Luka w zabezpieczeniach oprogramowania to słaby punkt, którego wykorzystanie może skutkować naruszeniem bezpieczeństwa i doprowadzić do utraty poufności, integralności i dostępności danych. Żadne oprogramowanie nie jest w 100% bezpieczne. Zarządzanie podatnościami to ciągły proces obejmujący nieustanne identyfikowanie i usuwanie słabych punktów.
Zarządzanie podatnościami wzmacnia bezpieczeństwo i niezawodność produktów i usług firmy Axis, umożliwiając klientom jak najbezpieczniejsze działanie. Wierzymy, że przejrzystość w zarządzaniu lukami w zabezpieczeniach i ich ujawnianiu zwiększa bezpieczeństwo i odpowiedzialność, pomagając w ten sposób ograniczać ryzyko i budować zaufanie.
Powszechnym błędnym przekonaniem jest, że podatności na zagrożenia świadczą o niskiej jakości produktu. Żadne oprogramowanie nie jest całkowicie wolne od błędów i usterek, więc istnienie luk w zabezpieczeniach niewiele mówi o jakości produktu lub dostawcy. Ważniejsze jest podejście dostawcy do zarządzania lukami w zabezpieczeniach. W firmie Axis stosujemy proaktywne podejście, wyszukując i usuwając luki w zabezpieczeniach przez cały cykl życia naszych produktów. Aby zminimalizować ryzyko błędów już od samego początku, wprowadziliśmy działania związane z bezpieczeństwem do naszego procesu rozwoju. Po udostępnieniu oprogramowania współpracujemy otwarcie z podmiotami zewnętrznymi w zakresie zarządzania nowo odkrytymi lukami w zabezpieczeniach i ich usuwania, a także stosujemy odpowiedzialny proces ujawniania informacji.
Działania te zostały opisane w modelu rozwoju bezpieczeństwa firmy Axis (ASDM), który jest opisany dalej na tej stronie.
Innym częstym błędnym przekonaniem jest to, że ujawnienie informacji o lukach w zabezpieczeniach umożliwia hakerom ich swobodne wykorzystywanie i w związku z tym nie należy ich ujawniać. Ujawniając luki w zabezpieczeniach w komunikatach bezpieczeństwa firmy Axis, podajemy absolutne minimum szczegółów. Pomaga to chronić klientów poprzez zminimalizowanie ryzyka wykorzystania luk w zabezpieczeniach przez osoby atakujące. Naszym celem jest dostarczenie poprawki do luki w zabezpieczeniach, zanim ją ujawnimy.
Od 2015 roku firma Axis opracowuje procesy i narzędzia do zarządzania lukami w zabezpieczeniach. Ponieważ zarządzanie lukami w zabezpieczeniach nigdy się nie kończy, dlatego również nieustannie dążymy do udoskonalania naszych procesów zgodnie z najlepszymi praktykami branżowymi. Aby identyfikować, naprawiać i ujawniać luki w zabezpieczeniach, współpracujemy w sposób przejrzysty, odpowiedzialny i skoordynowany z podmiotami zewnętrznymi, takimi jak badacze, etyczni hakerzy, klienci końcowi i partnerzy. Stosujemy najlepsze praktyki skoordynowanego ujawniania luk w zabezpieczeniach, dlatego można nam bezpiecznie zgłaszać luki w zabezpieczeniach.
Dowiedz się więcej o tym, jak firma Axis radzi sobie z podatnościami i wdraża najlepsze praktyki branżowe.
Posłuchaj przedstawicieli firmy Axis oraz etycznego hakera z programu AXIS OS bug bounty.
2016 — Publicznie ujawniliśmy naprawione luki w zabezpieczeniach.
2017 - Opracowaliśmy model rozwoju bezpieczeństwa Axis (ASDM). ASDM ma na celu zapewnić, aby zagadnienia cyberbezpieczeństwa były uwzględniane w cyklu życia produktów i rozwiązań Axis.
2020 - Przeprowadziliśmy nasze pierwsze zewnętrzne testy penetracyjne.
2021 — Opracowaliśmy Zasady zarządzania lukami w zabezpieczeniach firmy Axis. Opisują one sposób zarządzania lukami w zabezpieczeniach naszych produktów i usług oraz czego można oczekiwać od firmy Axis jako zaufanego dostawcy.
2021 — W kwietniu dołączyliśmy do programu Common Vulnerabilities and Exposures (CVE) i staliśmy się CVE Numbering Authority (CNA). Ujawniamy luki w zabezpieczeniach za pośrednictwem identyfikatorów CVE i postępujemy zgodnie z najlepszymi praktykami określonymi w programie CVE.
2022 — W grudniu uruchomiliśmy prywatny program nagród za wykryte błędy we współpracy z Bugcrowd dla produktów sieciowych opartych na systemie AXIS OS.
2023 — Opublikowaliśmy Podstawy cyberbezpieczeństwa firmy Axis. W dokumencie tym opisano procesy i procedury firmy Axis wdrożone w celu ciągłego reagowania na zagrożenia związane z bezpieczeństwem, zarówno w infrastrukturze informatycznej naszej firmy, jak i w oferowanych przez nas produktach.
2024 - Rozszerzyliśmy naszą ofertę programów „bug bounty”. Nasz prywatny program nagród za wykryte błędy w systemie AXIS OS przekształciliśmy w publiczny program nagród za wykryte błędy w systemie AXIS OS, co oznacza, że wszyscy badacze ds. zabezpieczeń i etyczni hakerzy posiadający konto Bugcrowd mogą zgłaszać luki w zabezpieczeniach związane z systemem AXIS OS. Uruchomiliśmy także nowy prywatny program nagród za błędy w AXIS Camera Station Pro.
Celem ASDM jest ograniczanie luk w zabezpieczeniach i kosztów rozwoju poprzez zapewnienie wskazówek i ustalenie podstawowych zasad cyberbezpieczeństwa. Sami opracowaliśmy ASDM, aby dostosować go do naszych produktów i usług. Pomaga nam proaktywnie wyszukiwać i eliminować tysiące luk w zabezpieczeniach jeszcze przed udostępnieniem produktów oraz stale je eliminować w trakcie całego cyklu życia produktów. Naszym celem jest poprawa cyberbezpieczeństwa, a nie tylko dostosowanie się do procesów i wymogów certyfikacyjnych. Dlatego zespoły programistów Axis decydują, jakie działania podjąć w zależności od rodzaju oprogramowania, jakie opracowują.
Nasze programy nagród za wykryte błędy we współpracy z Bugcrowd pomagają nam znacząco zwiększyć bezpieczeństwo naszych produktów i rozwiązań, zapewniając dostęp do globalnej społeczności zaufanych badaczy i etycznych hakerów. Za znalezienie luki w zabezpieczeniach przyznajemy nagrodę pieniężną. Wysokość nagrody zależy od stopnia zagrożenia. Regularnie weryfikujemy wysokość nagród pieniężnych, aby nasze programy były atrakcyjne i konkurencyjne.
Wiele z naszych ujawnień CVE to wynik ustaleń programu nagród za wykryte błędy firmy Axis.
Chcesz dowiedzieć się więcej o naszej współpracy z Bugcrowd? Obejrzyj nagranie webinaru z października 2024 r. tutaj.
Zewnętrzne testy penetracyjne zapewniają dane i pozwalają zyskać pewność co do bezpieczeństwa produktu w określonym momencie. Przeprowadzane są one corocznie przez specjalistyczne firmy zewnętrzne. Oświadczenia klientów można znaleźć wCentrum zaufania AXIS dla produktów opartych na systemie AXIS OS.
Axis udostępnia oprogramowanie, które ułatwia klientom wdrażanie poprawek zabezpieczeń i nowych wersji oprogramowania z aktualizacjami zabezpieczeń na wielu różnych urządzeniach. Aplikacja AXIS Camera Station Edge oferuje zaplanowane lub automatyczne aktualizacje, a aplikacja AXIS Camera Station Pro powiadamia o nowych aktualizacjach i umożliwia ich planowanie. Partnerskie oprogramowanie do zarządzania materiałem wizyjnym, takie jak XProtect® i Genetec™ Security Center, ostrzega użytkowników o nowych wersjach systemu AXIS OS dla używanych produktów. Oprogramowanie do zarządzania urządzeniami Axis wyświetla również alerty i umożliwia klientom m.in. aktualizację systemu operacyjnego na wielu urządzeniach jednocześnie.
Aby pomóc zapewnić większe bezpieczeństwo, prosimy o dzielenie się z nami odkryciami i ustaleniami. Wrażliwe treści można szyfrować za pomocą naszych publicznych kluczy PGP.
Axis dokumentuje i przejrzyście ujawnia luki w zabezpieczeniach wykrywane w produktach i usługach Axis.
Axis zapewnia usługę powiadamiania o lukach w zabezpieczeniach i innych kwestiach związanych z bezpieczeństwem produktów Axis.
W galerii sław bezpieczeństwa Axis doceniamy wkład niezależnych badaczy i firm, które współpracują z nami w celu zapewnienia bezpieczeństwa klientom Axis.
Wspólne zapewnienie lepszej ochrony cybernetycznej.
Szybki dostęp do wielu zasobów związanych z cyberbezpieczeństwem, w tym przewodników po zabezpieczeniach i dokumentów dotyczących zasad.