AXIS סעקוריטי אנטוויקלונג מאָדעל ווייכווארג

הקדמה

ASDM אַבדזשעקטיווז
די Axis Security Development Model (ASDM) איז אַ פריימווערק וואָס דיפיינז דעם פּראָצעס און מכשירים געניצט דורך Axis צו בויען ווייכווארג מיט זיכערהייט געבויט-אין איבער די לייפסיקלע, פֿון אָנהייב צו דיקאַמישאַן.

די ערשטיק אַבדזשעקטיווז דרייווינג ASDM השתדלות זענען

• מאַכן ווייכווארג זיכערהייט אַ ינאַגרייטיד טייל פון אַקסיס ווייכווארג אַנטוויקלונג אַקטיוויטעטן.
• רעדוצירן זיכערהייט פֿאַרבונדענע געשעפט ריסקס פֿאַר אַקסיס קאַסטאַמערז.
• טרעף אינקרעasinג וויסיקייַט פון זיכערהייט באַטראַכטונגען דורך קאַסטאַמערז און פּאַרטנערס.
• שאַפֿן פּאָטענציעל פֿאַר פּרייַז רעדוקציע ווייַל פון פרי דיטעקשאַן און האַכלאָטע פון ​​ישוז
  ASDM פאַרנעם איז אַקס ווייכווארג אַרייַנגערעכנט אין Axis פּראָדוקטן און סאַלושאַנז. די ווייכווארג סעקוריטי גרופע (SSG) איז די באַזיצער און מאַינטער פון די ASDM.

גלאָסאַר

ASDM	אַקס סעקוריטי אַנטוויקלונג מאָדעל
SSG	ווייכווארג זיכערהייט גרופע
פירמוואַרע סטירינג גרופּע	ר & די פאַרוואַלטונג
סאַטעליט	דעוועלאָפּערס וואָס האָבן אַ נאַטירלעך קירבות פֿאַר ווייכווארג זיכערהייט
וואַלנעראַביליטי ברעט	אַקס קאָנטאַקט פונט אין באַציונג צו וואַלנעראַביליטיז געפֿונען דורך פונדרויסנדיק ריסערטשערז
זשוק באַר	זיכערהייט ציל פֿאַר אַ פּראָדוקט אָדער לייזונג
DFD	דאַטאַ לויפן דיאַגראַמע

ASDM איבערview

די ASDM קאַמפּרייזיז עטלעכע אַקטיוויטעטן פאַרשפּרייטן איבער די הויפּט אַנטוויקלונג פייזאַז. די זיכערהייט אַקטיוויטעטן זענען קאַלעקטיוולי יידענאַפייד ווי די ASDM.

די SSG איז פאראנטווארטלעך פארן פירן די ASDM און אנטוויקלען די מכשירים איבער צייט. עס איז דא אן ASDM וועג-פלאן און א פלאן פארן אימפלעמענטירן נייע אקטיוויטעטן און פארגרעסערן.asinג ASDM מאַטוריטעט איבער דער אַנטוויקלונג אָרגאַניזאַציע. ביידע די ראָודמאַפּ און די אויסראָל פּלאַן זענען אָונד דורך די SSG, אָבער די פֿאַראַנטוואָרטלעכקייט פֿאַר די פאַקטישע דורכפֿירונג אין פּראַקטיק (ד"ה, דורכפֿירן אַקטיוויטעטן פֿאַרבונדן מיט אַנטוויקלונג פֿאַזעס) איז דעלאַגירט צו די R&D טימז.

ווייכווארג זיכערהייט גרופע (SSG)

SSG איז די הויפּט ינערלעך קאָנטאַקט ענטיטי צו אַנטוויקלונג אָרגאַנאַזיישאַנז פֿאַר זיכערהייט פֿאַרבונדענע ישוז. עס קאַמפּרייזיז זיכערהייט לידז און אנדערע מיט ספּעשאַלייזד זיכערהייט וויסן אין אַנטוויקלונג געביטן אַזאַ ווי רעקווירעמענץ, פּלאַן, ימפּלאַמענטיישאַן, וועראַפאַקיישאַן,
ווי געזונט ווי קרייַז-פאַנגקשאַנאַל DevOps פּראַסעסאַז.
SSG איז פאַראַנטוואָרטלעך פֿאַר דער אַנטוויקלונג און וישאַלט פון די ASDM פֿאַר זיכער אַנטוויקלונג פּראַקטיסיז און זיכערהייט וויסיקייַט אין דער אַנטוויקלונג אָרגאַניזאַציע.

סאַטעליטן
סאַטאַלייץ זענען מיטגלידער פון דער אַנטוויקלונג אָרגאַניזאַציע וואָס פאַרברענגען אַ טייל פון זייער צייט צו אַרבעטן מיט ווייכווארג זיכערהייט אַספּעקץ. די סיבות פֿאַר די נוצן פון סאַטאַלייץ זענען:

• וואָג ASDM אָן בנין אַ גרויס הויפט SSG
• צושטעלן ASDM שטיצן נאָענט צו די אַנטוויקלונג טימז
• פאַסילאַטייט וויסן ייַנטיילונג, למשל, בעסטער פּראַקטיסיז
  א סאַטעליט וועט אַרוישעלפן אין ימפּלאַמענינג נייַע אַקטיוויטעטן און האַלטן די ASDM אין אַ סאַבסעט פון די אַנטוויקלונג טימז.

ASDM אַקטיוויטעט ראָולאַוט
ASDM אַקטיוויטעט ראָולאַוט צו אַ אַנטוויקלונג מאַנשאַפֿט איז וויtagעד פּראָצעס:

1. די מאַנשאַפֿט איז באַקענענ צו די נייַע טעטיקייט דורך ראָלע-ספּעציפיש טריינינג.
2. SSG אַרבעט צוזאַמען מיט די מאַנשאַפֿט צו דורכפירן די טעטיקייט, למשל, ריזיקירן אַסעסמאַנט אָדער סאַקאָנע מאָדעלינג, פֿאַר אויסגעקליבן פּאַרץ פון די סיסטעם (s) געראטן דורך די מאַנשאַפֿט.
3. ווייַטער אַקטיוויטעטן שייַכות צו ינטאַגרייטינג די מכשירים אין טעגלעך אַרבעט וועט זיין איבערגעגעבן צו די מאַנשאַפֿט און סאַטעליט ווען זיי זענען גרייט צו אַרבעטן ינדיפּענדאַנטלי אָן דירעקט SSG ינוואַלוומאַנט. אין דעם פאַסע, די אַרבעט איז גאַווערנד דורך די מאַנשאַפֿט פאַרוואַלטער דורך די ASDM סטאַטוס.
   די ראָולאַוט איז ריפּיטיד ווען עס זענען נייַע ווערסיעס פון די ASDM בנימצא מיט מאַדאַפייד און / אָדער צוגעגעבן אַקטיוויטעטן. די סומע פון ​​צייט פארבראכט דורך SSG מיט אַ מאַנשאַפֿט איז העכסט אָפענגיק אויף די טעטיקייט און קאָד קאַמפּלעקסיטי. א שליסל פאַקטאָר פֿאַר געראָטן כאַנדאָוווער צו די מאַנשאַפֿט איז די עקזיסטענץ פון אַן עמבעדיד סאַטעליט וואָס קענען פאָרזעצן ווייַטער ASDM אַרבעט מיט די מאַנשאַפֿט. SSG דרייווז לערנען און אַסיינמאַנט פון די סאַטעליט אין פּאַראַלעל מיט אַקטיוויטעט ראָולאַוט.
   די פיגור אונטן סאַמערייזיז די ראָולאַוט מעטאַדאַלאַדזשי.

   

SSG דעפֿיניציע פון ​​"געטאן" פֿאַר כאַנדאָוווער איז:

• ראָלע ספּעציפיש טריינינג דורכגעקאָכט
• סאַטעליט אַסיינד
• מאַנשאַפֿט איז גרייט צו דורכפירן די ASDM טעטיקייט
• ריקערינג ASDM סטאַטוס מיטינגז געגרינדעט
  SSG ניצט אַרייַנשרייַב פון די טימז צו אַסעמבאַל סטאַטוס ריפּאָרץ צו עלטער פאַרוואַלטונג.

אנדערע SSG אַקטיוויטעטן
אין פּאַראַלעל מיט ראָולאַוט אַקטיוויטעטן, די SSG קאַנדאַקץ ברייטערער זיכערהייט וויסיקייַט טריינינג אַקטיוויטעטן טאַרגאַטינג למשל, נייַ עמפּלוייז און עלטער פאַרוואַלטונג. אַדדיטיאָנאַללי, SSG מיינטיינז אַ זיכערהייט היץ מאַפּע פון ​​אַקס סאַלושאַנז פֿאַר קוילעלדיק / אַרקאַטעקטשעראַל ריזיקירן אַסעסמאַנט צוועקן. פּראָאַקטיווע זיכערהייט אַנאַליסיס אַקטיוויטעטן פֿאַר ספּעציפיש מאַדזשולז זענען דורכגעקאָכט באזירט אויף די היץ מאַפּע.

ראָלעס און ריספּאַנסאַבילאַטיז
ווי געוויזן אין די טיש אונטן, עס זענען עטלעכע שליסל ענטיטיז און ראָלעס וואָס זענען טייל פון די ASDM פּראָגראַם. די טיש אונטן סאַמערייזיז ראָלעס און ריספּאַנסאַבילאַטיז אין באַציונג צו די ASDM.

ראָלע / ענטיטי	טייל פון	פֿאַראַנטוואָרטלעכקייט	באַמערקונג
זיכערהייט מומחה	SSG	רעגירן ASDM, יוואַלוו די מכשירים און פירן ASDM ראָולאַוט	100% אַסיינד צו SSG
סאַטעליט	אַנטוויקלונג שורה	הילף SSG צו ינסטרומענט ASDM דער ערשטער מאָל, קאָוטש טימז, דורכפירן טריינינג און ענשור אַז די מאַנשאַפֿט קענען פאָרזעצן צו נוצן די Toolbox ווי אַ טייל פון די טעגלעך אַרבעט, ינדיפּענדאַנטלי פֿון SSG. קרייז-מאַנשאַפֿט פֿאַראַנטוואָרטלעכקייט (עטלעכע טימז) פארלאנגט צו באַגרענעצן די גאַנץ נומער פון סאַטאַלייץ.	אינטערעסירט און פאַרקנאַסט דעוועלאָפּערס, אַרקאַטעקץ, מאַנאַדזשערז, טעסטערס און ענלעך ראָלעס וואָס האָבן אַ נאַטירלעך קירבות פֿאַר ווייכווארג זיכערהייט. סאַטאַלייץ באַשטימען בייַ מינדסטער 20% פון זייער צייט צו ASDM פֿאַרבונדענע אַרבעט.
מאַנאַדזשערז	אַנטוויקלונג שורה	זיכער רעסורסן פֿאַר ימפּלאַמענטיישאַן פון ASDM פּראַקטיסיז. פאָר טראַקינג און ריפּאָרטינג וועגן ASDM סטאַטוס און קאַווערידזש.	אַנטוויקלונג טימז פאַרמאָגן ASDM ימפּלאַמענטיישאַן, מיט SSG ווי אַ שטיצן מיטל.
פירמוואַרע סטירינג גרופע (FW SG)	ר & די פאַרוואַלטונג	דיסיידז אויף זיכערהייט סטראַטעגיע און אַקט ווי דער הויפּט SSG ריפּאָרטינג קאַנאַל.	SSG ריפּאָרץ צו FW SG אויף אַ רעגולער יקער.

ASDM גאַווערנאַנס

די גאַווערנאַנס סיסטעם קאַמפּרייזיז די פאלגענדע פּאַרץ:

• סיסטעם ריזיקירן העאַטמאַפּ צו העלפן פּרייאָראַטייז ASDM אַקטיוויטעטן
• ראָלאַוט פּלאַן און סטאַטוס צו פאָקוס אויף טריינינג השתדלות
• ראָאַדמאַפּ צו יוואַלוו די מכשירים
• סטאַטוס צו מעסטן ווי געזונט די ASDM אַקטיוויטעטן זענען ינאַגרייטיד אין דער אָרגאַניזאַציע

די ASDM סיסטעם איז אַזוי געשטיצט פֿון אַ טאַקטיש / אַפּעריישאַנאַל פּערספּעקטיוו און פֿון אַ סטראַטידזשיק / יגזעקיאַטיוו פּערספּעקטיוו.
עקסעקוטיווע גיידאַנס אויף די רעכט זייַט אין די פיגור האט אַ פאָקוס אויף ווי צו אַנטוויקלען די אָרגאַניזאַציע פֿאַר אָפּטימאַל יפעקטיוונאַס אין שורה מיט אַקס געשעפט צילן. אַ וויכטיק אַרייַנשרייַב צו דעם איז די ASDM סטאַטוס ריפּאָרטינג דורכגעקאָכט דורך SSG צו די Firmware Steering Group, CTO און Product Management.

ASDM סטאַטוס סטרוקטור

די ASDM סטאַטוס סטרוקטור האט צוויי פּערספּעקטיווז: איין מאַנשאַפֿט סענטריק מימיקינג אונדזער מאַנשאַפֿט און אָפּטיילונג סטרוקטור, און איין לייזונג סענטריק פאָוקיסינג אויף די סאַלושאַנז מיר ברענגען צו די מאַרק.
די פיגור אונטן ילאַסטרייץ די ASDM סטאַטוס סטרוקטור.

מאַנשאַפֿט סטאַטוס
מאַנשאַפֿט סטאַטוס כּולל די מאַנשאַפֿט זיך-אַסעסמאַנט פון זיין ASDM צייַטיקייַט, מעטריקס שייַכות צו זייער זיכערהייט אַנאַליסיס אַקטיוויטעטן און אַ אַגגרעגאַטיאָן פון די זיכערהייט סטאַטוס פון די קאַמפּאָונאַנץ פֿאַר זיי זענען פאַראַנטוואָרטלעך.

אַקס דיפיינז די ASDM צייַטיקייַט ווי די ASDM ווערסיע וואָס די מאַנשאַפֿט איצט ניצט. זינט די ASDM איז יוואַלווינג, מיר האָבן דיפיינד ASDM ווערסיע, ווו יעדער ווערסיע פון ​​די ASDM כּולל אַ יינציק גאַנג פון אַקטיוויטעטן. פֿאַר עקסampליי, אונדזער ערשטער ווערסיע פון ​​די ASDM איז פאָוקיסט אויף סאַקאָנע מאָדעלינג.
אַקס האט דיפיינד די פאלגענדע ASDM ווערסיעס:

ASDM ווערסיע	נײַע אַקטיוויטעטן
ASDM 1.0	ריזיקירן אַסעסמאַנט און סאַקאָנע מאָדעלינג
ASDM 2.0	סטאַטיק קאָד שייַעךview
ASDM 2.1	פּריוואַטקייט דורך פּלאַן
ASDM 2.2	ווייכווארג זאַץ אַנאַליסיס
ASDM 2.3	פונדרויסנדיק דורכדרונג טעסטינג
ASDM 2.4	וואַלנעראַביליטי סקאַנינג און פייַער בויער
ASDM 2.5	פּראָדוקט / לייזונג זיכערהייט סטאַטוס

געבן די מאַנשאַפֿט אָונערשיפּ פון וואָס ASDM ווערסיע זיי נוצן מיטל אַז די שורה פאַרוואַלטער איז פאַראַנטוואָרטלעך פֿאַר די אַדאַפּטיישאַן פון נייַע ASDM ווערסיעס. אַזוי אַנשטאָט פון אַ סעטאַפּ ווו SSG פּושיז אַ הויפט ASDM ראָולאַוט פּלאַן, עס איצט ווערט ציען-באזירט און קאַנטראָולד דורך די מאַנאַדזשערז.

קאָמפּאָנענט סטאַטוס

• מיר האָבן אַ ברייט דעפֿיניציע פון ​​קאָמפּאָנענט זינט מיר דאַרפֿן צו דעקן אַלע סאָרץ פון אַרקאַטעקטשעראַל ענטיטיז ריינדזשינג פון לינוקס בייזע גייסטער אין דער פּלאַטפאָרמע, דורך סערווער ווייכווארג אַלע די וועג צו וואָלקן (מיקראָ) באַדינונגס.
• יעדער מאַנשאַפֿט מוזן מאַכן זיך אַ אַבסטראַקציע מדרגה וואָס אַרבעט פֿאַר זיי אין זייער סוויווע און אַרקאַטעקטשער. ווי אַ גראָבער פינגער, טימז זאָל ויסמיידן ינווענטינג אַ נייַע אַבסטראַקציע מדרגה און האַלטן וואָס זיי שוין נוצן אין זייער טעגלעך אַרבעט.
• דער געדאַנק איז אַז יעדער מאַנשאַפֿט זאָל האָבן אַ קלאָר view פון אַלע זייער הויך-ריזיקירן קאַמפּאָונאַנץ, וואָס כולל נייַע און לעגאַט קאַמפּאָונאַנץ. די מאָוטאַוויישאַן פֿאַר דעם געוואקסן אינטערעס אין לעגאַט קאַמפּאָונאַנץ איז לינגקט צו אונדזער פיייקייט צו קוקן אין די זיכערהייט סטאַטוס פֿאַר סאַלושאַנז. אין דעם פאַל פון אַ לייזונג, מיר ווילן צו האָבן וויזאַביליטי אין די זיכערהייט סטאַטוס פון אַלע פּאַרץ פון די לייזונג נייַ און אַלט.
• אין פיר, דאָס מיטל אַז יעדער מאַנשאַפֿט מוזן קוקן אין זייער ינוואַנטאָרי פון קאַמפּאָונאַנץ און מאַכן אַ ריזיקירן אַסעסמאַנט.
• דער ערשטער זאַך מיר דאַרפֿן צו וויסן איז צי דער קאָמפּאָנענט האט אַנדערגאָן זיכערהייט אַנאַליסיס. אויב דאָס איז נישט, מיר טאַקע טאָן ניט וויסן עפּעס וועגן די זיכערהייט קוואַליטעט פון די קאָמפּאָנענט.

מיר רופן דעם פאַרמאָג קאַווערידזש און האָבן דיפיינד די פאלגענדע קאַווערידזש לעוועלס:

קאַווערידזש	באַשרייַבונג
אַנאַליסיס נישט געטאן	דער קאָמפּאָנענט איז נאָך נישט אַנאַלייזד
אַנאַליסיס אָנגאָינג	דער קאָמפּאָנענט איז אַנאַלייזד
אַנאַליסיס געטאן	דער קאָמפּאָנענט איז אַנאַלייזד

די מעטריקס וואָס מיר נוצן צו כאַפּן די זיכערהייט קוואַליטעט פון די קאָמפּאָנענט זענען באזירט אויף די זיכערהייט אַרבעט זאכן אין די באַקלאָג וואָס זענען לינגקט צו די קאָמפּאָנענט. דאָס קען זיין קאַונטערמעזשערז וואָס זענען נישט ימפּלאַמענאַד, טעסט קאַסעס וואָס זענען נישט עקסאַקיוטאַד און זיכערהייט באַגז וואָס זענען נישט גערעדט.

לייזונג סטאַטוס

לייזונג סטאַטוס אַגראַגייץ זיכערהייט סטאַטוס פֿאַר אַ סכום פון קאַמפּאָונאַנץ וואָס מאַכן די לייזונג.
דער ערשטער טייל פון די לייזונג סטאַטוס איז די אַנאַליסיס קאַווערידזש פון די קאַמפּאָונאַנץ. דאָס העלפּס אָונערז פון לייזונג צו פֿאַרשטיין אויב די זיכערהייט סטאַטוס פון די לייזונג איז באַוווסט אָדער נישט. אין איין פּערספּעקטיוו עס העלפט ידענטיפיצירן די בלינד ספּאַץ. די רעשט פון די לייזונג סטאַטוס כּולל מעטריקס וואָס כאַפּן די זיכערהייט קוואַליטעט פון די לייזונג. מיר טאָן דאָס דורך קוקן אין די זיכערהייט אַרבעט זאכן וואָס זענען לינגקט צו די קאַמפּאָונאַנץ אין דער לייזונג. אַ וויכטיק אַספּעקט פון די זיכערהייט סטאַטוס איז די זשוק באַר דיפיינד דורך די לייזונג אָונערז. די לייזונג אָונערז מוזן דעפינירן אַ צונעמען זיכערהייט מדרגה פֿאַר זייער לייזונג. פֿאַר עקסampדאָס מיינט אַז די לייזונג זאָל נישט האָבן קיין בוילעט קריטיש אָדער הויך שטרענגקייַט אַרבעט ייטאַמז עפענען ווען באפרייט צו די מאַרק.

ASDM אַקטיוויטעטן

ריזיקירן אַסעסמאַנט
דער הויפּט ציל מיט ריזיקירן אַסעסמאַנט איז צו פילטער אויס וואָס אַנטוויקלונג אַקטיוויטעטן וואָס אויך דאַרפן זיכערהייט אַרבעט אין די מאַנשאַפֿט.
ריזיקירן אַסעסמאַנט איז דורכגעקאָכט דורך אויב אַ נייַע פּראָדוקט אָדער אַ צוגעגעבן / מאַדאַפייד שטריך אין יגזיסטינג פּראָדוקטן ינקריסיז די ריזיקירן ויסשטעלן. באַמערקונג אַז דאָס אויך כולל דאַטן פּריוואַטקייט אַספּעקץ און העסקעם רעקווירעמענץ. עקסampדי ענדערונגען וואָס האָבן ריזיקירן פּראַל זענען נייַ אַפּיס, ענדערונגען צו דערלויבעניש רעקווירעמענץ, נייַ מידאַלוואַרע, עטק.

דאַטאַ פּריוואַטקייט
צוטרוי איז אַ שליסל פאָקוס געגנט פֿאַר אַקסיס און, ווי אַזאַ, עס איז וויכטיק צו נאָכפאָלגן בעסטער פּראַקטיסיז ווען ארבעטן מיט פּריוואַט דאַטן געזאמלט דורך אונדזער פּראָדוקטן, סאַלושאַנז און באַדינונגס.
דער פאַרנעם פֿאַר אַקס השתדלות שייַכות צו דאַטן פּריוואַטקייט זענען דיפיינד אַזוי אַז מיר קענען:

• מקיים לעגאַל אַבלאַגיישאַנז
• מקיים קאַנטראַקטשואַל אַבלאַגיישאַנז
• הילף קאַסטאַמערז מקיים זייער אַבלאַגיישאַנז

מיר טיילן די דאַטן פּריוואַטקייט טעטיקייט אין צוויי סאַב אַקטיוויטעטן:

• דאַטאַ פּריוואַטקייט אַסעסמאַנט
  • געטאן בעשאַס ריזיקירן אַסעסמאַנט
  • יידענאַפייד אויב דאַטן פּריוואַטקייט אַנאַליסיס איז דארף
•  דאַטאַ פּריוואַטקייט אַנאַליסיס
  • געטאן, ווען אָנווענדלעך, בעשאַס סאַקאָנע מאָדעלינג
  • ידענטיפיצירן פערזענלעכע דאַטן און טרעץ צו פערזענלעכע דאַטן
  • דיפיינז פּריוואַטקייט באדערפענישן

סאַקאָנע מאָדעלינג
איידער מיר אָנהייבן צו ידענטיפיצירן טרעץ, מיר דאַרפֿן צו באַשליסן די פאַרנעם פון די סאַקאָנע מאָדעל. א וועג פון אַרטיקיאַלייטינג די פאַרנעם איז צו באַשרייַבן די אַטאַקערז וואָס מיר דאַרפֿן צו באַטראַכטן. דער צוגאַנג וועט אויך לאָזן אונדז צו ידענטיפיצירן די הויך-מדרגה באַפאַלן סערפאַסיז מיר מוזן אַרייַננעמען אין די אַנאַליסיס.

• פאָקוס בעשאַס סאַקאָנע סקאָפּינג איז אויף דערגייונג און קאַטאַגערייזינג אַטאַקערז וואָס מיר ווילן צו שעפּן מיט אַ הויך-מדרגה באַשרייַבונג פון די סיסטעם. פּרעפעראַבלי די באַשרייַבונג איז דורכגעקאָכט מיט אַ דאַטן לויפן דיאַגראַמע (DFD) ווייַל עס מאכט עס גרינגער צו פאַרבינדן די מער דיטיילד נוצן פאַל דיסקריפּשאַנז וואָס זענען געניצט ווען איר טאָן די סאַקאָנע מאָדעל.
• דאָס טוט נישט מיינען אַז אַלע די אַטאַקערז מיר ידענטיפיצירן דאַרפֿן צו זיין קאַנסידערד, עס פשוט מיטל אַז מיר זענען יקספּליסאַט און קאָנסיסטענט אויף די אַטאַקערז וואָס מיר וועלן אַדרעס אין די סאַקאָנע מאָדעל. אַזוי, בייסיקלי, די אַטאַקערז וואָס מיר קלייַבן צו באַטראַכטן וועט דעפינירן די זיכערהייט מדרגה פון די סיסטעם וואָס מיר אַססעסס.
  באַמערקונג אַז אונדזער באַשרייַבונג פון די אַטאַקער טוט נישט ווירקן די אַטאַקער קייפּאַבילאַטיז אָדער מאָוטאַוויישאַן. מיר האָבן אויסדערוויילט דעם צוגאַנג צו פאַרפּאָשעטערן און סטרימליין סאַקאָנע מאָדעלינג ווי פיל ווי מעגלעך.

  

סאַקאָנע מאָדעלינג האט דריי סטעפּס וואָס קענען זיין יטערייטיד ווי די מאַנשאַפֿט זעט פּאַסיק:

1. באַשרייַבן די סיסטעם ניצן אַ סכום פון DFDs
2. ניצן די DFDs צו ידענטיפיצירן טרעץ און באַשרייַבן זיי אין אַ זידלען-פאַל סטיל
3. 3. דעפינירן קאַונטערמעזשערז און וועראַפאַקיישאַן פֿאַר די טרעץ
   דער רעזולטאַט פון אַ סאַקאָנע מאָדעלינג טעטיקייט איז אַ סאַקאָנע מאָדעל וואָס כּולל פּרייאָראַטייזד טרעץ און קאַונטערמעזשערז. אַנטוויקלונג אַרבעט פארלאנגט צו אַדרעס קאַונטערמעזשערז איז געראטן דורך שאַפונג פון Jira טיקיץ ביידע פֿאַר די ימפּלאַמענטיישאַן און וועראַפאַקיישאַן פון די קאַונטערמעזשערז.

   

סטאַטיק קאָד אַנאַליסיס
אין די ASDM, טימז קענען נוצן סטאַטיק קאָד אַנאַליסיס אין דריי וועגן:

• דעוועלאָפּער וואָרקפלאָוו: דעוועלאָפּערס אַנאַלייז די קאָד וואָס זיי אַרבעטן אויף
• Gerrit וואָרקפלאָוו: דעוועלאָפּערס באַקומען באַמערקונגען אין Gerrit
• לעגאַט וואָרקפלאָוו: טימז אַנאַלייז הויך ריזיקירן לעגאַט קאַמפּאָונאַנץ

  

וואַלנעראַביליטי סקאַנינג
רעגולער וואַלנעראַביליטי סקאַנינג אַלאַוז די אַנטוויקלונג טימז צו ידענטיפיצירן און לאַטע ווייכווארג וואַלנעראַביליטיז איידער פּראָדוקטן זענען באפרייט צו דעם ציבור, רידוסינג די קאַסטאַמערז ריזיקירן ווען דיפּלויינג די פּראָדוקט אָדער דינסט. סקאַנינג איז דורכגעקאָכט איידער יעדער מעלדונג ייַזנוואַרג, ווייכווארג) אָדער אויף אַ פליסנדיק פּלאַן (באַדינונגען) ניצן ביידע אָפֿן-מקור און געשעפט וואַלנעראַביליטי סקאַנינג פּאַקאַדזשאַז. די רעזולטאַטן פון די סקאַנז זענען געניצט צו דזשענערייט טיקיץ אין די Jira אַרויסגעבן טראַקינג פּלאַטפאָרמע. טיקקעץ זענען געגעבן אַ ספּעציעל tag צו זיין יידענאַפייד דורך אַנטוויקלונג טימז ווי קומען פון אַ וואַלנעראַביליטי יבערקוקן און אַז זיי זאָל זיין געגעבן אַן עלעוואַטעד בילכערקייַט. כל וואַלנעראַביליטי סקאַנז און Jira טיקאַץ זענען סטאָרד סענטראַלי פֿאַר טרייסאַביליטי און אַדאַטינג צוועקן. קריטיש וואַלנעראַביליטיז זאָל זיין ריזאַלווד איידער מעלדונג אָדער אין אַ ספּעציעל דינסט מעלדונג מיט אנדערע ניט-קריטיש וואַלנעראַביליטיז,
טראַקט און ריזאַלווד אין אַליינמאַנט מיט די פירמוואַרע אָדער ווייכווארג מעלדונג ציקל. מער אינפֿאָרמאַציע וועגן ווי וואַלנעראַביליטיז זענען סקאָרד און געראטן, זען וואַלנעראַביליטי פאַרוואַלטונג אויף בלאַט 12

פונדרויסנדיק דורכדרונג טעסטינג
אין סעלעקטעד קאַסעס, דריט-פּאַרטיי דורכדרונג טעסטינג איז דורכגעקאָכט אויף Axis ייַזנוואַרג אָדער ווייכווארג פּראָדוקטן. דער הויפּט ציל פון לויפן די טעסץ איז צו צושטעלן ינסייט און פארזיכערונג וועגן די זיכערהייט פון די פּלאַטראָם אין אַ באַזונדער צייט און פֿאַר אַ באַזונדער פאַרנעם. איינער פון אונדזער ערשטיק גאָולז מיט די ASDM איז דורכזעיקייַט, אַזוי מיר מוטיקן אונדזער קאַסטאַמערז צו דורכפירן פונדרויסנדיק דורכדרונג טעסטינג אויף אונדזער פּראָדוקטן און מיר זענען צופרידן צו מיטאַרבעטן ווען דיפיינינג צונעמען פּאַראַמעטערס פֿאַר טעסטינג און דיסקוסיעס וועגן ינטערפּריטיישאַן פון די רעזולטאַטן.

וואַלנעראַביליטי פאַרוואַלטונג
אַקס איז, זינט 2021, אַ רעגיסטרירט CVE נאַמינג אויטאָריטעט (CNA) און דעריבער טויגעוודיק צו אַרויסגעבן נאָרמאַל CVE ריפּאָרץ צו די MITER דאַטאַבייס פֿאַר קאַנסאַמשאַן דורך דריט-פּאַרטיי וואַלנעראַביליטי סקאַנערז און אנדערע מכשירים. די וואַלנעראַביליטי ברעט (VB) איז די ינערלעך אַקס קאָנטאַקט פונט פֿאַר וואַלנעראַביליטיז דיסקאַווערד דורך פונדרויסנדיק ריסערטשערז. רעפּאָרטינג פון
דיסקאַווערד וואַלנעראַביליטיז און סאַבסאַקוואַנט רימידיישאַן פּלאַנז זענען קאַמיונאַקייטיד דורך די product-security@axis.com בליצפּאָסט אַדרעס.
די הויפּט פֿאַראַנטוואָרטלעכקייט פון די וואַלנעראַביליטי באָרד איז צו פונאַנדערקלייַבן און פּרייאָראַטייז רעפּאָרטעד וואַלנעראַביליטיז פֿון אַ געשעפט פּערספּעקטיוו, באזירט אויף

• טעכניש קלאַסאַפאַקיישאַן צוגעשטעלט דורך די SSG
• פּאָטענציעל ריזיקירן פֿאַר סוף-ניצערס אין די סוויווע אין וואָס די אַקסיס מיטל אַפּערייץ
• אַוואַילאַביליטי פון קאַמפּאַנסייטינג זיכערהייט קאָנטראָלס, אַלטערנאַטיווע ריזיקירן מיטיגיישאַן אָן פּאַטטשינג)

די VB רעדזשיסטערז די CVE נומער און אַרבעט מיט די רעפּאָרטער צו באַשטימען אַ CVSS כעזשבן צו די וואַלנעראַביליטי. די VB אויך דרייווז פונדרויסנדיק קאָמוניקאַציע צו פּאַרטנערס און קאַסטאַמערז דורך Axis זיכערהייט אָנזאָג דינסט, פּרעס ריליסיז און נייַעס אַרטיקלען.

Axis Security Development Model © Axis Communications AB, 2022

דאָקומענטן / רעסאָורסעס

AXIS סעקוריטי אנטוויקלונג מאָדעל ווייכווארג [pdfבאַניצער מאַנואַל זיכערהייט אנטוויקלונג מאָדעל, ווייכווארג, זיכערהייט אנטוויקלונג מאָדעל ווייכווארג

רעפערענצן

• באַניצער מאַנואַל