Axis Communications ogłasza podpisanie zobowiązania Secure by Design amerykańskiej agencji CISA, które dotyczy przejrzystego raportowania kwestii bezpieczeństwa i cyberbezpieczeństwa produktów Axis.
Dobrowolne zobowiązanie Secure by Design amerykańskiej agencji rządowej CISA wzywa producentów do uznania bezpieczeństwa klientów za podstawowy wymóg biznesowy poprzez uwzględnienie siedmiu kluczowych aspektów:
- Wykorzystanie uwierzytelniania wieloskładnikowego
- Ograniczenie stosowania domyślnych haseł
- Ograniczenie rodzajów luk w zabezpieczeniach
- Umożliwienie klientom łatwej instalacji poprawek zabezpieczeń
- Opublikowanie polityki ujawniania luk w zabezpieczeniach
- Wykazanie przejrzystości w zgłaszaniu luk w zabezpieczeniach
- Wykazanie wymiernego wzrostu zdolności klientów do gromadzenia dowodów naruszeń cyberbezpieczeństwa mających wpływ na produkty producenta
Zobowiązanie CISA Secure by Design dobrze wpisuje się w nasz cel, jakim jest uczynienie cyberbezpieczeństwa podstawowym elementem naszej oferty. Składając to zobowiązanie, potwierdzamy nasze nieustanne zaangażowanie w pomaganie klientom w stosowaniu najlepszych praktyk w zakresie cyberbezpieczeństwa i zwiększaniu odpowiedzialności w branży bezpieczeństwa - mówi Johan Paulsson, dyrektor ds. technologii w firmie Axis.
Poniżej przedstawiono, w jaki sposób firma Axis realizuje zobowiązanie Secure by Design w swoim portfolio produktów, od produktów sieciowych opartych na systemie operacyjnym AXIS OS, oprogramowania do zarządzania obrazem i urządzeniami, po usługi takie jak Axis Cloud Connect.
Wdrażanie zabezpieczeń w portfolio produktów Axis
Ograniczanie ryzyka związanego z lukami w oprogramowaniu stanowi integralną część procesu tworzenia oprogramowania firmy Axis. Programiści firmy Axis stosują model bezpieczeństwa Axis Security Development Model (ASDM) w celu ograniczenia ryzyka związanego z bezpieczeństwem w całym cyklu życia produktu. Struktura bezpieczeństwa, obejmująca procesy i narzędzia, dotyczy również wzmocnienia bezpieczeństwa produktów poprzez zasoby zewnętrzne, a mianowicie poprzez programy bug bounty firmy Axis oraz umożliwienie użytkownikom łatwego zgłaszania błędów lub luk w zabezpieczeniach zespołowi ds. bezpieczeństwa produktów firmy Axis. Axis naprawia i ujawnia luki w zabezpieczeniach jako CVE Numbering Authority (CNA), a opublikowana przez firmę polityka zarządzania lukami w zabezpieczeniach określa, co, kiedy i jak działa w przypadku ujawniania luk w zabezpieczeniach. Centrum zaufania Axis służy do dostarczania informacji dotyczących cyberbezpieczeństwa i zgodności dla firmy Axis oraz produktów sieciowych opartych na systemie operacyjnym AXIS OS, a docelowo obejmie również inne produkty i usługi firmy Axis.
Produkty sieciowe oparte na systemie operacyjnym AXIS OS
Szeroka gama urządzeń sieciowych IP firmy Axis, od kamer, domofonów, głośników po produkty do kontroli dostępu, jest oparta na systemie operacyjnym AXIS OS. System AXIS OS został zaprojektowany bez domyślnych haseł. Obsługuje uwierzytelnianie wieloskładnikowe, gdy klienci uzyskują dostęp do urządzeń za pomocą scentralizowanego zarządzania tożsamością i dostępem (IAM).
System AXIS OS domyślnie umożliwia tworzenie sieci typu zero-trust, zapewniając bezpieczną weryfikację i wdrażanie urządzeń. Pozwala to produktom sieciowym firmy Axis na automatyczne uwierzytelnianie za pomocą standardu IEEE 802.1X przy użyciu bezpiecznych identyfikatorów urządzeń zgodnych z normą IEEE 802.1AR. System AXIS OS obsługuje również zaawansowane szyfrowanie za pomocą standardu IEEE 802.1AE MACsec, chroniąc na poziomie podstawowym protokoły sieciowe, takie jak NTP i DHCP, które nie oferują natywnych zabezpieczeń, oraz podwójnie szyfrując bezpieczne protokoły, takie jak HTTPS i inne protokoły oparte na TLS.
Ponadto urządzenia oparte na systemie AXIS OS są wyposażone w sprzętową funkcję bezpiecznego przechowywania kluczy, która posiada certyfikat FIPS 140-3 poziom 3 oraz Common Criteria EAL6+.
AXIS Camera Station
Oprogramowanie do zarządzania obrazem firmy Axis, AXIS Camera Station Pro i AXIS Camera Station Edge, zapewnia bezpieczną komunikację zewnętrzną między smartfonem, tabletem, przeglądarką lub komputerem a kamerami sieciowymi Axis dzięki 256-bitowemu szyfrowaniu AES z wykorzystaniem Axis Secure Remote Access v2. Komunikacja między serwerami klienckimi a urządzeniami Axis jest zabezpieczona za pomocą 256-bitowego szyfrowania AES i protokołu TLS 1.2 lub wyższego. Oprogramowanie obsługuje wiele poziomów dostępu użytkowników i szczegółową kontrolę różnych funkcji. AXIS Camera Station Pro umożliwia ochronę hasłem urządzeń przy użyciu lokalnych użytkowników lub użytkowników domeny Active Directory systemu Windows, natomiast AXIS Camera Station Edge obsługuje uwierzytelnianie dwuskładnikowe. AXIS Camera Station Pro zapewnia dzienniki alarmów, zdarzeń i audytów, obsługując powiadomienia w czasie rzeczywistym i śledzenie działań systemu oraz zapewniając rozliczalność.
Oprogramowanie do zarządzania urządzeniami Axis
Axis oferuje kilka dedykowanych, łatwych w użyciu programów do zarządzania urządzeniami brzegowymi, takimi jak kamery, produkty audio i kontrola dostępu. Aplikacje do zarządzania urządzeniami, AXIS Device Manager, AXIS Device Manager Edge i AXIS Device Manager Extend, pomagają klientom w ekonomiczny sposób przeprowadzać aktualizacje oprogramowania urządzeń i wzmacniać zabezpieczenia tysięcy urządzeń sieciowych Axis. Inne obsługiwane funkcje obejmują automatyzację cyklu życia certyfikatów TLS, zapewnienie prostych funkcji tworzenia kopii zapasowych i przywracania konfiguracji urządzeń, które minimalizują ryzyko błędów konfiguracyjnych, oraz zarządzanie zmianami haseł, protokołem HTTPS, standardem IEEE 802.1X i innymi usługami na urządzeniach Axis.
Axis Cloud Connect
Axis Cloud Connect to otwarta platforma chmury hybrydowej, która umożliwia klientom końcowym i partnerom integracyjnym zarządzanie urządzeniami Axis. Obsługuje takie działania, jak automatyczne stosowanie nowych aktualizacji oprogramowania, które obejmują poprawki zabezpieczeń dla produktów sieciowych Axis. Łączność między urządzeniami a chmurą jest nawiązywana wyłącznie za pośrednictwem bezpiecznych kanałów komunikacyjnych, takich jak HTTPS i WebRTC z TLS 1.2/1.3. Obsługuje ona pojedyncze logowanie (SSO) i uwierzytelnianie wieloskładnikowe dla kont My Axis, które służą do zapewnienia dostępu do usług hostowanych przez Axis. Cloud Connect obsługuje również gromadzenie dowodów i automatyczne wykrywanie wrażliwych działań związanych z cyberbezpieczeństwem poprzez automatyczne narzędzia i monitorowanie dzienników audytowych.
W ramach zobowiązania CISA firma Axis zobowiązuje się do regularnego dzielenia się spostrzeżeniami i postępami w zakresie cyberbezpieczeństwa swoich produktów. Umożliwia to klientom weryfikację i pociąganie firmy do odpowiedzialności, a także pomaga wzmocnić zaufanie, jakim klienci powinni darzyć produkty Axis.
Axis wspiera rozwój inteligentnego oraz bezpiecznego świata przez poprawę bezpieczeństwa, ochrony, efektywności działania i wiedzy biznesowej. Jako firma zajmująca się technologiami sieciowymi oraz lider branży, Axis oferuje rozwiązania z zakresu dozoru wizyjnego, kontroli dostępu, systemów domofonowych i systemów audio. Ich rozszerzeniem i uzupełnieniem są inteligentne aplikacje analityczne oraz wysokiej jakości szkolenia.
Axis zatrudnia około 5000 pracowników w ponad 50 krajach oraz współpracuje z partnerami z obszaru technologii i integracji systemów na całym świecie w celu dostarczania swoich rozwiązań klientom. Firma została założona w 1984 roku i ma swoją siedzibę w Lund w Szwecji.