La cybersecurity è tra le massime priorità di ogni azienda. In un mondo sempre più connesso, qualsiasi dispositivo in rete rappresenta un potenziale rischio per la cybersecurity; dunque, è fondamentale adottare un approccio coerente per ridurre l'esposizione.
I dispositivi Axis, con i loro controlli di cybersecurity integrati, sono progettati per ridurre il rischio di compromissione e funzionare in sicurezza. Il nostro approccio consiste nell'applicare le migliori prassi di cybersecurity per quanto riguarda le policy, i processi e le tecnologie, dallo sviluppo fino allo smaltimento.
Questo articolo esamina i rischi che si corrono durante l'intero ciclo di vita di un dispositivo, quindi descrive le misure di cybersecurity adottate da Axis e il supporto che offre per ridurre tali rischi.
Fondamenta sicure
Per i dispositivi di rete Axis, le considerazioni sulla cybersecurity iniziano dal livello fondamentale: il microprocessore e il sistema operativo AXIS OS. Questi elementi costituiscono le basi che aiutano a proteggere i prodotti.
L'ultima versione del nostro System-on-Chip (SoC) è ARTPEC-8. Progettandolo direttamente, abbiamo il vantaggio di poter controllare tutte le funzionalità di sicurezza incluse nel SoC, oltre ai processi per implementarle durante la produzione. La supervisione e la trasparenza garantiscono l'integrità a livello hardware e software del componente più importante dei nostri dispositivi. Quando lavoriamo con produttori esterni di SoC, applichiamo gli stessi requisiti di sicurezza dei nostri chip.
Un hardware potente richiede software e firmware altrettanto potenti che consentano di utilizzare le funzionalità di sicurezza avanzate. È qui che entra in gioco AXIS OS, il nostro sistema operativo basato su Linux. AXIS OS è presente su un'ampia gamma di dispositivi Axis, offrendo possibilità uniche di supportare con efficienza le misure di cybersecurity su molti prodotti.
Parte integrante dello sviluppo software è fare in modo che la sicurezza sia tenuta in considerazione fin dal principio, e non in una fase successiva. La mancanza di processi di sviluppo sicuri può portare a versioni software con vulnerabilità facilmente sfruttabili.
In Axis, lo sviluppo del software è guidato dall'Axis Security Development Model (ASDM), che mette la sicurezza al centro di tutto. I processi e gli strumenti definiti dall'ASDM comprendono valutazioni dei rischi, modellazione delle minacce, analisi del codice e della composizione del software e scansione delle vulnerabilità. ASDM ha i seguenti obiettivi:
- Fare in modo che la sicurezza sia parte integrante delle attività di sviluppo del software Axis
- Ridurre i rischi aziendali legati alla sicurezza per i clienti Axis
- Venire incontro alle richieste di clienti e Partner sempre più attenti alla sicurezza
- Ridurre gli eventuali costi identificando e risolvendo preventivamente le vulnerabilità
Produzione
La mancanza di trasparenza nella catena di fornitura rappresenta un rischio che può compromettere la qualità dei componenti del prodotto finale.
Axis si impegna a proteggere informazioni, sistemi, componenti, apparecchiature, strutture, software e dispositivi lungo tutta la catena di fornitura. I componenti critici dei dispositivi vengono acquistati direttamente da fornitori strategici e custoditi nei nostri magazzini. I componenti non critici vengono acquistati dai Partner di produzione, in conformità con i nostri requisiti, e solo da fornitori approvati.
Lavoriamo a stretto contatto con i Partner per produrre la maggior parte dei dispositivi del nostro portafoglio. Definiamo e monitoriamo i processi produttivi; in più, sviluppiamo, produciamo e forniamo apparecchiature di produzione critiche, oltre al sistema per testare componenti, moduli e prodotti nelle varie fasi di produzione. Tutti i software e i test sono sviluppati in-house. I dati di produzione dei nostri Partner sono condivisi con noi 24 ore su 24 e 7 giorni su 7, consentendo l'analisi dei dati in tempo reale. La grande trasparenza ci permette di valutare i potenziali rischi per la sicurezza in collaborazione con il Partner di produzione, nonché di implementare piani di mitigazione.
Durante la produzione, un elemento chiave di cybersecurity installato sui dispositivi Axis è Edge Vault, un modulo di calcolo crittografico sicuro che protegge chiavi e dati sensibili dall'accesso e dalla manomissione in caso di violazioni di sicurezza. Tra le chiavi crittografate e archiviate in sicurezza su Edge Vault c'è l'ID dispositivo Axis. Un ID dispositivo Axis è univoco e contiene una raccolta di certificati, tra cui una versione firmata digitalmente del numero di serie univoco globale del dispositivo Axis. Questo ID garantisce che il dispositivo sia un prodotto Axis originale.
Axis, inoltre, garantisce l'autenticità del firmware dei dispositivi installando un AXIS OS firmato. La firma digitale assicura che il firmware provenga effettivamente da Axis e non sia stato compromesso. L'Axis OS inoltre garantisce anche che i nuovi firmware da scaricare e installare su un dispositivo siano firmati da Axis. Come seconda linea di difesa, Axis Secure Boot verifica la firma del firmware ad ogni avvio.
Prima di essere spediti ai distributori e agli integratori di sistemi, i dispositivi Axis passano da un centro di configurazione e logistica Axis, dove superano un ulteriore controllo di qualità.
In ogni sito della catena di fornitura Axis, dal fornitore di componenti al centro di distribuzione, l'accesso delle persone viene controllato rigorosamente per garantire la sicurezza fisica delle strutture.
Distribuzione
Un possibile rischio durante la spedizione è la manipolazione del firmware o della configurazione di un dispositivo. Il firmware firmato e Secure Boot, insieme al ripristino delle impostazioni di fabbrica di un dispositivo, proteggono dalle modifiche dannose.
Installazione
Durante l'installazione, i rischi possono derivare dall'inserimento in rete di prodotti compromessi o non adeguatamente protetti. Questi prodotti possono favorire un accesso non autorizzato alla rete e l'estrazione di dati o risorse sensibili (come chiavi private e certificati) da utilizzare in attacchi dannosi; oppure, possono consentire il trasferimento di dati alterati tra gli endpoint della rete. In che modo Axis aiuta ad affrontare questi problemi?
Durante l'installazione iniziale, Axis consiglia di riportare il dispositivo alle impostazioni di fabbrica. Questa operazione garantisce che il dispositivo sia completamente privo di configurazioni o software indesiderati, perché l'unico software rimanente è AXIS OS con le sue impostazioni predefinite. Durante il processo di avvio, Secure Boot verifica che il firmware del dispositivo sia firmato da Axis. Secure Boot entra in azione ad ogni avvio o accensione del dispositivo. Se rileva che il firmware non è firmato da Axis, il dispositivo non lo esegue, prevenendo operazioni non autorizzate. Secure Boot difende dai firmware che possono essere stati modificati dopo aver lasciato i centri di configurazione e logistica Axis o durante il funzionamento.
Per essere sicuri che nella rete siano implementati solo dispositivi Axis originali, è possibile verificare l'ID dispositivo Axis utilizzando l'autenticazione IEEE 802.1x o stabilendo una connessione di rete protetta tramite il protocollo HTTPS. Sui dispositivi Axis, Edge Vault supporta l'elaborazione di tutte le operazioni crittografiche che richiedono chiavi private e consente l'autenticazione sicura del dispositivo tramite lo standard IEEE 802.1AR.
La AXIS OS Hardening Guide illustra le best practice e offre consigli tecnici a tutti gli incaricati di installare i dispositivi Axis. Definisce una configurazione di base per affrontare le minacce più comuni e adotta un approccio di sicurezza a più livelli.
Uno strumento per configurare e gestire con efficienza i dispositivi Axis in locale è AXIS Device Manager. Device Manager consente l'elaborazione batch di importanti attività di installazione e sicurezza, come la gestione delle credenziali dei dispositivi, la distribuzione dei certificati, la disabilitazione dei servizi non utilizzati e l'aggiornamento di AXIS OS.
In servizio
Mentre è in servizio, un dispositivo può essere esposto a minacce dovute ad attacchi intenzionali o errori non intenzionali. I rischi possono derivare da un firmware che contiene vulnerabilità note e sfruttabili da un malintenzionato, dall'aggiornamento di dispositivi con firmware non autenticati o dalla perdita di configurazioni sicure.
Axis lavora costantemente per identificare e limitare i rischi dovuti alle vulnerabilità di sicurezza individuate sui prodotti. Affrontiamo questi problemi con le patch di sicurezza per AXIS OS e le notifiche pubbliche.
Per mantenere inalterata la cybersecurity di un dispositivo Axis, è fondamentale offrire un supporto continuo e aggiornare frequentemente AXIS OS. Axis offre due opzioni per mantenere aggiornato il sistema operativo: i percorsi Active e LTS (Long-Term Support). Nel percorso Active, AXIS OS viene costantemente aggiornato con nuove funzionalità e patch di sicurezza. Nel percorso LTS, gli aggiornamenti di AXIS OS includono solo le patch di sicurezza. Gli aggiornamenti di AXIS OS sono gratuiti e tutte le relative informazioni sono disponibili sul portale AXIS OS.
Prima di aggiornare il firmware, il sistema operativo AXIS del dispositivo verifica automaticamente che anche il nuovo firmware da scaricare sia firmato. In caso contrario, non è possibile installare il nuovo firmware. Questo garantisce che solo il firmware autorizzato venga caricato su un dispositivo, mentre il riavvio con Secure Boot permette di controllare ancora una volta che il firmware sia effettivamente firmato da Axis.
Per una manutenzione efficiente dei dispositivi in servizio, offriamo AXIS Device Manager Extend come complemento di AXIS Device Manager. AXIS Device Manager Extend è dotato di un dashboard intuitivo che consente di gestire i dispositivi Axis da remoto. Semplifica la scalabilità di attività di manutenzione essenziali, come l'aggiornamento di AXIS OS, la definizione, l'applicazione delle policy di sicurezza e la gestione delle applicazioni.
In qualità di Common Vulnerability and Exposures Numbering Authority (CNA) approvata, Axis adotta le migliori prassi del settore nel gestire e rispondere (sempre con trasparenza) alle vulnerabilità rilevate. Axis usa il noto sistema CVSS (Common Vulnerability Scoring System) per classificare le vulnerabilità relative al codice sviluppato da Axis o al codice open source di terze parti. Axis valuta le vulnerabilità del codice open source in base alla loro rilevanza per i prodotti quando si applicano le best practice raccomandate. È possibile iscriversi ad Axis Security Notification Service per ricevere informazioni sulle vulnerabilità e altre questioni relative alla sicurezza dei prodotti Axis. Per maggiori dettagli, leggere il documento Axis Vulnerability Management Policy.
Oltre ad aiutare gli utenti nella manutenzione dei dispositivi Axis, offriamo anche il video firmato. Il video firmato aumenta la fiducia e certifica che il video non sia stato manomesso dopo aver lasciato la telecamera. Il video firmato aggiunge un checksum crittografico ad ogni fotogramma video, che quindi viene firmato dall'ID dispositivo Axis. Questo consente di provare l'origine delle immagini senza dover dimostrare l'intera catena di fiducia. Con l'aiuto del file player Axis, il video firmato consente anche di verificare che una copia esportata del video non sia stata alterata o non siano state rimosse parti dalla registrazione originale. Dimostrare l'autenticità del video è particolarmente importante in un'indagine o un procedimento legale.
Smaltimento
Avere in rete dispositivi non più supportati, non protetti da patch e che presentano vulnerabilità note è un rischio per il sistema. Anche lasciare dati sensibili sui dispositivi dopo lo smaltimento comporta un rischio. Quindi, quali misure possono aiutare ad affrontare questi problemi?
Oltre ad essere uno strumento che gestisce e protegge i dispositivi all'interno della soluzione di sorveglianza, AXIS Device Manager Extend consente di monitorare le garanzie di tutti i dispositivi del sistema, le date di fine produzione e di fine assistenza.
Se occorre restituire un dispositivo ad Axis o ad uno dei Partner per la riparazione, la sostituzione o lo smaltimento, offriamo una guida alla cancellazione dei dati e alla sanificazione del dispositivo, come previsto dalla procedura resi (RMA).
Quando si smaltisce un dispositivo Axis, è necessario effettuare un ripristino delle impostazioni di fabbrica per cancellare tutte le configurazioni e i dati.
Riduzione dei rischi
L'essenza della cybersecurity è la gestione dei rischi. Significa comprendere i rischi, prendere decisioni attive per gestirli e garantire che le best practice siano sempre implementate nel sistema. In qualità di fornitore, Axis si assume le sue responsabilità seguendo le prassi ottimali. Inoltre, supporta gli utenti con linee guida, tecnologie, strumenti e servizi che aiutano a ridurre i rischi durante l'uso dei prodotti.