Perché la gestione della vulnerabilità è importante
La vulnerabilità del software è una debolezza che, se sfruttata, può causare una violazione della sicurezza e portare alla perdita di riservatezza, integrità e disponibilità dei dati. Nessun software è esente al 100% da vulnerabilità. La gestione delle vulnerabilità è un processo continuo che implica l'identificazione e la correzione costanti dei punti di debolezza.
La gestione delle vulnerabilità rafforza la sicurezza e l'affidabilità dei prodotti e dei servizi Axis, consentendo ai clienti di operare nel modo più sicuro possibile. Riteniamo che la trasparenza della gestione e della divulgazione delle vulnerabilità rafforzi la sicurezza e la responsabilità, contribuendo a ridurre i rischi e a creare fiducia.
Errori comuni
Le vulnerabilità significano cattiva qualità
Nessun software è completamente esente da errori o bug, quindi la presenza di vulnerabilità non è esplicativa circa la qualità di un prodotto o di un fornitore. Ciò che conta di più è l'approccio adottato dal fornitore nella gestione delle vulnerabilità. In Axis adottiamo un approccio proattivo, individuando e correggendo le vulnerabilità durante l'intero ciclo di vita dei nostri prodotti. Per ridurre al minimo gli errori fin dall'inizio, integriamo attività di sicurezza nel nostro processo di sviluppo. Dopo un rilascio, collaboriamo apertamente con le parti esterne per gestire e correggere le vulnerabilità individuate e applichiamo un processo di divulgazione responsabile.
Questi impegni sono delineati e guidati dall'Axis Security Development Model (ASDM) descritto più avanti in questa pagina.
La divulgazione porta allo sfruttamento
Un altro luogo comune diffuso è che rivelare le vulnerabilità permetta agli hacker di sfruttarle liberamente e che, pertanto, non debbano essere divulgate. Quando comunichiamo le vulnerabilità tramite gli avvisi di sicurezza Axis, forniamo solo i dettagli minimi indispensabili. In questo modo si proteggono i clienti riducendo il rischio che un utente malintenzionato sfrutti una vulnerabilità. Il nostro obiettivo è fornire la patch per una vulnerabilità prima di divulgarla.
Axis implementa le migliori pratiche del settore
Dal 2015 Axis sviluppa processi e strumenti per la gestione delle vulnerabilità. Poiché la gestione delle vulnerabilità è un percorso continuo, ci impegniamo costantemente a migliorare i nostri processi in linea con le migliori pratiche del settore. Per identificare, correggere e divulgare le vulnerabilità, collaboriamo in modo trasparente e responsabile, coordinandoci con le parti esterne quali ricercatori, hacker etici, clienti finali e partner. Adottiamo le migliori pratiche per la divulgazione coordinata, pertanto le vulnerabilità possono essere segnalate in tutta sicurezza.
2016 - Abbiamo reso pubblico il contenuto delle vulnerabilità corrette.
2017 - Abbiamo progettato l'Axis Security Development Model (ASDM). ASDM garantisce che le considerazioni sulla sicurezza informatica siano integrate nel ciclo di vita dei prodotti e delle soluzioni Axis.
2020 - Abbiamo condotto il nostro primo test di penetrazione esterna.
2021 - Abbiamo creato la Politica di gestione delle vulnerabilità di Axis. Descrive in che modo vengono gestite le vulnerabilità nei nostri prodotti e servizi e cosa ci si può aspettare da Axis in qualità di fornitore affidabile.
2021 - Ad aprile abbiamo aderito al programma Common Vulnerabilities and Exposures (CVE) e siamo diventati una CVE Numbering Authority (CNA). Divulghiamo le vulnerabilità tramite ID CVE e seguiamo le migliori pratiche delineate dal programma CVE.
2022 - A dicembre abbiamo lanciato un programma bug bounty privato in collaborazione con Bugcrowd per i prodotti di rete basati su AXIS OS.
2023 - Abbiamo pubblicato il framework per la sicurezza informatica di Axis. Descrive i processi e le procedure che Axis applica per affrontare costantemente i rischi legati alla sicurezza, sia nell'infrastruttura IT della nostra azienda sia nell'offerta di prodotti.
Axis Security Development Model (ASDM)
Lo scopo dell'ASDM è quello di ridurre le vulnerabilità e i costi di sviluppo fornendo indicazioni e stabilendo una base di riferimento per la sicurezza informatica. Abbiamo sviluppato autonomamente l'ASDM per adattarlo ai nostri prodotti e servizi. Ci consente di individuare ed eliminare in modo proattivo migliaia di vulnerabilità prima del rilascio del prodotto e a continuare a risolverle durante l'intero ciclo di vita del prodotto. Il nostro obiettivo è migliorare la sicurezza informatica, non solo rispettare i processi o i requisiti di certificazione. Pertanto, i team di sviluppo di Axis decidono quali attività intraprendere a seconda del tipo di software che sviluppano.
Programmi bug bounty sviluppati in collaborazione con Bugcrowd
I nostri programmi bug bounty sviluppati in collaborazione con Bugcrowd ci permettono di rafforzare significativamente la sicurezza dei prodotti e delle soluzioni, offrendo l'accesso a una comunità globale di ricercatori fidati e hacker etici. Quando viene identificata una vulnerabilità, offriamo una ricompensa in denaro. L'entità della ricompensa dipende dalla gravità della vulnerabilità. Revisioniamo regolarmente l'importo dei nostri premi in denaro per mantenere i nostri programmi interessanti e competitivi.
Molte delle nostre divulgazioni CVE sono il risultato dei risultati di un programma bug bounty di Axis.
Test di penetrazione
I test di penetrazione esterna forniscono informazioni e garanzie sulla sicurezza di un prodotto in un determinato momento. Vengono condotti annualmente da società di terze parti specializzate. Per le dichiarazioni dei clienti, visita la pagina delle risorse sulla sicurezza informatica.
Facile risoluzione delle vulnerabilità
Axis fornisce il software che semplifica per i clienti l'implementazione di patch di vulnerabilità e nuovi aggiornamenti di sicurezza su numerosi dispositivi diversi. I software per la gestione video Axis come AXIS Companion, AXIS Camera Station e i software per la gestione video dei partner come Milestone XProtect® e Genetec™ Security Center, informano gli utenti sulle nuove versioni del sistema operativo AXIS per i prodotti in uso. AXIS Device Manager e AXIS Device Manager Extend forniscono avvisi e consentono ai clienti di aggiornare il sistema operativo di più dispositivi contemporaneamente.
Modulo per la segnalazione delle vulnerabilità
Per contribuire a rafforzare la sicurezza, condividi con noi i tuoi risultati. I contenuti sensibili possono essere crittografati utilizzando la nostra chiave PGP pubblica.
Vulnerabilità del dispositivo documentate
Axis documenta e divulga in modo trasparente le vulnerabilità specifiche dei dispositivi Axis e dei componenti AXIS OS.
Notifiche di sicurezza
Axis fornisce un servizio di notifiche per informazioni sulle vulnerabilità e altre questioni relative alla sicurezza dei dispositivi Axis.
Risorse correlate
Hall of Fame della sicurezza di Axis
Nella Hall of Fame della sicurezza di Axis, riconosciamo il contributo di ricercatori e aziende indipendenti che collaborano con noi per garantire la sicurezza dei clienti Axis.
Portale della sicurezza informatica
Una migliore protezione informatica, insieme.
Risorse per la sicurezza informatica
Accedi a colpo d'occhio a una serie di risorse sulla sicurezza informatica, tra cui guide per la protezione e documenti sulle politiche.