A Axis assina o compromisso Secure by Design da CISA para a cibersegurança

O compromisso voluntário Secure by Design da agência governamental dos EUA, CISA, apela aos fabricantes que tornem a segurança dos clientes num requisito empresarial fundamental através da resposta a sete aspetos chave da segurança:  

• Utilização da autenticação multifator
• Reduzir as palavras-passe predefinidas
• Reduzir as classes de vulnerabilidades
• Permitir que os clientes instalem facilmente correções de segurança
• Publicar uma política de divulgação de vulnerabilidades
• Demonstrar transparência na comunicação de vulnerabilidades
• Demonstrar um aumento mensurável na capacidade de os clientes recolherem provas de intrusões de cibersegurança que afetem os produtos do fabricante

"O compromisso Secure by Design da CISA enquadra-se bem no nosso objetivo de tornar a cibersegurança numa parte fundamental do que oferecemos", afirma Johan Paulsson, Chief Technology Officer, Axis. "Ao assumir este compromisso, confirmamos o nosso empenho contínuo em ajudar os clientes a seguir as melhores práticas de cibersegurança e a impulsionar uma maior responsabilização no setor da segurança física."

Especificamos abaixo como a Axis aborda o compromisso Secure by Design no seu portefólio de produtos, que abrange desde produtos de rede baseados no AXIS OS, software de gestão de vídeo e dispositivos, até ofertas de serviços como o Axis Cloud Connect. 

Implementar a segurança no portefólio de produtos da Axis  

A redução do risco de vulnerabilidades de software é uma parte integrante do desenvolvimento de software da Axis. Os programadores da Axis seguem o Axis Security Development Model (ASDM) para mitigar os riscos de segurança ao longo do ciclo de vida do produto. A estrutura de segurança, envolvendo processos e ferramentas, também inclui o reforço da segurança do produto através de recursos externos, nomeadamente através de programas de recompensa por erros da Axis e permitindo que as pessoas reportem facilmente erros ou vulnerabilidades à Equipa de Segurança de Produtos da Axis. A Axis corrige e divulga vulnerabilidades como uma Autoridade de Numeração de CVE (CNA), e a política de gestão de vulnerabilidades publicada pela empresa descreve o quê, quando e como funciona no que diz respeito às divulgações de vulnerabilidades. O Axis Trust Center serve para fornecer informações de cibersegurança e conformidade para a Axis enquanto empresa e para produtos de rede baseados no AXIS OS e, eventualmente, também abrangerá outros produtos e serviços da Axis.   

Produtos de rede baseados no AXIS OS

Os dispositivos de rede baseados em IP de grande alcance da Axis, que incluem câmaras, intercomunicadores, altifalantes e produtos de controlo de acessos, utilizam o sistema operativo AXIS OS. O AXIS OS foi concebido sem palavras-passe predefinidas. Suporta a autenticação multifator quando os clientes acedem aos dispositivos utilizando a gestão centralizada de identidade e acessos (IAM).

O OSAXISd rede Zero por predefinição para verificação e integração seguras do dispositivo. Permite que os produtos de rede da Axis se autentiquem automaticamente através do IEEE 802.1X com as respetivas identidades de dispositivo seguras em conformidade com o IEEE 802.1AR. O AXIS OS também suporta uma encriptação poderosa através de IEEE 802.1AE MACsec, protegendo, ao nível fundamental, protocolos de rede como NTP e DHCP que não oferecem segurança nativa e protocolos seguros de encriptação dupla, como HTTPS e outros protocolos baseados em TLS.  

Além disso, os dispositivos baseados no AXIS OS possuem funcionalidade de armazenamento seguro de chaves baseada em hardware certificada de acordo com a norma FIPS 140-3 Nível 3, juntamente com os Critérios Comuns EAL6+.  

AXIS Camera Station 

O software de gestão de vídeo da Axis, AXIS Camera Station Pro e AXIS Camera Station Edge, garante comunicações externas seguras entre o smartphone, tablet, navegador ou cliente de PC e câmaras de rede da Axis através da encriptação AES de 256 bits, utilizando o Axis Secure Remote Access v2. A comunicação entre os servidores de clientes e os dispositivos Axis é, por sua vez, protegida com encriptação AES de 256 bits e TLS 1.2 ou superior. Os produtos de software suportam múltiplos níveis de acesso de utilizador e controlo granular de diferentes funcionalidades. O AXIS Camera Station Pro permite a proteção por palavra-passe de dispositivos que utilizam utilizadores de domínio de diretório ativo local ou Windows, enquanto o AXIS Camera Station Edge suporta a autenticação de dois fatores. O AXIS Camera Station Pro fornece registos de alarmes, eventos e auditorias, suportando notificações em tempo real e o rastreio das atividades do sistema, garantindo também a responsabilização.  

Software de gestão de dispositivos Axis 

A Axis oferece vário software dedicado e fácil de utilizar para gerir dispositivos na periferia como câmaras, produtos de áudio e controlo de acessos. As aplicações de gestão de dispositivos, AXIS Device Manager, AXIS Device Manager Edge e AXIS Device Manager Extend, ajudam os clientes a atualizarem de forma económica o software dos dispositivos e a reforçarem a segurança em milhares de dispositivos de rede da Axis. Outras funções suportadas incluem a automatização do ciclo de vida do provisionamento de certificados TLS; a disponibilização de funcionalidades simples de cópia de segurança e restauro da configuração do dispositivo que minimizam o erro humano de configuração; e a gestão de alterações de palavras-passe, HTTPS, IEEE 802.1X e outros serviços em dispositivos da Axis.  

Axis Cloud Connect  

O Axis Cloud Connect é uma plataforma na nuvem híbrida aberta que permite que clientes finais e parceiros de integração façam a gestão de dispositivos da Axis. Suporta atividades como a aplicação automática de novas atualizações de software que incluam correções de segurança para produtos de rede da Axis. A conectividade do dispositivo para a nuvem é estabelecida apenas através de canais de comunicação seguros, como HTTPS e WebRTC com TLS 1.2/1.3. Suporta o início de sessão único (SSO) e a autenticação multifator para contas My Axis, que são utilizados para fornecer acesso a serviços alojados pela Axis. O Cloud Connect também suporta a recolha de provas e a deteção automática de atividades sensíveis de cibersegurança através de ferramentas automáticas e da monitorização de registos de auditoria.  

Enquanto parte do compromisso da CISA, a Axis está empenhada em partilhar regularmente informações e progressos na postura de cibersegurança dos seus produtos. Permite que os clientes verifiquem e responsabilizem a empresa, ajudando também a reforçar a confiança que os clientes devem ter quando utilizam produtos Axis.