Dlaczego zarządzanie lukami w zabezpieczeniach ma znaczenie
Luka w zabezpieczeniach oprogramowania to słaby punkt, którego wykorzystanie może skutkować naruszeniem bezpieczeństwa i doprowadzić do utraty poufności, integralności i dostępności danych. Żadne oprogramowanie nie jest w 100% bezpieczne. Zarządzanie lukami w zabezpieczeniach to ciągły proces obejmujący ciągłą identyfikację i usuwanie słabych punktów.
Zapewnia on większe bezpieczeństwo i niezawodność produktów i usług firmy Axis, umożliwiając klientom prowadzenie działalności w możliwie najbezpieczniejszy sposób. Wierzymy, że przejrzystość w zarządzaniu lukami w zabezpieczeniach i ich ujawnianiu zwiększa bezpieczeństwo i odpowiedzialność, pomagając w ten sposób ograniczać ryzyko i budować zaufanie.
Powszechne błędy w postrzeganiu
Luki nie oznaczają złej jakości
Częstym błędnym przekonaniem jest to, że luki w zabezpieczeniach oznaczają niską jakość. Żadne oprogramowanie nie jest całkowicie wolne od błędów i usterek, więc istnienie luk w zabezpieczeniach niewiele mówi o jakości produktu lub dostawcy. Ważniejsze jest podejście dostawcy do zarządzania lukami w zabezpieczeniach. W firmie Axis stosujemy proaktywne podejście, wyszukując i usuwając luki w zabezpieczeniach przez cały cykl życia naszych produktów. Aby zminimalizować ryzyko błędów już od samego początku, wprowadziliśmy działania związane z bezpieczeństwem do naszego procesu rozwoju. Po udostępnieniu oprogramowania współpracujemy otwarcie z podmiotami zewnętrznymi w zakresie zarządzania nowo odkrytymi lukami w zabezpieczeniach i ich usuwania, a także stosujemy odpowiedzialny proces ujawniania informacji.
Działania te zostały opisane w modelu rozwoju bezpieczeństwa firmy Axis (ASDM), który jest opisany dalej na tej stronie.
Ujawnienie nie prowadzi do wykorzystania
Innym częstym błędnym przekonaniem jest to, że ujawnienie informacji o lukach w zabezpieczeniach umożliwia hakerom ich swobodne wykorzystywanie i w związku z tym nie należy ich ujawniać. Ujawniając luki w zabezpieczeniach w komunikatach bezpieczeństwa firmy Axis, podajemy absolutne minimum szczegółów. Pomaga to chronić klientów poprzez zminimalizowanie ryzyka wykorzystania luk w zabezpieczeniach przez osoby atakujące. Naszym celem jest dostarczenie poprawki do luki w zabezpieczeniach, zanim ją ujawnimy.
Firma Axis wdraża najlepsze praktyki branżowe
Od 2015 roku firma Axis opracowuje procesy i narzędzia do zarządzania lukami w zabezpieczeniach. Ponieważ zarządzanie lukami w zabezpieczeniach nigdy się nie kończy, dlatego również nieustannie dążymy do udoskonalania naszych procesów zgodnie z najlepszymi praktykami branżowymi. Aby identyfikować, naprawiać i ujawniać luki w zabezpieczeniach, współpracujemy w sposób przejrzysty, odpowiedzialny i skoordynowany z podmiotami zewnętrznymi, takimi jak badacze, etyczni hakerzy, klienci końcowi i partnerzy. Stosujemy najlepsze praktyki skoordynowanego ujawniania luk w zabezpieczeniach, dlatego można nam bezpiecznie zgłaszać luki w zabezpieczeniach.
2016 — Publicznie ujawniliśmy naprawione luki w zabezpieczeniach.
2017 — Zaprojektowaliśmy model rozwoju bezpieczeństwa firmy Axis (ASDM). ASDM ma na celu zapewnić, aby zagadnienia cyberbezpieczeństwa były uwzględniane w cyklu życia produktów i rozwiązań Axis.
2020 — Przeprowadziliśmy pierwszy zewnętrzny test penetracyjny.
2021 — Opracowaliśmy Zasady zarządzania lukami w zabezpieczeniach firmy Axis. Opisują one sposób zarządzania lukami w zabezpieczeniach naszych produktów i usług oraz czego można oczekiwać od firmy Axis jako zaufanego dostawcy.
2021 — W kwietniu dołączyliśmy do programu Common Vulnerabilities and Exposures (CVE) i staliśmy się CVE Numbering Authority (CNA). Ujawniamy luki w zabezpieczeniach za pośrednictwem identyfikatorów CVE i postępujemy zgodnie z najlepszymi praktykami określonymi w programie CVE.
2022 — W grudniu uruchomiliśmy prywatny program nagród za wykryte błędy we współpracy z Bugcrowd dla produktów sieciowych opartych na systemie AXIS OS.
2023 — Opublikowaliśmy Podstawy cyberbezpieczeństwa firmy Axis. W dokumencie tym opisano procesy i procedury firmy Axis wdrożone w celu ciągłego reagowania na zagrożenia związane z bezpieczeństwem, zarówno w infrastrukturze informatycznej naszej firmy, jak i w oferowanych przez nas produktach.
2024 - Nasz prywatny program nagród za wykryte błędy w systemie AXIS OS przekształciliśmy w publiczny program nagród za wykryte błędy w systemie AXIS OS, co oznacza, że wszyscy badacze ds. zabezpieczeń i etyczni hakerzy posiadający konto Bugcrowd mogą zgłaszać luki w zabezpieczeniach związane z systemem AXIS OS.
2024 - Uruchomiliśmy nowy prywatny program nagród za błędy w AXIS Camera Station Pro.
Model rozwoju bezpieczeństwa firmy Axis (ASDM)
Celem ASDM jest ograniczanie luk w zabezpieczeniach i kosztów rozwoju poprzez zapewnienie wskazówek i ustalenie podstawowych zasad cyberbezpieczeństwa. Sami opracowaliśmy ASDM, aby dostosować go do naszych produktów i usług. Pomaga nam proaktywnie wyszukiwać i eliminować tysiące luk w zabezpieczeniach jeszcze przed udostępnieniem produktów oraz stale je eliminować w trakcie całego cyklu życia produktów. Naszym celem jest poprawa cyberbezpieczeństwa, a nie tylko dostosowanie się do procesów i wymogów certyfikacyjnych. Dlatego zespoły programistów Axis decydują, jakie działania podjąć w zależności od rodzaju oprogramowania, jakie opracowują.
Programy nagród za wykryte błędy we współpracy z Bugcrowd
Nasze programy nagród za wykryte błędy we współpracy z Bugcrowd pomagają nam znacząco zwiększyć bezpieczeństwo naszych produktów i rozwiązań, zapewniając dostęp do globalnej społeczności zaufanych badaczy i etycznych hakerów. Za znalezienie luki w zabezpieczeniach przyznajemy nagrodę pieniężną. Wysokość nagrody zależy od stopnia zagrożenia. Regularnie dokonujemy przeglądu wysokości naszych nagród pieniężnych, aby utrzymać atrakcyjność i konkurencyjność naszych programów.
Wiele z naszych ujawnień CVE to wynik ustaleń programu nagród za wykryte błędy firmy Axis.
Testy penetracyjne
Zewnętrzne testy penetracyjne zapewniają dane i pozwalają zyskać pewność co do bezpieczeństwa produktu w określonym momencie. Przeprowadzane są one corocznie przez specjalistyczne firmy zewnętrzne. Oświadczenia klientów można znaleźć na stronie Zasoby dotyczące cyberbezpieczeństwa .
Łatwe eliminowanie luk w zabezpieczeniach
Axis udostępnia oprogramowanie, które ułatwia klientom wdrażanie poprawek zabezpieczeń i nowych wersji oprogramowania z aktualizacjami zabezpieczeń na wielu różnych urządzeniach. Oprogramowanie do zarządzania wideo firmy Axis, takie jak AXIS Companion, AXIS Camera Station, oraz oprogramowanie partnerów do zarządzania wideo, takie jak Milestone XProtect® i Genetec™ Security Center, powiadamiają użytkowników o nowych wersjach systemu operacyjnego AXIS dla produktów będących w użyciu. AXIS Device Manager i AXIS Device Manager Extend również wyświetlają alerty i umożliwiają klientom m.in. aktualizację systemu operacyjnego na wielu urządzeniach jednocześnie.
Formularz zgłoszenia luki w zabezpieczeniach
Aby pomóc zapewnić większe bezpieczeństwo, prosimy o dzielenie się z nami odkryciami i ustaleniami. Wrażliwe treści można szyfrować za pomocą naszych publicznych kluczy PGP.
Udokumentowane luki w zabezpieczeniach produktów
Axis dokumentuje i przejrzyście ujawnia luki w zabezpieczeniach specyficzne dla produktów Axis i komponentów AXIS OS.
Powiadomienia dotyczące bezpieczeństwa
Axis zapewnia usługę powiadamiania o lukach w zabezpieczeniach i innych kwestiach związanych z bezpieczeństwem produktów Axis.
Powiązane zasoby
Galeria sław bezpieczeństwa Axis
W galerii sław bezpieczeństwa Axis doceniamy wkład niezależnych badaczy i firm, które współpracują z nami w celu zapewnienia bezpieczeństwa klientom Axis.
Portal cyberbezpieczeństwa
Wspólne zapewnienie lepszej ochrony cybernetycznej.
Zasoby dotyczące cyberbezpieczeństwa
Szybki dostęp do wielu zasobów związanych z cyberbezpieczeństwem, w tym przewodników po zabezpieczeniach i dokumentów dotyczących zasad.