滚动到顶部
  • 删除比较
  • 删除比较
  • 删除比较
  • 删除比较
清除全部

安全意识

防止,检测和回应

分散控制安全漏洞策略

该政策与调查和披露安全漏洞的调查和披露有关,这些漏洞可能影响分散控制控制所提供的产品和服务。华体会体育最新网站
Distech Controls,Inc。是Acuity Brands Lighting,Inc的子公司,也是该集团建立的网络安全政策的好处。

安全性响应

分散控制产品安全事件响应

分散控制产品安全事件响应团队(PSIRT)负责协调利益相关者利益,以影响分散的控制产品和服务的安全问题。华体会体育最新网站在此追求中,PSIRT管理有关安全漏洞和其他影响我们基于云的基础架构的问题的收据,调查和通知程序。分散的控制PSIRT与客户,顾问,安全研究人员,学术机构和其他供应商合作,以处理分散控制产品和服务中发现的潜在安全问题。华体会体育最新网站

报告 - 风格性

报告安全漏洞

强烈鼓励意识到产品安全问题的个人或组织与PSIRT联系。及时确定安全漏洞对于消除潜在威胁至关重要。Distech ControlS欢迎独立研究人员,行业组织,供应商,客户以及与产品或网络安全有关的其他来源的报告,并致力于负责任的披露。

如果您认为自己已经确定了潜在的安全漏洞,则可以通过我们的电子邮件别名与分散的控件PSIRT联系,psirt@acuitybrands.com。PSIRT将确定适当的产品团队以解决该问题。

Distech Controls鼓励发送给PSIRT的敏感信息的加密。PSIRT通过PGP/GNU隐私护罩支持加密消息。PSIRT公共PGP密钥psirt@acuitybrands.com(94694357)可在多个公共密钥服务器上使用。

在报告潜在的安全问题时,请包括以下信息尽可能多的信息,以帮助PSIRT了解潜在脆弱性的性质和范围:

  • 包含漏洞的产品名称和版本
  • 逐步说明重现漏洞
  • 概念证明或利用代码
  • 脆弱性的潜在影响,包括攻击者如何利用脆弱性
安全过程

分散控制产品安全事件响应过程

Distech Controls PSIRT流程是使用ISO 30111标准和事件响应论坛和安全团队(第一)作为指南的文档开发的。下图提供了我们响应过程的高级视图。

以下是图1中所示的过程中的步骤。每个步骤完成后,分散控制PSIRT确定适当的动作;因此,对于某些问题,可能不会执行其中一些步骤。

  1. 意识:收到有关潜在安全漏洞的信息
  2. 分类:该报告经过验证,优先级和确定的资源世界杯决赛2022
  3. 分析:进行了影响评估,并制定了修复计划
  4. 协调:所有合作者都知道时间表
  5. 修复:修复程序已发布,基于云的服务已更新
  6. 通知:通知受影响的客户
  7. 反馈:进行后修复活动

一旦将问题报告给分散的控制PSIRT,就会根据漏洞的潜在影响对其进行评估。PSIRT将与记者和产品开发团队合作,以确定报告问题的严重性和范围。

通常,PSIRT使用常见的漏洞评分系统版本3.1(CVSS v3.1)来确定已识别漏洞的严重程度。如果在分散控制产品中使用的第三方软件组件存在安全问题,则可以调整CVSS以反映对我们产品的影响。华体会体育最新网站CVSS由首先维护,可以从
First.org网站

确定问题的严重性和范围后,PSIRT根据需要使用适当的内部和外部资源来确定修复程序的可用性和通信计划。世界杯决赛2022在调查过程中,分离技术控制将所有非公开信息视为高度机密的信息。我们维护有关加密文件系统上确定的漏洞的所有记录,并且分发仅限于那些可以积极协助解决或有合法需要了解的个人。同样,分离台控制PSIRT要求报告那些易受严格机密性的脆弱性,直到通过适当的协调披露发布细节为止。有关披露标准的信息,请参见本政策的下一部分。

在发布任何安全问题之后,PSIRT审查了我们的安全开发生命周期,并继续监视网络以确保主动开发的迹象。

从分离控制控件接收安全漏洞信息

分散控制可以通过产品安全公告私下与受影响的客户通信安全信息。并非所有的安全问题都将具有私人和公共披露组件。公共产品安全公告发表在分散控制psirt网站上((www.acuitybrands.com/psirt)当发生以下任何一个:

  • 分离技术控制无法识别受影响的客户
  • 所有受影响产品的软件更新均可华体会体育最新网站
  • 公众关心这个问题
  • 关于脆弱性有公众讨论
  • 不会为受影响的产品创建修复程序华体会体育最新网站

个人还可以直接从PSIRT页面或RSS feed直接通过电子邮件来订阅Distech Controls Controls Contrics公告。所有分离技术控制RSS feed都可以提供:http://news.acuitybrands.com/us/follow-us-via-rss

安全公告总结了漏洞或其他安全问题,以帮助客户评估其环境中存在的风险。他们无意帮助读者重现该问题进行测试或其他研究。通常,安全公告将包括:

  • 华体会体育最新网站产品和版本受影响
  • 脆弱性的严重程度等级
  • 简要说明漏洞和潜在影响如果被剥削
  • 用更新/解决方法的补救详细信息

访问分散的控制公共安全公告网页

看法

分散的控件提供了安全公告,以将潜在的重要安全信息引起利益相关者的注意。但是,提供安全公告的“原样”,没有明示或暗示的保修,分散的控件并不能表示安全公告是完整或准确的。读者负责确认安全公告中规定的信息的准确性,确定信息对安装的适用性,并采取他们认为必要的任何结果(如果有的话)。

该政策涵盖的品牌

该政策涵盖了敏锐品牌出售的所有软件和固件。这包括但不限于以下品牌出售的产品:Atrius™,dglogik™,Dark toL华体会体育最新网站ight®(DTL),DistechControls®,Eldoled®,Fresco™,Holophane®,Iota®,Iota®,Nlight®,Nlight®,,,,,Nlight®iar,Roam®,SensorsWitch™,Synergy®和XpointWireless®。