Axis undertecknar CISA:s Secure by Design-förbindelse för cybersäkerhet

Den frivilliga förbindelsen Secure by Design från den amerikanska statliga myndigheten CISA uppmanar tillverkare att göra kundernas säkerhet till ett grundläggande affärskrav genom att ta itu med sju viktiga säkerhetsaspekter:  

• Använda flerfaktorsautentisering
• Minska standardlösenord
• Reducera klasser av sårbarheter
• Erbjuda kunderna enkel installation av säkerhetspatchar
• Publicera en policy för sårbarhetsrapportering
• Uppvisa transparens i sårbarhetsrapporteringen
• Visa upp en mätbar ökning av kundernas förmåga att samla bevis på cybersäkerhetsintrång som påverkar tillverkarens produkter

– CISA:s förbindelse om Secure by Design stämmer väl överens med vårt mål, nämligen att göra cybersäkerheten till en central del av det vi erbjuder, säger Johan Paulsson, teknikchef på Axis. – Genom att avge det här löftet bekräftar vi vårt ständiga engagemang för att hjälpa våra kunder att följa bästa praxis inom cybersäkerhet. Det driver fram ett större ansvarstagande inom den fysiska säkerhetsbranschen.

Nedanför beskrivs hur AXIS uppfyller förbindelsen om säker design i sin produktportfölj, som sträcker sig från AXIS OS-baserade nätverksprodukter, program för video och enhetshantering till tjänsteerbjudanden som AXIS Cloud Connect. 

Implementerar säkerhet i Axis produktportfölj  

Att minska risken för sårbarheter i programvaran är en integrerad del av Axis programvaruutveckling. Axis utvecklare följer Axis Security Development Model (ASDM) för att minska säkerhetsriskerna under produktens hela livscykel. Säkerhetsramverket, som omfattar processer och verktyg, inkluderar även att stärka produktsäkerheten genom externa resurser, nämligen genom Axis buggbelöningsprogram och att låta alla aktörer enkelt rapportera buggar eller sårbarheter till Axis produktsäkerhetsteam. Axis patchar och avslöjar sårbarheter som CVE Numbering Authority (CNA), och företagets publicerade policy för sårbarhetshantering beskriver alla delar kring hur man arbetar med sårbarhetsavslöjanden. AXIS Trust Center tillhandahåller information om cybersäkerhet och efterlevnad för AXIS som företag och för AXIS OS-baserade nätverksprodukter. Så småningom kommer det även att omfatta andra produkter och tjänster från AXIS.   

AXIS OS-baserade nätverksprodukter

AXIS breda utbud av IP-baserade nätverksenheter, som kameror, interntelefoner, högtalare och produkter för åtkomstkontroll, körs på operativsystemet AXIS OS. AXIS OS är utformat utan standardlösenord. Det stödjer flerfaktorsautentisering när kunder får åtkomst till enheterna med hjälp av centraliserad identitets- och åtkomsthantering (IAM).

AXIS OS aktiverar Zero Trust-nätverk som standard från fabrik, för säker onboarding och verifiering av enheter. Det gör att Axis nätverksprodukter automatiskt kan autentisera via IEEE 802.1X med sina IEEE 802.1AR-kompatibla säkra enhetsidentiteter. AXIS OS stöder också kraftfull kryptering genom IEEE 802.1AE MACsec, vilken på grundläggande nivå skyddar nätverksprotokoll som NTP och DHCP som inte erbjuder inbyggd säkerhet, samt dubbelkryptering av säkra protokoll som HTTPS och andra TLS-baserade protokoll.  

Dessutom har AXIS OS-baserade enheter hårdvarubaserad säker nyckellagring som är certifierad enligt FIPS 140-3 nivå 3, tillsammans med Common Criteria EAL6+.  

AXIS Camera Station 

AXIS programvara för videohantering, AXIS Camera Station Pro och AXIS Camera Station Edge, garanterar säker extern kommunikation mellan en smartphone, surfplatta, webbläsare eller datorklient och AXIS nätverkskameror genom 256-bitars AES-kryptering med AXIS Secure Remote Access v2. Kommunikationen mellan klientservrar och Axis-enheter säkras med 256-bitars AES-kryptering och TLS 1.2 eller högre. Programvaruprodukterna stöder flera nivåer av användaråtkomst och granulär styrning av olika funktioner. AXIS Camera Station Pro aktiverar lösenordsskydd för enheter som använder lokala eller Windows Active Directory-användare, medan AXIS Camera Station Edge stöder tvåfaktorsautentisering. AXIS Camera Station Pro tillhandahåller loggar för larm, händelser och granskningar, vilket möjliggör notiser i realtid och uppföljning av systemaktiviteter samt säkerställer ansvarsskyldighet.  

Axis programvara för enhetshantering 

Axis erbjuder flera dedikerade, användarvänliga program för hantering av enheter som kameror, ljudprodukter och åtkomstkontroll. Programmen för enhetshantering, AXIS Device Manager, AXIS Device Manager Edge och AXIS Device Manager Extend hjälper kunderna att kostnadseffektivt utföra programuppdateringar och säkerhetshärdning på tusentals AXIS-nätverksenheter. Andra funktioner som stöds inkluderar automatisering av livscykeln för tillhandahållande av TLS-certifikat, enkla funktioner för säkerhetskopiering och återställning av enhetskonfigurationer, för att minimera mänskliga konfigurationsfel, och hantering av lösenordsändringar, HTTPS, IEEE 802.1X och andra tjänster på Axis-enheter.  

Axis Cloud Connect  

Axis Cloud Connect är en öppen hybridmolnplattform som hjälper slutkunder och integrationspartner att hantera Axis-enheter. Den stöder aktiviteter som att automatiskt implementera nya programuppdateringar med säkerhetspatchar för Axis-nätverksprodukter. Enhet-till-moln-anslutningen upprättas alltid genom säkra kommunikationskanaler, som HTTPS och WebRTC med TLS 1.2/1.3. Den stöder enkel inloggning (SSO) och flerfaktorsautentisering för My Axis-konton, som används för att ge åtkomst till tjänster som tillhandahålls av Axis. Cloud Connect stöder också bevisinsamling och automatisk detektion av känsliga cybersäkerhetsaktiviteter genom automatiska verktyg samt övervakning av revisionsloggar.  

Som en del av CISA-löftet har Axis åtagit sig att regelbundet dela med sig av insikter och framsteg gällande cybersäkerheten för sina produkter. Det gör att kunderna kan verifiera och hålla företaget ansvarigt, och bidrar till att stärka förtroendet som kunderna ska känna när de använder Axis produkter.