취약성 관리

소프트웨어 취약점을 관리하는 것은 중요한 활동입니다. 고객의 노출 위험을 최소화하기 위해 Axis는 취약성을 투명하게 관리하기 위한 업계 모범 사례를 구현합니다. 여기에는 고객에게 취약점을 알려서 적절한 시기에 조치를 취할 수 있도록 하는 것이 포함됩니다.

ID446826

취약성 관리가 중요한 이유

소프트웨어 취약점이란, 악용될 경우 보안 침해가 발생하고 기밀성, 데이터 무결성, 가용성이 손실될 수 있는 약점을 말합니다. 100% 취약점이 없는 소프트웨어는 없습니다. 취약성 관리란 지속적으로 취약점을 식별하고 패치하는 지속적인 프로세스입니다.

취약성 관리를 통해 Axis 제품과 서비스의 보안과 안정성이 강화되어 고객이 가능한 한 안전하게 운영할 수 있습니다. 우리는 취약점 관리 및 공개에 투명성을 도입하면 보안과 책임이 강화되고, 위험을 줄이고 신뢰를 구축하는 데 도움이 된다고 믿습니다.

일반적인 오해

ID387043

취약점은 품질이 좋지 않음을 의미합니다

흔히 오해되는 사실 중 하나는 취약점이 품질이 낮다는 것입니다. 어떤 소프트웨어도 오류나 버그가 전혀 없을 수 없으므로, 취약점의 존재 자체가 제품이나 공급업체의 품질에 크게 문제가 있다고 말할 수는 없습니다. 더욱 중요한 것은 공급업체가 취약점을 관리하는 데 취하는 접근 방식입니다. Axis에서는 제품 수명 주기 전반에 걸쳐 취약점을 찾아 수정하는 적극적인 접근 방식을 취하고 있습니다. 오류를 최소화하기 위해 우리는 개발 프로세스에 보안 활동을 통합합니다. 출시 후에는 새로 발견된 취약점을 관리하고 수정하기 위해 외부 기관과 공개적으로 협력하며 책임 있는 공개 절차를 적용합니다. 

이러한 노력은 Axis Security Development Model(ASDM) 에 따라 개략적으로 설명되고 안내됩니다. 해당 내용은 이 페이지 하단에 설명되어 있습니다.

ID383821

공개는 악용으로 이어지지 않습니다.

또 다른 흔한 오해는 취약점을 공개하면 해커가 자유롭게 악용할 수 있기 때문에 공개해서는 안 된다는 것입니다. Axis 보안 권고를 통해 취약점을 공개할 때는 최소한의 세부 정보만 제공합니다. 이를 통해 공격자가 취약점을 악용할 위험을 최소화하여 고객을 보호합니다. 저희는 취약점을 공개하기 전에 패치를 제공하는 것을 목표로 합니다.

Axis는 업계 모범 사례를 구현합니다

Axis는 2015년부터 취약성 관리를 위한 프로세스와 도구를 개발해 왔습니다. 취약성 관리란 결코 끝나지 않는 여정이기 때문에, Axis는 업계 모범 사례에 맞춰 프로세스를 개선하기 위해 끊임없이 노력하고 있습니다. 취약점을 식별하고 패치하고 공개하기 위해 우리는 연구자, 윤리적 해커, 최종 고객, 파트너 등 외부 당사자와 조율하여 투명하고 책임감 있게 협력합니다. 협력적인 취약성 공개에 대한 모범 사례를 따르므로, 취약성을 안전하게 Axis에 리포트할 수 있습니다. 

2016 - 패치된 취약점을 공개적으로 공개했습니다. 

2017 - 우리는 Axis 보안 개발 모델(ASDM)을 설계했습니다. ASDM은 사이버 보안 고려사항이 Axis 제품 및 솔루션의 수명 주기에 통합되도록 보장합니다. 

2020년 - 최초의 외부 침투 테스트를 실시했습니다.

2021년 - Axis 취약점 관리 정책을 만들었습니다. 이 안내서에서는 Axis 제품과 서비스의 취약점이 어떻게 관리되는지, 그리고 신뢰할 수 있는 공급업체인 Axis에서 무엇을 기대할 수 있는지에 대해 간략하게 설명합니다.

2021년 - 4월에 저희는 일반 취약점 및 노출 프로그램(CVE) 에 가입하고 CVE 번호 지정 기관(CNA)이 되었습니다. 저희는 CVE ID를 통해 취약점을 공개하고 CVE 프로그램에서 설명한 모범 사례 프레임워크를 따릅니다.

2022 - 12월에 Bugcrowd와 협력하여 AXIS OS 기반 네트워크 제품에 대한 버그 바운티 프로그램(버그 발견 시 보상을 지급하는 프로그램) 을 시작했습니다.

2023년 - Axis 사이버 보안 프레임워크를 공개했습니다. 이 문서에서는 Axis가 회사의 IT 인프라와 제품 제공 모두에서 보안 관련 위험을 지속적으로 해결하기 위해 시행하는 프로세스와 절차를 간략하게 설명합니다.

2024년 - AXIS OS 비공개 버그 현상금 프로그램을  AXIS OS 공개 버그 현상금 프로그램으로 전환했습니다. 즉, Bugcrowd 계정이 있는 모든 보안 연구원과 윤리적 해커가 AXIS OS와 관련된 취약점을 보고할 수 있습니다. 

2024년 - AXIS Camera Station Pro에 대한 새로운 비공개 버그 현상금 프로그램을 시작했습니다.  

ID403982

Axis 보안 개발 모델(ASDM)

ASDM의 목적은 사이버 보안에 대한 지침을 제공하고 기준을 확립하여 취약성과 개발 비용을 줄이는 것입니다. ASDM은 Axis 제품과 서비스에 맞게 직접 개발되었습니다. 이를 통해 제품이 출시되기 전에 수천 개의 취약점을 사전에 찾아 제거하고 제품 수명 주기 전반에 걸쳐 취약점을 지속적으로 해결할 수 있습니다. 우리의 목표는 프로세스나 인증 요건을 준수하는 것 뿐만 아니라 사이버 보안을 개선하는 것입니다. 따라서 Axis 개발팀은 개발하는 소프트웨어의 종류에 따라 어떤 활동에 참여할지 결정합니다.

ID449996

Bugcrowd의 버그 바운티 프로그램

Bugcrowd와 함께 하는 당사의 버그 바운티 프로그램은 신뢰할 수 있는 연구원과 윤리적 해커로 구성된 글로벌 커뮤니티에 대한 액세스를 제공함으로써 Axis 제품과 솔루션의 보안을 크게 강화하는 데 도움이 됩니다. 취약점이 발견되면 현금 보상(상금)을 제공합니다. 보상 금액은 취약점의 심각도에 따라 달라집니다. 당사는 프로그램의 매력과 경쟁력을 유지하기 위해 현금 보상 금액을 정기적으로 검토합니다. 

대부분의 CVE 공개는 Axis 버그 현상금 프로그램에서 발견된 결과에 따른 것입니다. 

ID449979

침투 테스트

외부 침투 테스트는 특정 시점의 제품 보안에 대한 통찰력과 확신을 제공합니다. 이러한 조사는 매년 전문화된 제3자 회사에 의해 수행됩니다. 고객 진술서는 사이버 보안 리소스 페이지에서 확인하십시오.

취약점을 쉽게 해결합니다

Axis는 고객이 다양한 기기에 취약성 패치와 보안 업데이트가 포함된 새로운 소프트웨어 버전을 쉽게 출시할 수 있도록 하는 소프트웨어를 제공합니다.  AXIS CompanionAXIS Camera Station와 같은 Axis 영상 관리 소프트웨어와 Milestone XProtect® 및 Genetec™ Security Center와 같은 파트너 비디오 관리 소프트웨어는 작동 중인 제품에 대한 새로운 AXIS OS 버전을 사용자에게 알립니다. AXIS Device ManagerAXIS Device Manager Extend도 경보 기능을 제공하며, 특히 고객이 여러 장치의 운영 체제를 동시에 업데이트할 수 있도록 합니다.

ID380295

취약점 보고 양식

보안을 강화하는 데 도움이 되도록, 조사 결과와 발견 사항을 저희와 공유해주십시오. 민감한 콘텐츠는 공개 PGP 키를 사용하여 암호화할 수 있습니다.

ID380294

문서화된 제품 취약점

Axis는 Axis 제품 및 AXIS OS 구성 요소와 관련된 취약점을 문서화하고 투명하게 공개합니다.

ID380298

보안 알림

Axis에서는 Axis 제품의 취약성 및 기타 보안 관련 문제의 정보를 전달하는 알림 서비스를 제공합니다.

관련 자료

ID449978

Axis 보안 명예의 전당

Axis 보안 명예의 전당에서는 Axis 고객의 안전을 위해 협력하는 독립 연구원과 기업의 공헌을 기리고 있습니다. 

man and woman working with computer

사이버 보안 포털

서로 협력하여 사이버 보호의 보안을 향상시킵니다.

ID380296

사이버 보안 리소스

보안 강화 가이드 및 정책 문서를 비롯한 다양하며 한 눈에 볼 수 있는 사이버 보안 자료에 액세스해 보십시오.

To top