Por qué es importante la gestión de vulnerabilidades
Una vulnerabilidad de software es una debilidad que, si se explota, puede provocar una violación de seguridad y provocar la pérdida de confidencialidad, integridad de los datos y disponibilidad. Ningún software está 100% libre de vulnerabilidades. La gestión de vulnerabilidades es un proceso continuo que implica la identificación y aplicación de parches de forma continua.
La gestión de vulnerabilidades fortalece la seguridad y fiabilidad de los productos y servicios de Axis, permitiendo a los clientes operar de la forma más segura posible. Creemos que la transparencia en la gestión y divulgación de vulnerabilidades fortalece la seguridad y la responsabilidad, ayudando a reducir los riesgos y generar confianza.
Percepciones erróneas comunes
Las vulnerabilidades no significan mala calidad
Una percepción errónea común es que las vulnerabilidades significan mala calidad. Ningún software está completamente libre de errores o fallos, por lo que la existencia de vulnerabilidades no dice mucho sobre la calidad de un producto o proveedor. Lo que más importa es el enfoque que adopta un proveedor para gestionar las vulnerabilidades. En Axis, adoptamos un enfoque proactivo y detectamos y solucionamos vulnerabilidades durante todo el ciclo de vida de nuestros productos. Para minimizar los errores desde el principio, incorporamos actividades de seguridad en nuestro proceso de desarrollo. Después de un lanzamiento, cooperamos abiertamente con partes externas para gestionar y corregir las vulnerabilidades recién descubiertas y aplicamos un proceso de divulgación responsable.
Estos esfuerzos están definidos y se basan en el Modelo de Desarrollo de Seguridad de Axis (ASDM) , que se describe más adelante en esta página.
La divulgación no conduce a la explotación
Otra percepción errónea frecuente es que revelar vulnerabilidades permite a los piratas informáticos explotarlas libremente y que, por lo tanto, no deberían revelarse. Cuando revelamos vulnerabilidades a través de los avisos de seguridad de Axis, proporcionamos un mínimo de detalles. Esto protege a los clientes al minimizar el riesgo de que un atacante explote una vulnerabilidad. Nuestro objetivo es proporcionar un parche para una vulnerabilidad antes de revelarla.
Axis implementa las mejores prácticas de la industria
Desde 2015, Axis ha estado desarrollando procesos y herramientas para la gestión de vulnerabilidades. Debido a que la gestión de vulnerabilidades es un viaje sin fin, nos esforzamos constantemente por mejorar nuestros procesos de acuerdo con las mejores prácticas de la industria. Para identificar, reparar y revelar vulnerabilidades, cooperamos de forma transparente y responsable, de manera coordinada con partes externas como investigadores, hackers éticos, clientes finales y socios. Debido a que seguimos las mejores prácticas para la divulgación coordinada de vulnerabilidades, las vulnerabilidades pueden informarse de manera segura.
2016 - Divulgamos públicamente vulnerabilidades parcheadas.
2017 - Diseñamos el Modelo de Desarrollo de Seguridad de Axis (ASDM). ASDM garantiza que las consideraciones de ciberseguridad se integren en el ciclo de vida de los productos y soluciones de Axis.
2020 - Realizamos nuestra primera prueba de penetración externa.
2021 - Creamos la Política de gestión de vulnerabilidades de Axis. Define cómo se gestionan las vulnerabilidades en nuestros productos y servicios y qué se puede esperar de Axis como proveedor de confianza.
2021 - En abril nos unimos al programa de vulnerabilidades y exposiciones comunes (CVE) y nos convertimos en una autoridad de numeración de CVE (CNA). Divulgamos vulnerabilidades a través de identificadores de CVE y seguimos el marco de mejores prácticas delineado por el programa CVE.
2022 - En diciembre, lanzamos un programa privado de recompensas por errores en asociación con Bugcrowd para productos de red basados en AXIS OS.
2023 - Publicamos el marco de ciberseguridad de Axis. Describe los procesos y procedimientos de Axis implementados para abordar continuamente los riesgos relacionados con la seguridad, tanto en la infraestructura de TI de nuestra empresa como en nuestras ofertas de productos.
2024 - Convertimos nuestro programa privado de recompensas por errores de AXIS OS en nuestro programa público de recompensas por errores de AXIS OS, lo que significa que todos los investigadores de seguridad y hackers éticos con una cuenta de Bugcrowd pueden informar de vulnerabilidades relacionadas con AXIS OS.
2024 - Lanzamos un nuevo programa privado de recompensas por errores para AXIS Camera Station Pro.
Modelo de desarrollo de seguridad de Axis (ASDM)
El propósito de ASDM es reducir las vulnerabilidades y los costes de desarrollo brindando orientación y estableciendo una línea de base para la ciberseguridad. Desarrollamos ASDM nosotros mismos para adaptarlo a nuestros productos y servicios. Nos ayuda a encontrar y eliminar de forma proactiva miles de vulnerabilidades antes del lanzamiento del producto y a seguir abordando las vulnerabilidades durante todo el ciclo de vida del producto. Nuestro objetivo es mejorar la ciberseguridad, no sólo cumplir con procesos o requisitos de certificación. Así, los equipos de desarrollo de Axis deciden qué actividades realizar según el tipo de software que estén desarrollando.
Programas de recompensas por errores con Bugcrowd
Nuestros programas de recompensas por errores con Bugcrowd nos ayudan a fortalecer significativamente la seguridad de nuestros productos y soluciones al brindar acceso a una comunidad global de investigadores de confianza y piratas informáticos éticos. Cuando se identifica una vulnerabilidad, ofrecemos una recompensa en efectivo (una recompensa). El importe de la recompensa depende de la gravedad de la vulnerabilidad. Revisamos periódicamente el monto de nuestras recompensas en efectivo para mantener nuestros programas atractivos y competitivos.
Muchas de nuestras divulgaciones CVE son el resultado de los hallazgos de un programa de recompensas por errores de Axis.
Pruebas de penetración
Las pruebas de penetración externas proporcionan información y garantía sobre la seguridad de un producto en un momento determinado. Son realizados por empresas externas especializadas anualmente. Para ver las declaraciones de los clientes, visite el sitio Página de recursos de ciberseguridad .
Abordar vulnerabilidades fácilmente
Axis proporciona software que facilita a los clientes la implementación de parches de vulnerabilidad y nuevas versiones de software con actualizaciones de seguridad para muchos dispositivos diferentes. El software de gestión de vídeo de Axis, como AXIS Companion, AXIS Camera Station y el software de gestión de vídeo de socios, como Milestone XProtect® y Genetec™ Security Center, alertan a los usuarios sobre nuevas versiones del sistema operativo AXIS para los productos en funcionamiento. AXIS Device Manager y AXIS Device Manager Extend también proporcionan alertas y, entre otras cosas, permiten a los clientes actualizar el sistema operativo de varios dispositivos a la vez.
Formulario para informar de una vulnerabilidad
Para ayudar a fortalecer la seguridad, comparta sus hallazgos y descubrimientos con nosotros. El contenido confidencial se puede cifrar con nuestra clave PGP pública.
Vulnerabilidades documentadas del producto
Axis documenta y muestra de forma transparente vulnerabilidades de los productos y componentes de Axis y AXIS ON.
Notificaciones de seguridad
Axis proporciona un servicio de notificación para obtener información sobre vulnerabilidades y otros asuntos relacionados con la seguridad de los productos Axis.
Recursos relacionados
Salón de la fama de la seguridad de Axis
En el Salón de la fama de seguridad de Axis, reconocemos las contribuciones de investigadores y empresas independientes que colaboran con nosotros para mantener seguros a los clientes de Axis.
Portal de ciberseguridad
Garantizar una mejor ciberprotección juntos.
Recursos de ciberseguridad
De un vistazo, acceda a una gran cantidad de recursos de seguridad cibernética, incluidas guías de refuerzo y documentos de políticas.