安全漏洞的后果可能包括机密性丧失以及数据完整性和可用性受损。任何拥有 IP 网络设备(包括监视摄像机)的企业组织都必须解决网络联机带来的漏洞。因此,网络安全是Axis的首要考虑因素。
由于网络安全需要持续的警觉和维护,维护安全的责任不仅落在制造商身上,也落在合作伙伴和客户身上,他们也必须尽自己的一份力量,以擴大提供保护。
在本文中,我们将解释Axis落实的网络安全方法,以及为什么所有利害关系人之间共同承担持续的责任对于维护网络安全至关重要。
内建网络安全:Axis如何降低安全风险降
Axis 软件开发网络安全总监 Jonas Falk 指出:「网络安全是 Axis DNA 的基本组成部分。从新技术开发到我们自己的日常营运,这是我们所做一切工作中不可或缺的一部分。在Axis,从新产品开发过程一开始就考虑到安全问题,并且这项关注贯穿于产品的整个生命周期。」
为确保实现此目标,Axis专门的网络安全团队(Axis软件安全小组)定义了 Axis全开发模型(ASDM),并指导开发团队在设计和执行过程中大幅降低Axis产品中的漏洞风险。该小组指导有助于提高Axis 产品安全性的方法和活动,包括涉及仿真网络攻击的测试。
大多数Axis网络设备都是由Axis操作系统 AXIS OS 驱动。虽然 AXIS OS驱动了Axis产品的功能,但它的目的也在降低漏洞风险并提高产品从部署到退役的安全性。设备的新 AXIS OS版本会持续提供,其中包括新的安全性修补程序和错误修复。
AXIS OS网络安全全球产品经理Andre Bastert 表示:「Axis采取的重要一步是将设备软件的开发从针对每种产品的单独方法转变为如今成为大多数Axis产品基础的软件平台。专注于基于 AXIS OS 的通用平台代表我们可以更轻松地确保开发和更新,从而高效、及时地增强安全性。」
Axis 在网络安全方面优势的一个关键也来自透过称为 Axis Edge Vault 基于硬件的安全平台提供的强大基础。 Edge Vault 可保护Axis设备的完整性,并支持执行需要加密密钥的操作。 Edge Vault 增强了供应链保护并提供安全的密钥储存。它还支援签名视频等功能。签名视频添加了加密校验和,可以证明视频自离开摄像机以来未被编辑过,这在调查或起诉中尤其重要。
然而,网络安全不能只透过开发新的安全功能来实现。安全基础 — 以及由随着时间推移执行和改进的流程和策略组成的整体策略 — 是必要的。
拥有网络安全透明度
Andre 进一步表示:「对于客户来说,降低整合到其系统中的网络产品的供应链风险非常重要,在Axis,我们相信客户应该获得供货商的透明度,以帮助他们降低风险,这就是为什么我们在软件漏洞管理等领域如此重视透明度,以便成为帮助保护我们客户的负责任的合作伙伴。」
Axis被核可为其产品的通用漏洞和暴露 (CVE) 编号机构 (CNA)。 CVE 计划提供了框架和工具,使全球各地的组织能够管理和揭露新发现的漏洞。加入 CVE 计划证明了组织致力于遵循以客户为中心的道德漏洞管理最佳实践。
身为Axis确保其产品网络安全承诺的一部分,该公司拥有内部和外部资源来测试产品,以帮助提高安全性。Axis也推行错误赏金计划,发现 AXIS 操作系统漏洞的安全研究人员有资格获得现金奖励。当发现新漏洞时,Axis会修复问题并公开披露,以便客户能够及时采取适当的措施。
这种透明的方法也扩展到公开提供 AXIS OS 的软件物料列表 (SBOM)。 SBOM 提供了构成 AXIS OS 版本的所有软件组件的列表,允许免费存取以进行审查。这些实际措施也以 ISO 27001 合规性为基础。
客户可用来优化网络安全的工具
随着网络犯罪分子学习和开发渗透防御的新技术,网络威胁不断发展。这就是为什么所有利害关系人 — 制造商、合作伙伴、系统整合商和最终用户 — 不仅必须分担执行网络安全措施的责任,而且还必须持续维护它。
Axis透过加强其产品的网络安全性,为这个复杂领域的合作伙伴和客户提供支持。这包括提供指导和工具,使客户能够更轻松地以尽可能安全的方式管理和操作Axis产品。
AXIS Device Manager 和加强版 AXIS Device Manager Extend 等工具可协助客户在整个生命周期中有效率地设定和管理Axis产品。终端用户可以使用这些工具来帮助执行网络安全策略、获取新 AXIS 操作系统更新的警报以及高效更新产品韧体。
Andre 表示:「Axis可以提供技术、工具和指导来支持我们的产品,但如果客户自己在系统整合商的帮助下不采取措施积极、持续地维护其产品的安全性,那么它们也无济于事。每个人都需要尽自己的一份力量。」
始终将网络安全置于首位
由于网络安全是一个不断变化的目标,Axis采取了持续关注网络安全的方法。
Jonas指出:「网络安全是Axis日常活动的重要组成部分,我们不仅努力提供具有内建安全措施的产品,而且还确保安全流程到位,以管理我们自己的营运和活动,以帮助减轻与我们产品相关的供应链风险。」