Os produtos SEL não são vulneráveis à execução remota de código na biblioteca Apache Log4j 2 Java (CVE-2021-44228). Logo após a divulgação da vulnerabilidade, a equipe de resposta a incidentes de segurança dos produtos SEL (PSIRT) iniciou uma análise de produto a produto que confirmou que a biblioteca Log4j 2 vulnerável não está presente em nenhum produto SEL.
A SEL distribui notificações classificadas como "Vulnerabilidade de segurança" aos clientes finais diretamente e através do nosso time de vendas. Os usuários finais também podem se inscrever para receber notificações por e-mail sobre as vulnerabilidades de segurança, incluindo informações de como mitigar seus riscos.
Nota: Para receber notificações de vulnerabilidade de segurança por e-mail, você deve ter uma conta de e-mail corporativa cujo domínio seja reconhecido pela SEL como um usuário final. Se você também quiser e-mails de notificação de vulnerabilidade enviados para uma caixa de e-mail corporativa, envie uma solicitação para security@selinc.com.
Quando você recebe uma atualização de software da SEL, ela é assinada digitalmente para poder verificar se ela foi alterada ou adulterada.
Verifique o download de um software SEL.
Fornecemos ferramentas de firmware que podem ser usadas para visualizar a versão de firmware mais recente de seus produtos, verificar a integridade do firmware de um dispositivo e verificar a integridade de novos arquivos de firmware.
Verifique a versão e integridade do firmware.
Desde a nossa fundação em Pullman, Washington, em 1982, a SEL conduz negócios seguindo um forte conjunto de valores fundamentais – qualidade, foco no cliente, disciplina, comunicação, integridade, criatividade, pessoas, propriedade e dignidade no trabalho. Aplicamos esses valores em tudo o que fazemos, incluindo a segurança da cadeia de produtos e suprimentos, que é uma das principais prioridades da SEL há mais de 35 anos.
Nosso objetivo será sempre inventar, projetar e construir produtos seguros para proteger a infraestrutura crítica. Quando uma vulnerabilidade é encontrada, avaliar rapidamente o risco e informar os clientes é fundamental para manter a confiança que trabalhamos décadas para conquistar. A SEL não fabrica produtos que não estejam documentados ou através de canais de comunicação não autorizados.
Como a vida útil de um produto SEL é frequentemente medida em décadas e porque protege ou controla a infraestrutura crítica em um ambiente de ameaça em constante mudança, entendemos nossa responsabilidade e a necessidade da vigilância constante. Também entendemos que a aplicação de patch em ambientes de tecnologia operacional costuma ser onerosa para nossos clientes. Nosso compromisso é sempre agir com urgência e transparência durante todo o processo de divulgação e remediação e minimizar o risco a cada momento.
Revelamos informações suficientes sobre uma vulnerabilidade para permitir que nossos clientes avaliem e mitiguem o risco com precisão, sem divulgar desnecessariamente informações confidenciais que possam cair em mãos erradas. Nunca divulgaremos conscientemente vulnerabilidades favorecendo potenciais ataques, e sempre forneceremos uma divulgação aos clientes antes de qualquer outra divulgação.
A equipe de resposta a incidentes de segurança dos produto SEL (PSIRT) avalia cada relatório envolvendo um problema de segurança com os produtos SEL, se esses relatórios vêm de dentro da SEL em função de nossos processos de melhoria contínua ou de um relator externo. O time de PSIRT, com o apoio da liderança executiva, considera vários fatores para avaliar o risco que uma vulnerabilidade representa, a urgência e os recursos dedicados à correção, incluindo:
As vulnerabilidades são divulgadas aos clientes de duas formas:
A SEL responde imediatamente a qualquer vulnerabilidade significativa que afete um produto e que possa ser explorado ativamente. Forneceremos rapidamente orientações de mitigação seguidas por quaisquer patches ou atualizações necessárias.
Envie sua pergunta sobre a segurança de produtos ou serviços SEL.