HITCON ZeroDay

通報流程

通報流程

資安漏洞通報是一個非常嚴謹的過程。從通報者交付漏洞開始,我們就會開始一連串內部流程。包含漏洞審核階段、漏洞通知階段,最後在企業回報處理完畢後將漏洞公開。在收到漏洞之後,漏洞審核小組會先進行漏洞的審查,確認該漏洞確實存在,並且評估其影響性。而為了確保您提交的漏洞都能夠準確的傳達到正確的企業窗口,我們會直接聯繫企業並尋找資安相關負責人,並且在溝通聯繫後將漏洞細節完整傳達。公開時限內,若企業回報修復後,系統會將該漏洞公開於平台上。若有需求也可委請通報者進行複測,確認漏洞已被正確修補。漏洞公開除了讓通報者可以知道自己的漏洞有被正確傳達,也能夠讓大眾知道企業面對資安問題的積極態度。

漏洞通報分成四個階段,「審核階段」、「通報階段」、「修補階段」、「複測階段」。「審核階段」為 ZeroDay 團隊確認該漏洞是否屬實,並評估其影響。「通報階段」為 ZeroDay 平台協助尋找企業窗口,指派漏洞給企業帳號。「修補階段」為企業收到漏洞後,針對漏洞進行修補。若修補完成後企業需要複測,將委請通報者進行複測,進入「複測階段」。

基本時程表如下:

  1. 第 0 天 收到漏洞通報
  2. 第 1 - 5 天 漏洞審核
  3. 第 6 - 14 天 漏洞通知
  4. 第 14 天後 漏洞修復
  5. 0 - 14 天 通報者漏洞複測 (選擇性)
  6. = 60 天 漏洞自動公開

p.s. 若為通用型漏洞(該漏洞影響範圍超過一個站台以上),本平台將斟酌漏洞公開時間,最長不超過 100 天。

每個階段漏洞的公開時間將有不同,整理如下:

  1. 審核階段:未確認漏洞,不公開
  2. 通報階段:第 60 天公開
  3. 修補階段:
    1. 企業未回應:第 60 天公開
    2. 企業回應已修復:回應 7 天後公開
  4. 複測階段:
    1. 確認已修復:回應 3 天後公開
    2. 未修復完成:回到修補階段

舉例來說,若 1/1 平台收到通報,將在 1/14 內審核並通知該企業。若企業在 1/15 回應已修補,漏洞將在 1/22 公開。若企業 1/15 回應已修補且需要通報者複測,通報者於 1/25 確認修補完畢,漏洞將於 1/28 公開。若企業 1/1 收到通報後,中間皆不回應,漏洞最晚將於 60 天後,即 3/2 公開。

漏洞通報

資安人員發現漏洞後,將該漏洞相關細節、重現方式、處理建議等資訊,整理好提交至 ZeroDay 平台上。

漏洞審核

漏洞審核小組針對收到的漏洞,驗證其成因及可能造成之影響,同時評定該漏洞的嚴重層度與通報者提報是否一致。

漏洞通報

在企業已與 ZeroDay 平台確認漏洞的情況下,後續處理的狀況、進度都會向平台回報,平台亦將同步告知通報者,使其得知通報之漏洞已被妥善處理。

  • 已於本平台註冊之企業:通報漏洞資訊給該企業的資安窗口。
  • 未於本平台註冊之企業:本平台將藉由網頁搜尋、網域名稱 whois 資訊等方式盡力找尋企業資安窗口,並邀請其註冊本平台以取得漏洞資訊。

若平台未收到企業回應,將自動在一定時間內提醒企業窗口,確保通報的處理時效。

漏洞複測

企業帳號用戶,於漏洞公開前通知本平台已完成修復者,可委請通報者進行確認通報內容是否已完成修復。若確認修復,企業可自行公開或於確認修復三天後公開。

漏洞公開

回報已修復完畢之漏洞,其相關細節、處理方式、與企業溝通之狀況等資料,將會在七天後自動公開檢視,以便使大眾及企業更瞭解各資安問題及因應措施。若未提出複測申請之漏洞,將自動在回報已修復七天後公開。


Update: 2018/1/15