¿Cuál es el método más efectivo / mejor para obtener información en
Respecto a las vulnerabilidades que ha tenido o ha tenido el dispositivo X.
La comprobación de la página de avisos de seguridad del proveedor siempre es un buen comienzo, cualquier cosa que conozcan usualmente continuará ahí. Como ejemplo, aquí hay un enlace a la página de Cisco Security Advisories .
¿Hay algo más que pueda hacer antes de consultar la página de avisos de seguridad?
Sí, hay. Por ejemplo, a cualquier vulnerabilidad "importante" se le asignará un CVE , también serán muy útiles para identificar si un determinado El producto tiene X vulnerabilidad o no. Un buen recurso para esto es Detalles de CVE
¿Qué pasa si no hay una página de aviso de seguridad a dónde más puedo ir?
Si no hay un aviso de seguridad en la página del proveedor, pueden aplicarse algunas cosas.
- El proveedor aún no sabe si está afectado.
- No son conscientes de la vulnerabilidad.
- No están afectados.
¿Qué debes hacer en este escenario? Una buena idea sería ponerse en contacto con los equipos de soporte de proveedores. Volviendo al ejemplo de Cisco, puede utilizar TAC de Cisco . Esto sería aplicable a todos los proveedores, si no hay información pública en el dispositivo en cuestión, su mejor oportunidad es ponerse en contacto con sus equipos de soporte y averiguarlo.
Si no están al tanto de la vulnerabilidad, sería una buena idea buena informarles sobre el problema, especialmente si lo encontró mientras investigaba un poco y parece oscuro. Si no puede encontrar los recursos del propio proveedor (ya sea que lo conozcan o no), infórmelos, casi puedo decir con seguridad que esto ayudará. En el ejemplo de Cisco, puede ponerse en contacto con Equipo de respuesta a incidentes de seguridad del producto
¿Cuáles son algunos buenos recursos que puedo usar para encontrar tales vulnerabilidades?
Hay muchos sitios web que puede usar, además de los mencionados, los dos a continuación también podrían ser útiles como lo menciona @Elsadek.
También puede usar los verificadores de CVE como lo menciona @Forest.
Otra idea podría ser suscribirse a una lista de correo de seguridad como la que se menciona a continuación, mencionada originalmente por @Forest.
Lista de correo de seguridad de código abierto
Esto está específicamente generalizado, sin embargo, hay algunos que podrías usar que son más específicos, como mencioné anteriormente, podrías suscribirte a Ciscos, por ejemplo.