ID446826

Perché la gestione della vulnerabilità è importante

La vulnerabilità del software è una debolezza che, se sfruttata, può causare una violazione della sicurezza e portare alla perdita di riservatezza, integrità e disponibilità dei dati. Nessun software è esente al 100% da vulnerabilità. La gestione delle vulnerabilità è un processo continuo che implica l'identificazione e la correzione costanti dei punti di debolezza.

La gestione delle vulnerabilità rafforza la sicurezza e l'affidabilità dei prodotti e dei servizi Axis, consentendo ai clienti di operare nel modo più sicuro possibile. Riteniamo che la trasparenza della gestione e della divulgazione delle vulnerabilità rafforzi la sicurezza e la responsabilità, contribuendo a ridurre i rischi e a creare fiducia.

Errori comuni

ID387043

Le vulnerabilità non significano cattiva qualità

Secondo una convinzione errata diffusa, le vulnerabilità sono sinonimo di scarsa qualità. Nessun software è completamente esente da errori o bug, quindi la presenza di vulnerabilità non è esplicativa circa la qualità di un prodotto o di un fornitore. Ciò che conta di più è l'approccio adottato dal fornitore nella gestione delle vulnerabilità. In Axis adottiamo un approccio proattivo, individuando e correggendo le vulnerabilità durante l'intero ciclo di vita dei nostri prodotti. Per ridurre al minimo gli errori fin dall'inizio, integriamo attività di sicurezza nel nostro processo di sviluppo. Dopo un rilascio, collaboriamo apertamente con le parti esterne per gestire e correggere le vulnerabilità individuate e applichiamo un processo di divulgazione responsabile. 

Questi impegni sono delineati e guidati dall'Axis Security Development Model (ASDM) descritto più avanti in questa pagina.

ID383821

Rivelare le vulnerabilità non porta a sfruttarle

Un altro luogo comune diffuso è che rivelare le vulnerabilità permetta agli hacker di sfruttarle liberamente e che, pertanto, non debbano essere divulgate. Quando comunichiamo le vulnerabilità tramite gli avvisi di sicurezza Axis, forniamo solo i dettagli minimi indispensabili. In questo modo si proteggono i clienti riducendo il rischio che un utente malintenzionato sfrutti una vulnerabilità. Il nostro obiettivo è fornire la patch per una vulnerabilità prima di divulgarla.

Axis implementa le migliori pratiche del settore

Dal 2015 Axis sviluppa processi e strumenti per la gestione delle vulnerabilità. Poiché la gestione delle vulnerabilità è un percorso continuo, ci impegniamo costantemente a migliorare i nostri processi in linea con le migliori pratiche del settore. Per identificare, correggere e divulgare le vulnerabilità, collaboriamo in modo trasparente e responsabile, coordinandoci con le parti esterne quali ricercatori, hacker etici, clienti finali e partner. Adottiamo le migliori pratiche per la divulgazione coordinata, pertanto le vulnerabilità possono essere segnalate in tutta sicurezza. 

2016 - Abbiamo reso pubblico il contenuto delle vulnerabilità corrette.

2017 - Abbiamo progettato l'Axis Security Development Model (ASDM). ASDM garantisce che le considerazioni sulla sicurezza informatica siano integrate nel ciclo di vita dei prodotti e delle soluzioni Axis. 

2020 - Abbiamo condotto il nostro primo test di penetrazione esterna.

2021 - Abbiamo creato la Politica di gestione delle vulnerabilità di Axis. Descrive in che modo vengono gestite le vulnerabilità nei nostri prodotti e servizi e cosa ci si può aspettare da Axis in qualità di fornitore affidabile.

2021 - Ad aprile abbiamo aderito al programma Common Vulnerabilities and Exposures (CVE) e siamo diventati una CVE Numbering Authority (CNA). Divulghiamo le vulnerabilità tramite ID CVE e seguiamo le migliori pratiche delineate dal programma CVE.

2022 - A dicembre abbiamo lanciato un programma bug bounty privato in collaborazione con Bugcrowd per i prodotti di rete basati su AXIS OS.

2023 - Abbiamo pubblicato il framework per la sicurezza informatica di Axis. Descrive i processi e le procedure che Axis applica per affrontare costantemente i rischi legati alla sicurezza, sia nell'infrastruttura IT della nostra azienda sia nell'offerta di prodotti.

2024 - Abbiamo trasformato il nostro programma bug bounty privato di AXIS OS nel nostro programma bug bounty pubblico di AXIS OS, il che significa che tutti i ricercatori di sicurezza e gli hacker etici con un account Bugcrowd possono segnalare vulnerabilità relative ad AXIS OS. 

2024 - Abbiamo lanciato un nuovo programma bug bounty privato per AXIS Camera Station Pro 

ID403982

Axis Security Development Model (ASDM)

Lo scopo dell'ASDM è quello di ridurre le vulnerabilità e i costi di sviluppo fornendo indicazioni e stabilendo una base di riferimento per la sicurezza informatica. Abbiamo sviluppato autonomamente l'ASDM per adattarlo ai nostri prodotti e servizi. Ci consente di individuare ed eliminare in modo proattivo migliaia di vulnerabilità prima del rilascio del prodotto e a continuare a risolverle durante l'intero ciclo di vita del prodotto. Il nostro obiettivo è migliorare la sicurezza informatica, non solo rispettare i processi o i requisiti di certificazione. Pertanto, i team di sviluppo di Axis decidono quali attività intraprendere a seconda del tipo di software che sviluppano.

ID449996

Programmi bug bounty sviluppati in collaborazione con Bugcrowd

I nostri programmi bug bounty sviluppati in collaborazione con Bugcrowd ci permettono di rafforzare significativamente la sicurezza dei prodotti e delle soluzioni, offrendo l'accesso a una comunità globale di ricercatori fidati e hacker etici. Quando viene identificata una vulnerabilità, offriamo una ricompensa in denaro. L'entità della ricompensa dipende dalla gravità della vulnerabilità. Verifichiamo regolarmente l'importo dei nostri premi in denaro per mantenere i nostri programmi interessanti e competitivi. 

Molte delle nostre divulgazioni CVE sono il risultato dei risultati di un programma bug bounty di Axis. 

ID449979

Test di penetrazione

I test di penetrazione esterna forniscono informazioni e garanzie sulla sicurezza di un prodotto in un determinato momento. Vengono condotti annualmente da società di terze parti specializzate. Per le dichiarazioni dei clienti, visita la pagina delle risorse sulla sicurezza informatica.

Facile risoluzione delle vulnerabilità

Axis fornisce il software che semplifica per i clienti l'implementazione di patch di vulnerabilità e nuovi aggiornamenti di sicurezza su numerosi dispositivi diversi.  I software per la gestione video Axis come AXIS CompanionAXIS Camera Station e i software per la gestione video dei partner come Milestone XProtect® e Genetec™ Security Center, informano gli utenti sulle nuove versioni del sistema operativo AXIS per i prodotti in uso. AXIS Device Manager e AXIS Device Manager Extend forniscono avvisi e consentono ai clienti di aggiornare il sistema operativo di più dispositivi contemporaneamente.

ID380295

Modulo per la segnalazione delle vulnerabilità

Per contribuire a rafforzare la sicurezza, condividi con noi i tuoi risultati. I contenuti sensibili possono essere crittografati utilizzando la nostra chiave PGP pubblica.

ID380294

Vulnerabilità del dispositivo documentate

Axis documenta e divulga in modo trasparente le vulnerabilità specifiche dei dispositivi Axis e dei componenti AXIS OS.

ID380298

Notifiche di sicurezza

Axis fornisce un servizio di notifiche per informazioni sulle vulnerabilità e altre questioni relative alla sicurezza dei dispositivi Axis.

Risorse correlate

ID449978

Hall of Fame della sicurezza di Axis

Nella Hall of Fame della sicurezza di Axis, riconosciamo il contributo di ricercatori e aziende indipendenti che collaborano con noi per garantire la sicurezza dei clienti Axis. 

ID380296

Risorse per la sicurezza informatica

Accedi a colpo d'occhio a una serie di risorse sulla sicurezza informatica, tra cui guide per la protezione e documenti sulle politiche.