Axis Communications, leader globale nel settore della videosorveglianza, annuncia di aver firmato l'impegno Secure by Design dell'Agenzia statunitense per la sicurezza informatica e delle infrastrutture (U.S. Cybersecurity & Infrastructure Security Agency) per comunicare in modo trasparente la posizione di cybersecurity dei prodotti Axis.
L'impegno volontario Secure by Design dell'agenzia governativa statunitense, CISA, invita i produttori a fare della sicurezza dei clienti un requisito aziendale fondamentale affrontando sette aspetti chiave della sicurezza:
- Utilizzo dell'autenticazione multifattoriale
- Ridurre le password predefinite
- Ridurre le classi di vulnerabilità
- Consentire ai clienti di installare facilmente le patch di sicurezza
- Pubblicare una politica di divulgazione delle vulnerabilità
- Dimostrare trasparenza nella segnalazione delle vulnerabilità
- Dimostrare un aumento misurabile della capacità dei clienti di raccogliere prove delle intrusioni nella cybersecurity che interessano i prodotti del produttore
"La promessa Secure by Design di CISA si allinea perfettamente con il nostro obiettivo di fare della sicurezza informatica una parte fondamentale di ciò che offriamo," afferma Johan Paulsson, Chief Technology Officer di Axis. "Con questo impegno, confermiamo il nostro costante impegno ad aiutare i clienti a seguire le migliori pratiche di cybersecurity e a promuovere una maggiore responsabilità nel settore della sicurezza fisica."
Di seguito viene descritto come AXIS affronta l'impegno Secure by Design nel suo portafoglio di prodotti, che include dispositivi di rete basati su AXIS OS, software di gestione video e dispositivi e offerte di servizi come AXIS Cloud Connect.
Implementazione della sicurezza nel portafoglio di prodotti Axis
La riduzione del rischio di vulnerabilità del software è parte integrante dello sviluppo del software Axis. Gli sviluppatori Axis seguono l'Axis Security Development Model (ASDM) per mitigare i rischi per la sicurezza durante l'intero ciclo di vita del prodotto. Il quadro di sicurezza, che coinvolge processi e strumenti, include anche il rafforzamento della sicurezza dei prodotti attraverso risorse esterne, in particolare attraverso i bug bounty program di Axis, e consentendo alle persone di segnalare facilmente bug o vulnerabilità al team di sicurezza dei prodotti Axis. Axis applica patch e rivela le vulnerabilità in qualità di CVE Numbering Authority (CNA) e la politica di gestione delle vulnerabilità pubblicata dall'azienda delinea cosa, quando e come gestisce le divulgazioni delle vulnerabilità. Il Trust Center di Axis ha lo scopo di fornire informazioni sulla cybersecurity e sulla conformità per Axis come azienda e per i dispositivi di rete basati su AXIS OS e in futuro coprirà anche altri prodotti e servizi AXIS.
Dispositivi di rete basati su AXIS OS
L'ampia gamma di dispositivi di rete basati su IP di AXIS, tra cui telecamere, interfoni, altoparlanti e prodotti per il controllo degli accessi, si basa sul sistema operativo AXIS OS. AXIS OS è progettato senza password predefinite. Supporta l'autenticazione multifattore quando i clienti accedono ai dispositivi utilizzando la gestione centralizzata delle identità e degli accessi (IAM).
AXIS OS abilita per impostazione predefinita una rete zero trust in fabbrica per la verifica e l'onboarding sicuri dei dispositivi. Consente ai dispositivi di rete Axis di autenticarsi automaticamente tramite IEEE 802.1X con le identità dei dispositivi sicuri conformi a IEEE 802.1AR. AXIS OS supporta anche una potente crittografia tramite IEEE 802.1AE MACsec a protezione, a livello fondamentale, di protocolli di rete come NTP e DHCP che non offrono sicurezza nativa e di protocolli sicuri a doppia crittografia, come HTTPS e altri protocolli basati su TLS.
Inoltre, i dispositivi basati su AXIS OS sono dotati di funzionalità hardware per l'archiviazione sicura delle chiavi certificate FIPS 140-3 Livello 3, insieme a Common Criteria EAL6+.
AXIS Camera Station
Il software di gestione video AXIS, AXIS Camera Station Pro e AXIS Camera Station Edge, garantisce comunicazioni esterne sicure tra smartphone, tablet, browser o client PC e telecamere di rete AXIS tramite crittografia AES a 256 bit utilizzando AXIS Secure Remote Access v2. La comunicazione tra client-server e dispositivi Axis, nel frattempo, è protetta tramite crittografia AES a 256 bit e TLS 1.2 o superiore. I prodotti software supportano più livelli di accesso utente e il controllo granulare di diverse funzionalità. AXIS Camera Station Proc la protezione con password dei dispositivi che utilizzano utenti di dominio Windows Active Directory o locali, mentre AXIS Camera Station Edge supporta l'autenticazione a due fattori. AXIS Camera Station Pro fornisce allarmi, eventi e registri di audit, supportando notifiche in tempo reale e il monitoraggio delle attività di sistema e garantendo la responsabilità.
Software di gestione dei dispositivi Axis
Axis offre diversi software dedicati e facili da usare per la gestione di dispositivi edge come telecamere, prodotti audio e controllo degli accessi. Le applicazioni di gestione dei dispositivi, AXIS Device Manager, AXIS Device Manager Edge e AXIS Device Manager Extend, aiutano i clienti ad aggiornare in modo conveniente il software dei dispositivi e a rafforzare la sicurezza su migliaia di dispositivi di rete AXIS. Altre funzioni supportate includono l'automazione del ciclo di vita del provisioning dei certificati TLS, la fornitura di semplici funzionalità di backup e ripristino della configurazione dei dispositivi che riducono al minimo gli errori di configurazione umani e la gestione delle modifiche delle password, di HTTPS, IEEE 802.1X e di altri servizi sui dispositivi Axis.
Axis Cloud Connect
Axis Cloud Connect è una piattaforma cloud ibrida aperta con la quale i clienti finali e i partner di integrazione possono gestire i dispositivi Axis. Supporta attività come l'applicazione automatica di nuovi aggiornamenti software che includono patch di sicurezza per i dispositivi di rete di Axis. La connettività da dispositivo a cloud viene stabilita solo tramite canali di comunicazione sicuri come HTTPS e WebRTC con TLS 1.2/1.3. Supporta l'autenticazione SSO (Single Sign-On) e l'autenticazione multifattore per gli account My Axis, utilizzati per fornire agli utenti accesso ai servizi ospitati da Axis. Cloud Connect supporta anche la raccolta di prove e il rilevamento automatico delle attività sensibili di cybersecurity tramite strumenti automatici e il monitoraggio dei log di audit.
Nell'ambito dell'impegno CISA, Axis si impegna a condividere regolarmente approfondimenti e progressi sulla postura di cybersecurity dei suoi prodotti. Consente ai clienti di verificare e ritenere responsabile l'azienda e aiuta a rafforzare la fiducia che i clienti dovrebbero avere quando utilizzano i prodotti Axis.
Axis permette di creare un mondo più intelligente e sicuro migliorando la sicurezza, la protezione, l'efficienza operativa e la business intelligence. In qualità di azienda leader nelle tecnologie di rete, Axis offre videosorveglianza, controllo accessi, intercom e soluzioni audio, che supporta con applicazioni analitiche intelligenti e una formazione di alta qualità.
Axis ha oltre 5000 dipendenti in più di 50 paesi e collabora con partner tecnologici e integratori di sistemi in tutto il mondo per fornire soluzioni ai clienti. Fondata nel 1984, Axis è una società con sede a Lund, in Svezia.