seguran?a e reguladores de seguran?a. Nos nossos esfor?os de gest?o de vulnerabilidades, ampliaremos a colabora??o com as partes interessadas e construiremos parcerias confiáveis.

Em conformidade com esses princípios e com os padr?es da indústria ISO/IEC 30111, ISO/IEC 29147 e ISO/SAE 21434, estabelecemos um processo robusto de gerenciamento de vulnerabilidades. Sempre defendemos as nossas responsabilidades e nos esfor?amos para fazer todos os esfor?os possíveis para proteger os clientes e reduzir os riscos causados ​​pela explora??o de vulnerabilidades.

Processo de tratamento de vulnerabilidades

Estamos empenhados em melhorar a seguran?a dos nossos produtos para apoiar totalmente as opera??es seguras das redes e servi?os dos clientes. Sempre atribuímos grande importancia ao gerenciamento de vulnerabilidades no desenvolvimento e manuten??o de produtos e estabelecemos um processo robusto de tratamento de vulnerabilidades, baseado nos padr?es ISO/IEC 30111 e ISO/IEC 29147, para melhorar a seguran?a do produto e garantir uma resposta oportuna às vulnerabilidades.

1. Conscientiza??o sobre vulnerabilidades: Receber e coletar vulnerabilidades suspeitas em produtos.
2. Valida??o e avalia??o: Confirmar a validade e o escopo do impacto das vulnerabilidades suspeitas.
3. Corre??o de vulnerabilidades: Desenvolver e implementar solu??es de corre??o de vulnerabilidades.
4. Divulga??o de informa??es de corre??o: Divulgar informa??es de corre??o de vulnerabilidade aos clientes.
5. Melhoria de ciclo fechado: Promover melhorias contínuas com base nos comentários e práticas dos clientes.

Tomar conhecimento das vulnerabilidades imediatamente é um pré-requisito crítico para uma resposta oportuna. Incentivamos pesquisadores de seguran?a, organiza??es do setor, clientes e fornecedores a relatarem proativamente suspeitas de vulnerabilidades ao nosso PSIRT e exigimos que os fornecedores upstream nos relatem prontamente as vulnerabilidades nos produtos. Enquanto isso, monitoramos proativamente bancos de dados de vulnerabilidades públicas bem conhecidas, comunidades de código aberto, sites de seguran?a e outras fontes para detectar rapidamente vulnerabilidades relacionadas aos produtos Huawei. Gerenciamos todas as vulnerabilidades suspeitas que conhecemos e investigamos o impacto em todas as vers?es de produtos que n?o atingiram o fim do servi?o e suporte (EOS). Com base nas melhores práticas do setor, recomendamos fortemente que os clientes revisem regularmente a disponibilidade do suporte ao produto para garantir que tenham direito a atualiza??es de software.

 Depois de receber qualquer suspeita de vulnerabilidade, nosso PSIRT trabalhará com a equipe de produto relevante para analisar/validar a vulnerabilidade, avaliar sua gravidade com base em seu impacto real nos produtos, determinar sua prioridade de corre??o e desenvolver corre??es (incluindo mitiga??es, patches/vers?es e outras mitiga??es de risco que podem ser implementadas pelos clientes). Seguindo os princípios de redu??o de danos e riscos, divulgamos informa??es sobre vulnerabilidades às partes interessadas e ajudamos os clientes a avaliar os riscos reais de vulnerabilidades nas suas redes.

Ao descobrir vulnerabilidades nos produtos ou servi?os vindas de um fornecedor durante o desenvolvimento, entrega e implanta??o do produto, entraremos em contato proativamente com o fornecedor para corre??o da vulnerabilidade. Para vulnerabilidades de software de código aberto, cumprimos as políticas de gest?o de vulnerabilidades das comunidades de código aberto, submetemos vulnerabilidades suspeitas às comunidades, promovemos as comunidades para liberar remedia??es em tempo hábil e contribuímos ativamente com nossas remedia??es para as comunidades.

Nosso PSIRT coordenará com os repórteres para lidar com as vulnerabilidades. Podemos atuar como coordenadores ou contratar um centro de coordena??o terceirizado para transferir informa??es sobre vulnerabilidades a outros fornecedores e organiza??es de padr?es para promover a resolu??o de vulnerabilidades. Se a vulnerabilidade envolver protocolos padr?o, é recomendado que o relator notifique as organiza??es do setor ao reportá-la ao nosso PSIRT. Por exemplo, vulnerabilidades relacionadas aos protocolos 3GPP podem ser relatadas ao .

Aderindo ao princípio da otimiza??o contínua, melhoraremos continuamente a seguran?a do nosso produto e o processo de tratamento de vulnerabilidades.

Durante todo o processo de tratamento de vulnerabilidades, nosso PSIRT garante estritamente que as informa??es de vulnerabilidade sejam transferidas apenas entre manipuladores relevantes. Solicitamos sinceramente que se mantenha as informa??es confidenciais até que uma solu??o completa esteja disponível para nossos clientes.

Tomaremos as medidas necessárias e razoáveis ​​para proteger os dados obtidos com base nos requisitos de conformidade legal. N?o compartilharemos ou divulgaremos proativamente os dados a terceiros, a menos que exigido de outra forma por lei ou pelo cliente afetado.

Classifica??o de gravidade da vulnerabilidade

Avaliamos a gravidade das vulnerabilidades suspeitas em nossos produtos com base nos padr?es do setor. Tomemos como exemplo o . Ele é composto por três grupos de métricas: Base, Temporal e Ambiental. Geralmente fornecemos a pontua??o base e, em alguns casos, fornecemos a pontua??o temporal e a pontua??o ambiental de cenários típicos. Incentivamos os usuários finais a avaliar a pontua??o ambiental real com base nas condi??es de sua rede. Essa pontua??o é usada como pontua??o final de vulnerabilidade no ambiente específico para apoiar a tomada de decis?es sobre a implanta??o de mitiga??o de vulnerabilidades.

Na Huawei Cloud, as vulnerabilidades s?o priorizadas com base no resultado da avalia??o de risco de explora??o de vulnerabilidades. Na BU de Solu??es Automotivas Inteligentes (IAS), as gravidades das vulnerabilidades s?o avaliadas com base no impacto real nos produtos de acordo com a ISO/SAE 21434, e as prioridades de remedia??o de vulnerabilidades s?o determinadas com base em suas gravidades.

Diferentes padr?es s?o adotados em diferentes setores. Usamos o Security Severity Rating (SSR) como uma forma mais simples de classificar vulnerabilidades. Com o SSR, podemos classificar as vulnerabilidades como críticas, altas, médias, baixas e informativas com base na pontua??o geral de gravidade.

Vulnerabilidade de software de terceiros

Considerando vários cenários em que software/componentes de terceiros s?o integrados em nossos produtos de diferentes maneiras, ajustaremos as pontua??es de vulnerabilidade de software/componentes de terceiros com base em cenários específicos para refletir o impacto real das vulnerabilidades. Por exemplo, se o módulo afetado no software/componente de terceiros n?o for chamado, a vulnerabilidade será considerada “n?o explorável e n?o terá impacto”. Se uma dimens?o n?o estiver coberta no sistema de avalia??o existente, a Huawei será responsável pela interpreta??o do resultado da avalia??o.

Consideramos uma vulnerabilidade de alto perfil quando todas as seguintes condi??es s?o atendidas:

• A pontua??o CVSS é 4.0 ou superior.
• Despertou ampla aten??o do público.
• A vulnerabilidade provavelmente será explorada ou já foi explorada, ou pode ser explorada de forma selvagem.

Para uma vulnerabilidade de terceiros de alto perfil, investigaremos todas as vers?es do produto que n?o atingiram o EOS e lan?aremos um aviso de seguran?a (SN) dentro de 24 horas após a vulnerabilidade ser confirmada como de alto perfil para notificar os clientes relacionados sobre o progresso do tratamento. Quando uma mitiga??o de vulnerabilidade estiver disponível, lan?aremos um comunicado de seguran?a (SA) para apoiar os clientes na tomada de decis?es e mitiga??o de riscos. Para vulnerabilidades de terceiros que n?o s?o classificadas como de alto perfil, nós as descrevemos nas notas de vers?o (RNs).

Boletins de Vulnerabilidade

Publica??es

Divulgamos informa??es sobre vulnerabilidades e solu??es nas seguintes publica??es:

• SA: Uma SA informa sobre a corre??o, contendo informa??es como gravidade da vulnerabilidade, impacto do servi?o e corre??o. Vulnerabilidades críticas e de alto risco diretamente relacionadas aos produtos Huawei e as corre??es correspondentes s?o liberadas por meio de SAs. As SAs oferecem a op??o de baixar o Common Vulnerability Reporting Framework (CVRF), que foi projetado para descrever vulnerabilidades em formato legível por máquina (arquivo XML) para que os clientes afetados possam usá-lo com suas ferramentas.
• SN: SNs respondem a tópicos de seguran?a pública (relacionados a vulnerabilidades ou outros tópicos) em produtos. As informa??es sobre as quest?es cuja SSR é informativa (por exemplo, uma quest?o discutida em um blog, uma lista de discuss?o ou outros fóruns públicos) s?o divulgadas através de SNs. Além disso, os SNs também podem ser usados ​​para notificar os clientes sobre o progresso da nossa resposta à vulnerabilidade em determinados cenários, por exemplo, a vulnerabilidade de uma vers?o de produto da Huawei pode despertar ampla preocupa??o pública ou foi detectada em explora??es selvagens.
• RN: RNs contêm informa??es sobre vulnerabilidades corrigidas. Um RN faz parte das entregas lan?adas com uma vers?o/patch do produto, descrevendo vulnerabilidades cujo SSR é médio ou baixo. Os RNs também cobrem as vulnerabilidades e as corre??es correspondentes liberadas por meio de SAs. Isso ajuda os clientes a avaliar de forma abrangente os riscos de vulnerabilidade na vers?o/patch. Para nuvens privadas, os RNs est?o contidos nos documentos de vers?o dos produtos de servi?os em nuvem. Para produtos de consumo, as RNs est?o contidas em boletins de rotina.

Canais

A Huawei lan?a SAs e SNs para manter os clientes informados sobre informa??es de corre??o de vulnerabilidades. Os RNs fazem parte das entregas lan?adas com uma vers?o/patch do produto e os clientes podem obtê-los junto com a vers?o/patch do produto.

Plano

Se uma ou mais das seguintes condi??es forem atendidas, lan?aremos um SN ou SA para facilitar aos clientes a tomada de decis?es sobre riscos de rede ativa.

• A vulnerabilidade SSR é crítica ou alta. Concluímos o processo de resposta a vulnerabilidades e somos capazes de fornecer uma solu??o de corre??o de vulnerabilidades para apoiar a mitiga??o de riscos pelo cliente em sua rede ativa.
• Os clientes est?o expostos a riscos crescentes porque uma vulnerabilidade numa vers?o de produto da Huawei pode suscitar grande preocupa??o pública ou foi detectada em explora??es à solta. Nesse caso, aceleraremos nossa resposta, liberaremos um SN dentro de 24 horas após a confirma??o da condi??o mencionada e manteremos os clientes informados sobre nosso progresso no tratamento da vulnerabilidade.
• Para minimizar os riscos cibernéticos globais, aderimos à política de divulga??o coordenada de vulnerabilidades (CVD) ao coordenar com terceiros o cronograma de divulga??o.

Agenda

Para melhor ajudar os clientes a desenvolver seus planos de implanta??o de patches e avaliar os riscos, lan?amos SAs regularmente (às quartas-feiras). Além disso, liberamos SAs fora deste cronograma nos seguintes casos (n?o exaustivos):

• Quando notamos explora??es ativas de vulnerabilidades.
• Quando notamos uma grande preocupa??o do público sobre vulnerabilidades em nossos produtos.
• Quando colaboramos com terceiros para divulgar vulnerabilidades.

Observa??o: para a Huawei Cloud, divulgaremos informa??es sobre vulnerabilidades e solu??es de corre??o com referência ao White Paper de seguran?a da Huawei Cloud. Para produtos de consumo, geralmente divulgamos informa??es sobre vulnerabilidades e solu??es de remedia??o em boletins de rotina.

Como obter atualiza??es de software

 O gerenciamento de vulnerabilidades é baseado em marcos do ciclo de vida de vers?es de produtos/software. A Huawei PSIRT gerencia as vulnerabilidades de todos os produtos/vers?es antes que cheguem ao EOS. A corre??o da vulnerabilidade é fornecida antes do Fim do Suporte Total (EOFS). Vulnerabilidades cujo SSR é crítico ou alto s?o corrigidas conforme apropriado após o EOFS. Uma equipe de produto pode usar marcos que n?o est?o definidos nesta política. Para obter detalhes sobre o suporte à corre??o de vulnerabilidades em outros marcos, consulte a documenta??o específica do produto.

Você pode mitigar os riscos de vulnerabilidade corrigindo ou atualizando para uma nova vers?o de produto/software de acordo com o contrato. Você só pode obter e usar vers?es de software que tenham licen?as válidas (ativadas na rede ativa). Os produtos/vers?es que têm vulnerabilidades corrigidas n?o d?o aos clientes o direito a novas licen?as de software, outras fun??es/recursos de software ou atualiza??es de vers?es principais. Você pode entrar em contato com os engenheiros de suporte da Huawei ou com o TAC para obter vers?es ou patches:

Se você é cliente da Huawei Carrier BG, clique .

Se você é cliente da Huawei Enterprise BG, clique .

Se você é cliente da Huawei Consumer BG, pode realizar uma atualiza??o online ou clicar .

Se você é cliente da Huawei Cloud, clique .

Se você é cliente da HiSilicon (Xangai), clique .

Se você for cliente do Huawei Enterprise BG, consulte a Política de Fim de Vida do Produto () do Enterprise BG para saber detalhes sobre a corre??o de vulnerabilidades no produto vida útil. Para obter detalhes sobre os recursos de corre??o de vulnerabilidades de produtos ou vers?es de software específicos, consulte os boletins de ciclo de vida do produto .

Isen??o de responsabilidade e direitos reservados

Se este documento estiver disponível em vários idiomas, a vers?o chinesa prevalecerá. A política descrita neste documento n?o constitui garantias, compromissos ou partes contratuais. A Huawei poderá ajustá-lo conforme apropriado.

Reservamo-nos o direito de alterar ou atualizar este documento a qualquer momento, conforme necessário para aumentar a transparência ou responder de forma mais ativa. Exemplos de atualiza??es incluem:

• Feedback de clientes, reguladores, indústria ou outros stakeholders interessados
• Mudan?as na política geral
• Introdu??o de melhores práticas

à medida que altera??es nesta política forem publicadas, revisaremos a “Data de atualiza??o” na parte inferior desta política.

Defini??o

A tabela a seguir lista as defini??es usadas nesta política.

Atualizado em 2022.1.18