ID446826

Dlaczego zarządzanie lukami w zabezpieczeniach ma znaczenie

Luka w zabezpieczeniach oprogramowania to słaby punkt, którego wykorzystanie może skutkować naruszeniem bezpieczeństwa i doprowadzić do utraty poufności, integralności i dostępności danych. Żadne oprogramowanie nie jest w 100% bezpieczne. Zarządzanie lukami w zabezpieczeniach to ciągły proces obejmujący ciągłą identyfikację i usuwanie słabych punktów.

Zapewnia on większe bezpieczeństwo i niezawodność produktów i usług firmy Axis, umożliwiając klientom prowadzenie działalności w możliwie najbezpieczniejszy sposób. Wierzymy, że przejrzystość w zarządzaniu lukami w zabezpieczeniach i ich ujawnianiu zwiększa bezpieczeństwo i odpowiedzialność, pomagając w ten sposób ograniczać ryzyko i budować zaufanie.

Powszechne błędy w postrzeganiu

ID387043

Luki nie oznaczają złej jakości

Częstym błędnym przekonaniem jest to, że luki w zabezpieczeniach oznaczają niską jakość. Żadne oprogramowanie nie jest całkowicie wolne od błędów i usterek, więc istnienie luk w zabezpieczeniach niewiele mówi o jakości produktu lub dostawcy. Ważniejsze jest podejście dostawcy do zarządzania lukami w zabezpieczeniach. W firmie Axis stosujemy proaktywne podejście, wyszukując i usuwając luki w zabezpieczeniach przez cały cykl życia naszych produktów. Aby zminimalizować ryzyko błędów już od samego początku, wprowadziliśmy działania związane z bezpieczeństwem do naszego procesu rozwoju. Po udostępnieniu oprogramowania współpracujemy otwarcie z podmiotami zewnętrznymi w zakresie zarządzania nowo odkrytymi lukami w zabezpieczeniach i ich usuwania, a także stosujemy odpowiedzialny proces ujawniania informacji. 

Działania te zostały opisane w modelu rozwoju bezpieczeństwa firmy Axis (ASDM), który jest opisany dalej na tej stronie.

ID383821

Ujawnienie nie prowadzi do wykorzystania

Innym częstym błędnym przekonaniem jest to, że ujawnienie informacji o lukach w zabezpieczeniach umożliwia hakerom ich swobodne wykorzystywanie i w związku z tym nie należy ich ujawniać. Ujawniając luki w zabezpieczeniach w komunikatach bezpieczeństwa firmy Axis, podajemy absolutne minimum szczegółów. Pomaga to chronić klientów poprzez zminimalizowanie ryzyka wykorzystania luk w zabezpieczeniach przez osoby atakujące. Naszym celem jest dostarczenie poprawki do luki w zabezpieczeniach, zanim ją ujawnimy.

Firma Axis wdraża najlepsze praktyki branżowe

Od 2015 roku firma Axis opracowuje procesy i narzędzia do zarządzania lukami w zabezpieczeniach. Ponieważ zarządzanie lukami w zabezpieczeniach nigdy się nie kończy, dlatego również nieustannie dążymy do udoskonalania naszych procesów zgodnie z najlepszymi praktykami branżowymi. Aby identyfikować, naprawiać i ujawniać luki w zabezpieczeniach, współpracujemy w sposób przejrzysty, odpowiedzialny i skoordynowany z podmiotami zewnętrznymi, takimi jak badacze, etyczni hakerzy, klienci końcowi i partnerzy. Stosujemy najlepsze praktyki skoordynowanego ujawniania luk w zabezpieczeniach, dlatego można nam bezpiecznie zgłaszać luki w zabezpieczeniach. 

2016 — Publicznie ujawniliśmy naprawione luki w zabezpieczeniach.

2017 Zaprojektowaliśmy model rozwoju bezpieczeństwa firmy Axis (ASDM). ASDM ma na celu zapewnić, aby zagadnienia cyberbezpieczeństwa były uwzględniane w cyklu życia produktów i rozwiązań Axis. 

2020 Przeprowadziliśmy pierwszy zewnętrzny test penetracyjny.

2021 — Opracowaliśmy Zasady zarządzania lukami w zabezpieczeniach firmy Axis. Opisują one sposób zarządzania lukami w zabezpieczeniach naszych produktów i usług oraz czego można oczekiwać od firmy Axis jako zaufanego dostawcy.

2021 — W kwietniu dołączyliśmy do programu Common Vulnerabilities and Exposures (CVE) i staliśmy się CVE Numbering Authority (CNA). Ujawniamy luki w zabezpieczeniach za pośrednictwem identyfikatorów CVE i postępujemy zgodnie z najlepszymi praktykami określonymi w programie CVE.

2022 — W grudniu uruchomiliśmy prywatny program nagród za wykryte błędy we współpracy z Bugcrowd dla produktów sieciowych opartych na systemie AXIS OS.

2023 — Opublikowaliśmy Podstawy cyberbezpieczeństwa firmy Axis. W dokumencie tym opisano procesy i procedury firmy Axis wdrożone w celu ciągłego reagowania na zagrożenia związane z bezpieczeństwem, zarówno w infrastrukturze informatycznej naszej firmy, jak i w oferowanych przez nas produktach.

2024 - Nasz prywatny program nagród za wykryte błędy w systemie AXIS OS przekształciliśmy w publiczny program nagród za wykryte błędy w systemie AXIS OS, co oznacza, że wszyscy badacze ds. zabezpieczeń i etyczni hakerzy posiadający konto Bugcrowd mogą zgłaszać luki w zabezpieczeniach związane z systemem AXIS OS. 

2024 - Uruchomiliśmy nowy prywatny program nagród za błędy w AXIS Camera Station Pro 

ID403982

Model rozwoju bezpieczeństwa firmy Axis (ASDM)

Celem ASDM jest ograniczanie luk w zabezpieczeniach i kosztów rozwoju poprzez zapewnienie wskazówek i ustalenie podstawowych zasad cyberbezpieczeństwa. Sami opracowaliśmy ASDM, aby dostosować go do naszych produktów i usług. Pomaga nam proaktywnie wyszukiwać i eliminować tysiące luk w zabezpieczeniach jeszcze przed udostępnieniem produktów oraz stale je eliminować w trakcie całego cyklu życia produktów. Naszym celem jest poprawa cyberbezpieczeństwa, a nie tylko dostosowanie się do procesów i wymogów certyfikacyjnych. Dlatego zespoły programistów Axis decydują, jakie działania podjąć w zależności od rodzaju oprogramowania, jakie opracowują.

ID449996

Programy nagród za wykryte błędy we współpracy z Bugcrowd

Nasze programy nagród za wykryte błędy we współpracy z Bugcrowd pomagają nam znacząco zwiększyć bezpieczeństwo naszych produktów i rozwiązań, zapewniając dostęp do globalnej społeczności zaufanych badaczy i etycznych hakerów. Za znalezienie luki w zabezpieczeniach przyznajemy nagrodę pieniężną. Wysokość nagrody zależy od stopnia zagrożenia. Regularnie dokonujemy przeglądu wysokości naszych nagród pieniężnych, aby utrzymać atrakcyjność i konkurencyjność naszych programów. 

Wiele z naszych ujawnień CVE to wynik ustaleń programu nagród za wykryte błędy firmy Axis. 

ID449979

Testy penetracyjne

Zewnętrzne testy penetracyjne zapewniają dane i pozwalają zyskać pewność co do bezpieczeństwa produktu w określonym momencie. Przeprowadzane są one corocznie przez specjalistyczne firmy zewnętrzne. Oświadczenia klientów można znaleźć na stronie Zasoby dotyczące cyberbezpieczeństwa .

Łatwe eliminowanie luk w zabezpieczeniach

Axis udostępnia oprogramowanie, które ułatwia klientom wdrażanie poprawek zabezpieczeń i nowych wersji oprogramowania z aktualizacjami zabezpieczeń na wielu różnych urządzeniach.  Oprogramowanie do zarządzania wideo firmy Axis, takie jak AXIS CompanionAXIS Camera Station, oraz oprogramowanie partnerów do zarządzania wideo, takie jak Milestone XProtect® i Genetec™ Security Center, powiadamiają użytkowników o nowych wersjach systemu operacyjnego AXIS dla produktów będących w użyciu. AXIS Device Manager i AXIS Device Manager Extend również wyświetlają alerty i umożliwiają klientom m.in. aktualizację systemu operacyjnego na wielu urządzeniach jednocześnie.

ID380295

Formularz zgłoszenia luki w zabezpieczeniach

Aby pomóc zapewnić większe bezpieczeństwo, prosimy o dzielenie się z nami odkryciami i ustaleniami. Wrażliwe treści można szyfrować za pomocą naszych publicznych kluczy PGP.

ID380294

Udokumentowane luki w zabezpieczeniach produktów

Axis dokumentuje luki w zabezpieczeniach produktów i usług Axis oraz w przejrzysty sposób o nich informuje. 

ID380298

Powiadomienia dotyczące bezpieczeństwa

Axis zapewnia usługę powiadamiania o lukach w zabezpieczeniach i innych kwestiach związanych z bezpieczeństwem produktów Axis.

Powiązane zasoby

ID449978

Galeria sław bezpieczeństwa Axis

W galerii sław bezpieczeństwa Axis doceniamy wkład niezależnych badaczy i firm, które współpracują z nami w celu zapewnienia bezpieczeństwa klientom Axis. 

man and woman working with computer

Portal cyberbezpieczeństwa

Wspólne zapewnienie lepszej ochrony cybernetycznej.

ID380296

Zasoby dotyczące cyberbezpieczeństwa

Szybki dostęp do wielu zasobów związanych z cyberbezpieczeństwem, w tym przewodników po zabezpieczeniach i dokumentów dotyczących zasad.