Warum Schwachstellenverwaltung wichtig ist
Eine Software-Sicherheitslücke ist eine Schwachstelle, die, wenn sie ausgenutzt wird, zu einer Sicherheitsverletzung und einem Verlust der Vertraulichkeit, Datenintegrität und Verfügbarkeit führen kann. Keine Software ist 100 % frei von Sicherheitslücken. Die Verwaltung von Schwachstellen ist ein kontinuierlicher Prozess, der die kontinuierliche Identifizierung und Behebung von Schwachstellen beinhaltet.
Die Schwachstellenverwaltung erhöht die Sicherheit und Zuverlässigkeit der Produkte und Dienstleistungen von Axis und sorgt dafür, dass unsere Kunden so sicher wie möglich arbeiten können. Wir sind davon überzeugt, dass Transparenz im Umgang mit Schwachstellen und deren Offenlegung Sicherheit und Verantwortlichkeit stärkt und damit zur Risikominderung und Vertrauensbildung beiträgt.
Häufige Missverständnisse
Schwachstellen sind nicht gleichbedeutend mit schlechter Qualität
Eine weit verbreiteter Irrtum besteht darin, dass Schwachstellen ein Zeichen für schlechte Qualität darstellen. Keine Software ist völlig frei von Fehlern oder Bugs. Daher sagt die Existenz von Schwachstellen nicht viel über die Qualität eines Produkts oder Anbieters aus. Entscheidender ist der Ansatz, den ein Anbieter beim Umgang mit Schwachstellen verfolgt. Bei Axis verfolgen wir einen proaktiven Ansatz, um Schwachstellen während des gesamten Lebenszyklus unserer Produkte zu erkennen und zu beheben. Wir integrieren Sicherheitsaktivitäten in unseren Entwicklungsprozess, um Fehler von Anfang an zu minimieren. Nach der Veröffentlichung arbeiten wir transparent mit externen Partnern zusammen, um neu entdeckte Schwachstellen zu verwalten und zu beheben sowie einen verantwortungsvollen Offenlegungsprozess sicherzustellen.
Diese Bemühungen werden durch das Axis Security Development Model (ASDM) , das weiter unten auf dieser Seite beschrieben wird, umrissen und geleitet.
Offenlegung führt nicht zu Ausbeutung
Ein weiterer weit verbreiteter Irrtum ist, dass Hacker durch die Offenlegung von Schwachstellen diese ungehindert ausnutzen können - und diese daher nicht offengelegt werden sollten. Wenn wir Schwachstellen in den Sicherheitshinweisen von Axis offenlegen, geben wir nur ein absolutes Minimum an Details bekannt. Dies schützt Kunden, indem es das Risiko minimiert, dass ein Angreifer eine Schwachstelle ausnutzt. Unser Ziel ist es, einen Patch für eine Sicherheitslücke bereitzustellen, bevor wir sie offenlegen.
Axis implementiert branchenweit bewährte Verfahren
Seit 2015 entwickelt Axis Prozesse und Tools für die Schwachstellenverwaltung. Da die Schwachstellenverwaltung eine nie endende Aufgabe ist, sind wir ständig bestrebt, unsere Prozesse im Einklang mit den Best Practices der Branche zu verbessern. Um Schwachstellen zu identifizieren, zu beheben und zu veröffentlichen, arbeiten wir transparent, verantwortungsvoll und koordiniert mit externen Parteien wie Forschern, ethischen Hackern, Endbenutzern und Partnern zusammen. Da wir Best Practices für die koordinierte Offenlegung von Schwachstellen befolgen, können uns Schwachstellen sicher gemeldet werden.
2016 – Wir haben gepatchte Schwachstellen öffentlich bekannt gegeben.
2017 – Wir haben das Axis Security Development Model (ASDM) entwickelt. ASDM stellt sicher, dass Überlegungen zur Cybersicherheit in den Lebenszyklus von Axis Produkten und -Lösungen integriert werden.
2020 - Wir haben unseren ersten externen Penetrationstest durchgeführt.
2021 – Wir haben die Axis Richtlinie zur Schwachstellenverwaltung erstellt. Darin wird erläutert, wie mit Schwachstellen in unseren Produkten und Dienstleistungen umgegangen wird und was von Axis als vertrauenswürdigem Anbieter erwartet werden kann.
2021 – Im April sind wir dem Common Vulnerabilities and Exposures-Programm (CVE) beigetreten und wurden eine CVE Numbering Authority (CNA). Wir geben Schwachstellen über CVE-IDs bekannt und befolgen den Best-Practice-Rahmen des CVE-Programms.
2022 – Im Dezember haben wir in Partnerschaft mit Bugcrowd ein privates Bug-Bounty-Programm für AXIS OS-basierte Netzwerkprodukte gestartet.
2023 – Wir haben das Axis Framework für Cybersicherheit veröffentlicht. Darin werden die Prozesse und Verfahren von Axis beschrieben, mit denen wir sicherheitsrelevante Risiken sowohl in der IT-Infrastruktur unseres Unternehmens als auch in unseren Produktangeboten kontinuierlich angehen.
2024 – Wir haben unser privates Bug-Bounty-Programm für AXIS OS in unser öffentliches Bug-Bounty-Programm für AXIS OS umgewandelt. Das bedeutet, dass alle Sicherheitsforscher und ethischen Hacker mit einem Bugcrowd-Konto Schwachstellen im Zusammenhang mit AXIS OS melden können.
2024 – Wir haben ein neues privates Bug-Bounty-Programm für AXIS Camera Station Pro gestartet.
Axis Security Development Model (ASDM)
Der Zweck von ASDM besteht darin, Schwachstellen und Entwicklungskosten zu reduzieren, indem Anleitungen gegeben und eine Grundlage für die Cybersicherheit geschaffen werden. Wir haben ASDM selbst entwickelt, um es an unsere Produkte und Dienstleistungen anzupassen. Es hilft uns, Tausende von Schwachstellen vor der Produktfreigabe proaktiv zu finden und zu beseitigen und uns während des gesamten Produktlebenszyklus weiterhin um Schwachstellen zu kümmern. Unser Ziel ist die Verbesserung der Cybersicherheit – und nicht nur die Einhaltung von Prozessen oder Zertifizierungsanforderungen. Daher entscheiden die Axis Entwicklungsteams je nach der Art der von ihnen entwickelten Software, welche Aktivitäten sie durchführen.
Bug-Bounty-Programme mit Bugcrowd
Unsere Bug-Bounty-Programme mit Bugcrowd helfen uns, die Sicherheit unserer Produkte und Lösungen erheblich zu verbessern, indem wir Zugang zu einer globalen Gemeinschaft von vertrauenswürdigen Forschern und ethischen Hackern bieten. Wenn eine Schwachstelle identifiziert wird, zahlen wir eine Geldprämie (eine Prämie). Die Höhe der Prämie richtet sich nach der Schwere der Gefährdung. Wir überprüfen regelmäßig die Höhe unserer Geldprämien, um unsere Programme attraktiv und wettbewerbsfähig zu halten.
Viele unserer CVE-Offenlegungen sind das Ergebnis von Erkenntnissen aus einem Bug-Bounty-Programm von Axis.
Penetrationstests
Externe Penetrationstests liefern Informationen und Gewissheit darüber, wie sicher ein Produkt zu einem bestimmten Zeitpunkt ist. Sie werden jährlich von spezialisierten Drittunternehmen durchgeführt. Kundenaussagen finden Sie auf der Seite mit Ressourcen zur Cybersicherheit .
Schwachstellen einfach beheben
Axis bietet Software an, die es Kunden erleichtert, Patches für Schwachstellen und neue Softwareversionen mit Sicherheitsupdates auf vielen verschiedenen Geräten bereitzustellen. Axis Video Management Software wie AXIS Companion, AXIS Camera Station und Video Management Software von Partnern wie Milestone XProtect® und Genetec™ Security Center weisen Benutzer auf neue AXIS OS-Versionen für im Einsatz befindliche Produkte hin. AXIS Device Manager und AXIS Device Manager Extend geben außerdem Warnmeldungen aus und ermöglichen es Kunden unter anderem, das Betriebssystem mehrerer Geräte gleichzeitig zu aktualisieren.
Formular zum Melden einer Schwachstelle
Um zur Stärkung der Sicherheit beizutragen, teilen Sie Ihre Erkenntnisse und Entdeckungen bitte mit uns. Sicherheitsrelevante Inhalte können mit unserem öffentlichen PGP-Schlüssel verschlüsselt werden.
Dokumentierte Produktschwachstellen
Axis dokumentiert und legt Schwachstellen transparent offen, die spezifisch für Axis Produkte und AXIS OS Komponenten sind.
Sicherheitsbenachrichtigungen
Axis bietet einen Benachrichtigungsdienst für Informationen über Schwachstellen und andere sicherheitsrelevante Angelegenheiten für Axis Produkte.
Zugehörige Ressourcen
Axis Security Hall of Fame
In der Axis Security Hall of Fame würdigen wir die Beiträge unabhängiger Forscher und Unternehmen, die mit uns zusammenarbeiten, um die Sicherheit der Axis Kunden zu gewährleisten.
Portal für Cybersicherheit
Gemeinsam für einen besseren Cyberschutz.
Ressourcen für Cybersicherheit
Greifen Sie auf einmal auf eine Vielzahl von Cybersicherheitsressourcen zu, darunter Leitfäden zur Systemhärtung und Richtliniendokumente.