Zarządzanie podatnością na ataki

Bezpieczeństwo poprzez przejrzystość

Dlaczego zarządzanie lukami w zabezpieczeniach ma znaczenie

Luka w zabezpieczeniach oprogramowania to słaby punkt, którego wykorzystanie może skutkować naruszeniem bezpieczeństwa i doprowadzić do utraty poufności, integralności i dostępności danych. Żadne oprogramowanie nie jest w 100% bezpieczne. Zarządzanie podatnościami to ciągły proces obejmujący nieustanne identyfikowanie i usuwanie słabych punktów.

Zarządzanie podatnościami wzmacnia bezpieczeństwo i niezawodność produktów i usług firmy Axis, umożliwiając klientom jak najbezpieczniejsze działanie. Wierzymy, że przejrzystość w zarządzaniu lukami w zabezpieczeniach i ich ujawnianiu zwiększa bezpieczeństwo i odpowiedzialność, pomagając w ten sposób ograniczać ryzyko i budować zaufanie.

Powszechne błędy w postrzeganiu

Podatności nie oznaczają, że produkt jest zły

Powszechnym błędnym przekonaniem jest, że podatności na zagrożenia świadczą o niskiej jakości produktu. Żadne oprogramowanie nie jest całkowicie wolne od błędów i usterek, więc istnienie luk w zabezpieczeniach niewiele mówi o jakości produktu lub dostawcy. Ważniejsze jest podejście dostawcy do zarządzania lukami w zabezpieczeniach. W firmie Axis stosujemy proaktywne podejście, wyszukując i usuwając luki w zabezpieczeniach przez cały cykl życia naszych produktów. Aby zminimalizować ryzyko błędów już od samego początku, wprowadziliśmy działania związane z bezpieczeństwem do naszego procesu rozwoju. Po udostępnieniu oprogramowania współpracujemy otwarcie z podmiotami zewnętrznymi w zakresie zarządzania nowo odkrytymi lukami w zabezpieczeniach i ich usuwania, a także stosujemy odpowiedzialny proces ujawniania informacji.

Działania te zostały opisane w modelu rozwoju bezpieczeństwa firmy Axis (ASDM), który jest opisany dalej na tej stronie.

Ujawnianie informacji nie prowadzi do nadużyć

Innym częstym błędnym przekonaniem jest to, że ujawnienie informacji o lukach w zabezpieczeniach umożliwia hakerom ich swobodne wykorzystywanie i w związku z tym nie należy ich ujawniać. Ujawniając luki w zabezpieczeniach w komunikatach bezpieczeństwa firmy Axis, podajemy absolutne minimum szczegółów. Pomaga to chronić klientów poprzez zminimalizowanie ryzyka wykorzystania luk w zabezpieczeniach przez osoby atakujące. Naszym celem jest dostarczenie poprawki do luki w zabezpieczeniach, zanim ją ujawnimy.

Firma Axis wdraża najlepsze praktyki branżowe

Od 2015 roku firma Axis opracowuje procesy i narzędzia do zarządzania lukami w zabezpieczeniach. Ponieważ zarządzanie lukami w zabezpieczeniach nigdy się nie kończy, dlatego również nieustannie dążymy do udoskonalania naszych procesów zgodnie z najlepszymi praktykami branżowymi. Aby identyfikować, naprawiać i ujawniać luki w zabezpieczeniach, współpracujemy w sposób przejrzysty, odpowiedzialny i skoordynowany z podmiotami zewnętrznymi, takimi jak badacze, etyczni hakerzy, klienci końcowi i partnerzy. Stosujemy najlepsze praktyki skoordynowanego ujawniania luk w zabezpieczeniach, dlatego można nam bezpiecznie zgłaszać luki w zabezpieczeniach.

Podejście Axis do zarządzania podatnościami oprogramowania

Dowiedz się więcej o tym, jak firma Axis radzi sobie z podatnościami i wdraża najlepsze praktyki branżowe.

Axis podejmuje się realizacji programów bug bounty we współpracy ze społecznością Bugcrowd

Posłuchaj przedstawicieli firmy Axis oraz etycznego hakera z programu AXIS OS bug bounty.

2016 — Publicznie ujawniliśmy naprawione luki w zabezpieczeniach.

2017 - Opracowaliśmy model rozwoju bezpieczeństwa Axis (ASDM). ASDM ma na celu zapewnić, aby zagadnienia cyberbezpieczeństwa były uwzględniane w cyklu życia produktów i rozwiązań Axis.

2020 - Przeprowadziliśmy nasze pierwsze zewnętrzne testy penetracyjne.

2021 — Opracowaliśmy Zasady zarządzania lukami w zabezpieczeniach firmy Axis. Opisują one sposób zarządzania lukami w zabezpieczeniach naszych produktów i usług oraz czego można oczekiwać od firmy Axis jako zaufanego dostawcy.

2021 — W kwietniu dołączyliśmy do programu Common Vulnerabilities and Exposures (CVE) i staliśmy się CVE Numbering Authority (CNA). Ujawniamy luki w zabezpieczeniach za pośrednictwem identyfikatorów CVE i postępujemy zgodnie z najlepszymi praktykami określonymi w programie CVE.

2022 — W grudniu uruchomiliśmy prywatny program nagród za wykryte błędy we współpracy z Bugcrowd dla produktów sieciowych opartych na systemie AXIS OS.

2023 — Opublikowaliśmy Podstawy cyberbezpieczeństwa firmy Axis. W dokumencie tym opisano procesy i procedury firmy Axis wdrożone w celu ciągłego reagowania na zagrożenia związane z bezpieczeństwem, zarówno w infrastrukturze informatycznej naszej firmy, jak i w oferowanych przez nas produktach.

2024 - Rozszerzyliśmy naszą ofertę programów „bug bounty”. Nasz prywatny program nagród za wykryte błędy w systemie AXIS OS przekształciliśmy w publiczny program nagród za wykryte błędy w systemie AXIS OS, co oznacza, że wszyscy badacze ds. zabezpieczeń i etyczni hakerzy posiadający konto Bugcrowd mogą zgłaszać luki w zabezpieczeniach związane z systemem AXIS OS. Uruchomiliśmy także nowy prywatny program nagród za błędy w AXIS Camera Station Pro.

Model rozwoju bezpieczeństwa firmy Axis (ASDM)

Model rozwoju bezpieczeństwa firmy Axis (ASDM)

Celem ASDM jest ograniczanie luk w zabezpieczeniach i kosztów rozwoju poprzez zapewnienie wskazówek i ustalenie podstawowych zasad cyberbezpieczeństwa. Sami opracowaliśmy ASDM, aby dostosować go do naszych produktów i usług. Pomaga nam proaktywnie wyszukiwać i eliminować tysiące luk w zabezpieczeniach jeszcze przed udostępnieniem produktów oraz stale je eliminować w trakcie całego cyklu życia produktów. Naszym celem jest poprawa cyberbezpieczeństwa, a nie tylko dostosowanie się do procesów i wymogów certyfikacyjnych. Dlatego zespoły programistów Axis decydują, jakie działania podjąć w zależności od rodzaju oprogramowania, jakie opracowują.

Dowiedz się więcej o ASDM

Programy nagród za wykryte błędy we współpracy z Bugcrowd

Nasze programy nagród za wykryte błędy we współpracy z Bugcrowd pomagają nam znacząco zwiększyć bezpieczeństwo naszych produktów i rozwiązań, zapewniając dostęp do globalnej społeczności zaufanych badaczy i etycznych hakerów. Za znalezienie luki w zabezpieczeniach przyznajemy nagrodę pieniężną. Wysokość nagrody zależy od stopnia zagrożenia. Regularnie weryfikujemy wysokość nagród pieniężnych, aby nasze programy były atrakcyjne i konkurencyjne.

Wiele z naszych ujawnień CVE to wynik ustaleń programu nagród za wykryte błędy firmy Axis.

Chcesz dowiedzieć się więcej o naszej współpracy z Bugcrowd? Obejrzyj nagranie webinaru z października 2024 r. tutaj.

Testy penetracyjne

Testy penetracyjne

Zewnętrzne testy penetracyjne zapewniają dane i pozwalają zyskać pewność co do bezpieczeństwa produktu w określonym momencie. Przeprowadzane są one corocznie przez specjalistyczne firmy zewnętrzne. Oświadczenia klientów można znaleźć wCentrum zaufania AXIS dla produktów opartych na systemie AXIS OS.

Łatwe eliminowanie luk w zabezpieczeniach

Axis udostępnia oprogramowanie, które ułatwia klientom wdrażanie poprawek zabezpieczeń i nowych wersji oprogramowania z aktualizacjami zabezpieczeń na wielu różnych urządzeniach. Aplikacja AXIS Camera Station Edge oferuje zaplanowane lub automatyczne aktualizacje, a aplikacja AXIS Camera Station Pro powiadamia o nowych aktualizacjach i umożliwia ich planowanie. Partnerskie oprogramowanie do zarządzania materiałem wizyjnym, takie jak XProtect® i Genetec™ Security Center, ostrzega użytkowników o nowych wersjach systemu AXIS OS dla używanych produktów. Oprogramowanie do zarządzania urządzeniami Axis wyświetla również alerty i umożliwia klientom m.in. aktualizację systemu operacyjnego na wielu urządzeniach jednocześnie.

Formularz zgłoszenia luki w zabezpieczeniach

Aby pomóc zapewnić większe bezpieczeństwo, prosimy o dzielenie się z nami odkryciami i ustaleniami. Wrażliwe treści można szyfrować za pomocą naszych publicznych kluczy PGP.

Zgłoś lukę w bezpieczeństwie