安全漏洞的後果可能包括機密性喪失以及資料完整性和可用性受損。任何擁有 IP 網路設備(包括監視攝影機)的企業組織都必須解決網路連線帶來的漏洞。因此,網路安全是Axis的首要考慮因素。
由於網路安全需要持續的警覺和維護,維護安全的責任不僅落在製造商身上,也落在合作夥伴和客戶身上,他們也必須盡自己的一份力量,以最大限度地提供保護。
在本文中,我們將解釋Axis落實的網路安全方法,以及為什麼所有利害關係人之間共同承擔持續的責任對於維護網路安全至關重要。
內建網路安全:Axis如何將安全風險降至最低
Axis 軟體開發網路安全總監 Jonas Falk 指出:「網路安全是 Axis DNA 的基本組成部分。從新技術開發到我們自己的日常營運,這是我們所做一切工作中不可或缺的一部分。在Axis,從新產品開發過程一開始就考慮到安全問題,並且這項關注貫穿於產品的整個生命週期。」
為確保實現此目標,Axis專門的網路安全團隊(Axis軟體安全小組)定義了 Axis全開發模型(ASDM),並指導開發團隊在設計和執行過程中最大限度地降低Axis產品中的漏洞風險。該小組指導有助於提高Axis 產品安全性的方法和活動,包括涉及模擬網路攻擊的測試。
大多數Axis網路設備都是由Axis作業系統 AXIS OS 驅動。雖然 AXIS OS驅動了Axis產品的功能,但它的目的也在降低漏洞風險並提高產品從部署到退役的安全性。設備的新 AXIS OS版本會持續提供,其中包括最新的安全性修補程式和錯誤修復。
AXIS OS網路安全全球產品經理Andre Bastert 表示:「Axis採取的重要一步是將設備軟體的開發從針對每種產品的單獨方法轉變為如今成為大多數Axis產品基礎的軟體平台。專注於基於 AXIS OS 的通用平台代表我們可以更輕鬆地確保開發和更新,從而高效、及時地增強安全性。」
Axis 在網路安全方面優勢的一個關鍵也來自透過稱為 Axis Edge Vault 基於硬體的安全平台提供的強大基礎。 Edge Vault 可保護Axis設備的完整性,並支援執行需要加密金鑰的操作。 Edge Vault 增強了供應鏈保護並提供安全的金鑰儲存。它還支援簽名影像等功能。簽名影像添加了加密校驗和,可以證明影片自離開攝影機以來未被編輯過,這在調查或起訴中尤其重要。
然而,網路安全不能只透過開發新的安全功能來實現。安全基礎 — 以及由隨著時間推移執行和改進的流程和策略組成的整體策略 — 是必要的。
擁有網路安全透明度
Andre 進一步表示:「對於客戶來說,降低整合到其係統中的網路產品的供應鏈風險非常重要,在Axis,我們相信客戶應該獲得供應商的透明度,以幫助他們降低風險,這就是為什麼我們在軟體漏洞管理等領域如此重視透明度,以便成為幫助保護我們客戶的負責任的合作夥伴。」
Axis被核可為其產品的通用漏洞和暴露 (CVE) 編號機構 (CNA)。 CVE 計劃提供了框架和工具,使全球各地的組織能夠管理和揭露新發現的漏洞。加入 CVE 計畫證明了組織致力於遵循以客戶為中心的道德漏洞管理最佳實踐。
身為Axis確保其產品網路安全承諾的一部分,該公司擁有內部和外部資源來測試產品,以幫助提高安全性。Axis也推行錯誤賞金計劃,發現 AXIS 作業系統漏洞的安全研究人員有資格獲得現金獎勵。當發現新漏洞時,Axis會修復問題並公開披露,以便客戶能夠及時採取適當的措施。
這種透明的方法也擴展到公開提供 AXIS OS 的軟體物料清單 (SBOM)。 SBOM 提供了構成 AXIS OS 版本的所有軟體元件的列表,允許免費存取以進行審查。這些實際措施也以 ISO 27001 合規性為基礎。
客戶可用來優化網路安全的工具
隨著網路犯罪分子學習和開發滲透防禦的新技術,網路威脅不斷發展。這就是為什麼所有利害關係人 — 製造商、合作夥伴、系統整合商和最終用戶 — 不僅必須分擔執行網路安全措施的責任,而且還必須持續維護它。
Axis透過加強其產品的網路安全性,為這個複雜領域的合作夥伴和客戶提供支援。這包括提供指導和工具,使客戶能夠更輕鬆地以盡可能安全的方式管理和操作Axis產品。
AXIS Device Manager 和加強版 AXIS Device Manager Extend 等工具可協助客戶在整個生命週期中有效率地設定和管理Axis產品。終端用戶可以使用這些工具來幫助執行網路安全策略、獲取新 AXIS 作業系統更新的警報以及高效更新產品韌體。
Andre 表示:「Axis可以提供技術、工具和指導來支援我們的產品,但如果客戶自己在系統整合商的幫助下不採取措施積極、持續地維護其產品的安全性,那麼它們也無濟於事。每個人都需要盡自己的一份力量。」
始終將網路安全置於首位
由於網路安全是一個不斷變化的目標,Axis採取了持續關注網路安全的方法。
Jonas指出:「網路安全是Axis日常活動的重要組成部分,我們不僅努力提供具有內建安全措施的產品,而且還確保安全流程到位,以管理我們自己的營運和活動,以幫助減輕與我們產品相關的供應鏈風險。」