Por que o gerenciamento de vulnerabilidades é importante
Uma vulnerabilidade de software é um ponto fraco que, se explorado, pode resultar em uma violação de segurança e levar à perda de confidencialidade, integridade de dados e disponibilidade. Nenhum software é 100% livre de vulnerabilidades. O gerenciamento de vulnerabilidades é um processo contínuo que envolve identificação e correção contínuas de pontos fracos.
O gerenciamento de vulnerabilidades fortalece a segurança e a confiabilidade dos produtos e serviços da Axis, permitindo que os clientes operem da forma mais segura possível. Acreditamos que a transparência no gerenciamento e na divulgação de vulnerabilidades fortalece a segurança e a responsabilidade, ajudando a reduzir riscos e a construir confiança.
Percepções errôneas comuns
Vulnerabilidades não significam má qualidade
Um equívoco comum é que vulnerabilidades significam má qualidade. É fato que nenhum software seja completamente livre de erros, então, a existência de vulnerabilidades não diz muito sobre a qualidade de um produto ou fornecedor. O que mais importa é a abordagem que um fornecedor adota para gerenciar vulnerabilidades. Na Axis, adotamos uma abordagem proativa, encontrando e corrigindo vulnerabilidades durante todo o ciclo de vida dos nossos produtos. Para minimizar erros desde o início, incorporamos atividades de segurança em nosso processo de desenvolvimento. Após um lançamento, cooperamos abertamente com partes externas para gerenciar e corrigir vulnerabilidades recém-descobertas e aplicar um processo de divulgação responsável.
Esses esforços são delineados e guiados pelo Axis Security Development Model (ASDM) , que é descrito mais adiante nesta página.
A divulgação não leva à exploração.
Outro equívoco frequente é que a divulgação de vulnerabilidades permite que hackers as explorem livremente e, portanto, não se deve divulgar. Quando divulgamos vulnerabilidades por meio dos avisos de segurança da Axis, fornecemos o mínimo de detalhes. Isso protege os clientes porque minimiza o risco de um invasor explorar uma vulnerabilidade. Nosso objetivo é fornecer um patch para uma vulnerabilidade antes de divulgá-la.
A Axis implementa as melhores práticas do setor
Desde 2015, a Axis vem desenvolvendo processos e ferramentas para gerenciamento de vulnerabilidades. Como o gerenciamento de vulnerabilidades é uma jornada sem fim, nos esforçamos constantemente para melhorar nossos processos de acordo com as melhores práticas do setor. Para identificar, corrigir e divulgar vulnerabilidades, cooperamos de forma transparente e responsável, de forma coordenada, com partes externas, como pesquisadores, hackers éticos, clientes finais e parceiros. Como seguimos as melhores práticas para divulgação coordenada de vulnerabilidades, elas podem ser relatadas a nós com segurança.
2016 - Nós divulgamos publicamente vulnerabilidades corrigidas.
2017 - Nós projetamos o Axis Security Development Model (ASDM). O ASDM garante que as considerações de segurança cibernética sejam integradas ao ciclo de vida dos produtos e soluções da Axis.
2020 - Realizamos nosso primeiro teste de penetração externa.
2021 - Criamos a Política de Gerenciamento de Vulnerabilidades da Axis. Ela descreve como as vulnerabilidades são gerenciadas em nossos produtos e serviços e o que pode ser esperado da Axis como um fornecedor confiável.
2021 - Em abril, aderimos ao programa de Vulnerabilidades e Exposições Comuns (CVE) e nos tornamos uma Autoridade de Numeração CVE (CNA). Divulgamos vulnerabilidades por meio de IDs CVE e seguimos a estrutura de melhores práticas descrita pelo programa CVE.
2022 - Em dezembro, lançamos um programa privado de recompensa por erros em parceria com o Bugcrowd para produtos de rede baseados no AXIS OS.
2023 - Publicamos a estrutura de segurança cibernética da Axis. Ela descreve os processos e procedimentos da Axis em vigor para abordar continuamente os riscos relacionados à segurança, tanto na infraestrutura de TI da nossa empresa quanto em nossas ofertas de produtos.
2024 - Transformamos nosso programa privado de recompensa por bugs do AXIS OS em nosso programa público de recompensa por bugs do AXIS OS, o que significa que todos os pesquisadores de segurança e hackers éticos com uma conta Bugcrowd podem relatar vulnerabilidades relacionadas ao AXIS OS.
2024 - Lançamos um novo programa privado de recompensa por bugs para o AXIS Camera Station Pro.
Axis Security Development Model (ASDM)
O objetivo do ASDM é reduzir vulnerabilidades e custos de desenvolvimento fornecendo orientação e estabelecendo uma linha de base para a segurança cibernética. Nós mesmos desenvolvemos o ASDM para se adequar aos nossos produtos e serviços. Ele nos ajuda a encontrar e eliminar proativamente milhares de vulnerabilidades antes do lançamento do produto e a continuar a lidar com vulnerabilidades durante todo o ciclo de vida do produto. Nosso objetivo é melhorar a segurança cibernética, não apenas cumprir processos ou requisitos de certificação. Então, as equipes de desenvolvimento da Axis decidem quais atividades realizar dependendo do tipo de software que estão desenvolvendo.
Programas de recompensa por erros com o Bugcrowd
Nossos programas de recompensa por bugs com o Bugcrowd nos ajudam a fortalecer significativamente a segurança de nossos produtos e soluções, fornecendo acesso a uma comunidade global de pesquisadores confiáveis e hackers éticos. Quando uma vulnerabilidade é identificada, oferecemos uma recompensa em dinheiro. O valor da recompensa depende da gravidade da vulnerabilidade. Revisamos regularmente o valor de nossas recompensas em dinheiro para manter nossos programas atraentes e competitivos.
Muitas de nossas divulgações de CVE são o resultado de descobertas de um programa de recompensa por erros da Axis.
Testes de penetração
Testes de penetração externos fornecem percepções e garantias sobre a segurança de um produto em um determinado momento. Elas são conduzidas anualmente por empresas terceirizadas especializadas. Para declarações de clientes, visite a página de recursos de segurança cibernética.
Resolva vulnerabilidades facilmente
A Axis fornece software que facilita para os clientes a implantação de patches de vulnerabilidade e novas versões de software com atualizações de segurança para muitos dispositivos diferentes. O software de gerenciamento de vídeo da Axis, como AXIS Companion, AXIS Camera Station e o software de gerenciamento de vídeo de parceiros, como Milestone XProtect® e Genetec™ Security Center, alertam os usuários sobre novas versões do AXIS OS para produtos em operação. O AXIS Device Manager e o AXIS Device Manager Extend também fornecem alertas e, entre outras coisas, permitem que os clientes atualizem o sistema operacional de vários dispositivos ao mesmo tempo.
Formulário para relatar vulnerabilidade
Para ajudar a fortalecer a segurança, compartilhe as descobertas conosco. Conteúdo confidencial pode ser criptografado com nossa chave PGP pública.
Vulnerabilidades de produtos documentadas
A Axis documenta e divulga com transparência vulnerabilidades específicas dos produtos Axis e componentes do AXIS OS.
Notificações de segurança
A Axis fornece um serviço de notificação para informações sobre vulnerabilidades e outros assuntos relacionados à segurança dos produtos Axis.
Recursos relacionados
Hall da fama da segurança da Axis
No hall da fama da segurança da Axis, reconhecemos as contribuições de pesquisadores e empresas independentes que colaboram conosco para manter os clientes da Axis seguros.
Portal de segurança cibernética
Garantindo juntos uma melhor proteção cibernética.
Recursos de segurança cibernética
De uma só vez, acesse uma série de recursos de segurança cibernética, incluindo guias de proteção e documentos de política.