보안 문제 보고

FireEye Security에 문의

FireEye 제품, 서비스, 웹 사이트 또는 기타 인프라에 영향을 주는 의심스러운 취약점을 보고하거나 FireEye와 관련된 남용 문제를 보고하려면 security@fireeye.com에 문의하십시오.

안전하게 통신

필요한 경우 FireEye 보안팀의 PGP 및 S/MIME 키를 사용하십시오.

FireEye의 책임감 있는 공개 정책

FireEye는 연구원이 FireEye 제품, 서비스, 웹 사이트 또는 인프라의 보안 문제를 보고하도록 권장합니다. FireEye에는 책임감 있는 공개 프로세스에 대한 5가지 주요 단계로, 1) 초기 선별 2) 픽스 개발/복구 3) 고객 릴리스 및 픽스 가용성 4) 90일간의 고객 유예 기간 5) 공개 및 알림 단계가 있습니다.

보고서 접수 시 FireEye에서 문제에 대한 초기 선별 및 분석을 수행하는 동안 이메일을 통해 연구원에게 연락합니다(1단계). 초기 선별은 일반적으로 1주일 이내에 완료되며, 이 기간은 제품과 서비스에 따라 달라질 수 있습니다. 선별 단계를 완료한 후 해결이 필요한 문제가 있는 경우 FireEye는 문제에 대한 확인서를 제공하며 픽스 개발/복구 프로세스를 시작합니다(2단계). FireEye는 이 단계에서 외부적으로 보고되거나 공개적으로 알려진 FireEye 제품의 보안 취약점에 대해 참조용 표기(취약점 제목, 내부 기호 또는 CVE(Common Vulnerability and Exposures) 번호)를 할당합니다. 문제의 복잡성, 문제의 심각도 및 타사 벤더에 대한 의존성과 같이 픽스 가용성의 시간에 영향을 주는 여러 요인이 있지만, FireEye는 일반적으로 30~90일의 기간 내에 픽스를 발표합니다. 픽스를 사용할 수 있으면 FireEye는 당사 고객에게만 픽스 가용성에 대한 정보를 제공하여 고객이 픽스를 다운로드하고 해당 시스템/자산(픽스에 대한 고객 애플리케이션에 종속된 해당 자산의 경우)에 적용하도록 권장합니다(3단계). 이러한 통신을 통해 FireEye 고객에게 픽스 가용성과 사용 가능한 경우 권장 완화 방법을 알려 줍니다. 이때, FireEye는 서비스, 웹 사이트 또는 인프라에 구현된, 관련된 모든 제품에서 픽스를 사용할 수 있는 날짜로부터 90일까지는 연구원과 관련된 문제에 관한 자세한 정보를 공개하지 않습니다(4단계). 또한 FireEye는 해당 연구원에게도 당사 고객에 대한 예의로서 이 90일의 비공개 유예 기간을 지키도록 요청합니다. 그러면 이 기간에 고객이 충분한 시간을 갖고 픽스를 적용하여 해당 시스템을 업데이트할 수 있습니다. 또한 FireEye는 고객 원격측정을 사용할 수 있는 당사 제품에 대해 고객 업데이트 상태를 계속 모니터링하고, 고객 지원팀과 협력하여 당사의 전체 고객 기반에 공개 기간을 계속 안내하며 90일 후의 공개 기간이 다가옴에 따라 시스템을 업데이트하도록 촉구합니다. 90일의 유예 기간의 끝 무렵이나 그 전에, FireEye는 릴리스 노트 또는 보안 공지 양식으로 보안 문제에 대한 추가 정보가 포함된 권고 사항 및 공개 사실을 발표하고 문제를 발견한 연구원의 이름을 등재합니다(5단계). 이와 같은 방식으로 FireEye는 책임감 있는 공개 정책을 준수합니다. 연구원이 대중에게 알려지는 것을 원하지 않는 경우 FireEye는 초기 커뮤니케이션 중에 그 사실을 알려 달라고 요청합니다.

FireEye는 프로세스의 모든 단계에 걸쳐 연구원과 연락을 계속 유지합니다. 고객을 보호하는 표준적인 관행으로, FireEye는 관련된 모든 제품에 픽스를 릴리스하거나 서비스, 웹 사이트 또는 인프라에 구현할 때까지 모든 보안 문제 또는 취약점을 확인, 논의 또는 공개하지 않습니다. 마찬가지로 FireEye는 연구원에게 이 기간에 조사 결과에 대한 어떠한 정보도 공개적으로나 다른 방법으로 공개하지 않도록 요청합니다. 이 유예 기간에 FireEye는 정책에 따라 문제를 평가 및 수정하고 고객에게 픽스를 배포합니다. FireEye는 이러한 방식이 당사 제품 및 서비스를 사용하여 회사의 보안을 구축하는 고객과 파트너 그리고 당사 인프라와 애플리케이션을 활용하여 FireEye를 실행하는 고객과 파트너를 계속 보호하는 데 가장 생산적인 행동 방침이라고 생각합니다.

커뮤니케이션과 공개 프로세스 중에 FireEye는 다음에 언제 연락할 지와 필요한 경우 예상 기간을 알려 줍니다. 연구원은 언제든지 상태 업데이트를 요청할 수 있습니다.

감사합니다!

당사 제품의 보안을 개선하기 위해 기꺼이 참여하여 도움을 주신 점에 대해 미리 감사드립니다. 덕분에 FireEye가 계속 고객을 보호할 수 있습니다.