Yaliyomo kujificha
1 Programu ya Mfano wa Maendeleo ya Usalama ya AXIS
2 Utangulizi
3 Faharasa
4 ASDM imekwishaview
5 Kikundi cha Usalama cha Programu (SSG)
6 Utawala wa ASDM
7 Muundo wa hali ya ASDM
8 Hali ya kipengele
9 Hali ya suluhisho
10 Shughuli za ASDM
11 Nyaraka / Rasilimali
11.1 Marejeleo
12 Machapisho Yanayohusiana

AXIS-nembo

Programu ya Mfano wa Maendeleo ya Usalama ya AXIS

Muundo wa Kukuza Usalama wa AXIS Programu-fig1

Utangulizi

Malengo ya ASDM
Muundo wa Ukuzaji wa Usalama wa Mhimili (ASDM) ni mfumo unaofafanua mchakato na zana zinazotumiwa na Axis kuunda programu yenye usalama uliojumuishwa katika kipindi chote cha maisha, tangu kuanzishwa hadi kukatwa.

Malengo ya msingi yanayoendesha juhudi za ASDM ni

  • Fanya usalama wa programu kuwa sehemu jumuishi ya shughuli za ukuzaji programu za Axis.
  • Punguza hatari zinazohusiana na usalama za biashara kwa wateja wa Axis.
  • Kutana na increasing ufahamu wa kuzingatia usalama kwa wateja na washirika.
  • Unda uwezekano wa kupunguza gharama kwa sababu ya kutambua mapema na kutatua masuala
    Upeo wa ASDM ni programu ya Axis iliyojumuishwa katika bidhaa na suluhisho za Axis. Kundi la Usalama la Programu (SSG) ndilo mmiliki na mtunzaji wa ASDM.

Faharasa

ASDM Muundo wa Maendeleo ya Usalama wa Mhimili
SSG Kikundi cha Usalama cha Programu
Firmware uendeshaji kikundi Usimamizi wa R&D
Satelaiti Watengenezaji ambao wana mshikamano wa asili kwa usalama wa programu
Udhaifu bodi Sehemu ya mawasiliano ya mhimili kuhusiana na udhaifu unaopatikana na watafiti kutoka nje
Upau wa mdudu Lengo la usalama la bidhaa au suluhisho
DFD Mchoro wa mtiririko wa data

ASDM imekwishaview

ASDM inajumuisha shughuli kadhaa zilizoenea katika awamu kuu za maendeleo. Shughuli za usalama zinatambuliwa kwa pamoja kama ASDM.

Muundo wa Kukuza Usalama wa AXIS Programu-fig3

SSG ina jukumu la kutawala ASDM na kubadilisha kisanduku cha zana kwa wakati. Kuna ramani ya ASDM na mpango wa utekelezaji wa shughuli mpya na ongezekoasing Ukomavu wa ASDM kote katika shirika la maendeleo. Ramani ya barabara na mpango wa uchapishaji unamilikiwa na SSG, lakini jukumu la utekelezaji halisi katika mazoezi (yaani, kutekeleza shughuli zinazohusiana na awamu za maendeleo) limekabidhiwa kwa timu za R&D.

Kikundi cha Usalama cha Programu (SSG)

SSG ndiyo huluki kuu ya mawasiliano ya ndani kuelekea mashirika ya maendeleo kwa masuala yanayohusiana na usalama. Inajumuisha Miongozo ya Usalama na wengine walio na maarifa maalum ya usalama katika maeneo ya maendeleo kama vile mahitaji, muundo, utekelezaji, uthibitishaji,
pamoja na michakato mbalimbali ya DevOps.
SSG inawajibika kwa maendeleo na matengenezo ya ASDM kwa mazoea salama ya maendeleo na uhamasishaji wa usalama katika shirika la maendeleo.

Satelaiti
Satelaiti ni wanachama wa shirika la ukuzaji wanaotumia sehemu ya muda wao kufanya kazi na vipengele vya usalama vya programu. Sababu za kuwa na satelaiti ni:

  • Ongeza ASDM bila kujenga SSG kubwa ya kati
  • Toa usaidizi wa ASDM karibu na timu za maendeleo
  • Kuwezesha kubadilishana maarifa, kwa mfano, mbinu bora
    Satelaiti itasaidia katika kutekeleza shughuli mpya na kudumisha ASDM katika kikundi kidogo cha timu za maendeleo.

Utoaji wa shughuli za ASDM
Utoaji wa shughuli za ASDM kwa timu ya maendeleo ni kamatagmchakato wa ed:

  1. Timu inatambulishwa kwa shughuli mpya kupitia mafunzo mahususi.
  2. SSG hufanya kazi pamoja na timu kufanya shughuli, kwa mfano, tathmini ya hatari au muundo wa vitisho, kwa sehemu zilizochaguliwa za mfumo unaodhibitiwa na timu.
  3. Shughuli zaidi zinazohusiana na kuunganisha kisanduku cha zana katika kazi ya kila siku zitakabidhiwa kwa timu na setilaiti zitakapokuwa tayari kufanya kazi kwa kujitegemea bila kuhusika moja kwa moja na SSG. Katika awamu hii, kazi inatawaliwa na meneja wa timu kupitia hali ya ASDM.
    Utoaji hurudiwa wakati kuna matoleo mapya ya ASDM yanayopatikana yenye shughuli zilizorekebishwa na/au zilizoongezwa. Muda unaotumiwa na SSG na timu unategemea sana shughuli na utata wa msimbo. Jambo kuu la kukabidhi timu kwa mafanikio ni kuwepo kwa setilaiti iliyopachikwa ambayo inaweza kuendelea na kazi zaidi ya ASDM na timu. SSG huendesha mafunzo na ugawaji wa setilaiti sambamba na uchapishaji wa shughuli.
    Kielelezo kilicho hapa chini ni muhtasari wa mbinu ya uchapishaji.

    Muundo wa Kukuza Usalama wa AXIS Programu-fig4

Ufafanuzi wa SSG wa "imefanywa" kwa makabidhiano ni:

  • Mafunzo maalum ya jukumu yaliyofanywa
  • Satelaiti imepewa
  • Timu iko tayari kutekeleza shughuli ya ASDM
  • Mikutano ya mara kwa mara ya hali ya ASDM imeanzishwa
    SSG hutumia maoni kutoka kwa timu kukusanya ripoti za hali kwa wasimamizi wakuu.

Shughuli nyingine za SSG
Sambamba na shughuli za uwasilishaji, SSG inaendesha shughuli za mafunzo ya uhamasishaji wa usalama kwa mapana zaidi ikilenga kwa mfano, wafanyakazi wapya na wasimamizi wakuu. Zaidi ya hayo, SSG hudumisha ramani ya usalama ya joto ya suluhu za Axis kwa madhumuni ya jumla/ya usanifu wa tathmini ya hatari. Shughuli za uchambuzi wa usalama wa moduli maalum hufanywa kulingana na ramani ya joto.

Wajibu na majukumu
Kama inavyoonyeshwa kwenye jedwali hapa chini, kuna baadhi ya vyombo muhimu na majukumu ambayo ni sehemu ya programu ya ASDM. Jedwali hapa chini linatoa muhtasari wa majukumu na wajibu kuhusiana na ASDM.

Jukumu/Huluki Sehemu ya Wajibu Maoni
Mtaalamu wa usalama SSG Simamia ASDM, badilisha kisanduku cha zana na uendeshe usambazaji wa ASDM 100% imekabidhiwa kwa SSG
Satelaiti Mstari wa maendeleo Saidia SSG kutekeleza ASDM kwa mara ya kwanza, makocha wa timu, kufanya mazoezi na kuhakikisha kuwa timu inaweza kuendelea kutumia Sanduku la Vifaa kama sehemu ya kazi ya kila siku, bila SSG. Wajibu wa timu mbalimbali (timu kadhaa) zinazohitajika kudhibiti jumla ya idadi ya satelaiti. Wasanidi programu wanaovutiwa na wanaohusika, wasanifu, wasimamizi, wanaojaribu, na majukumu sawa na ambao wana mshikamano wa asili wa usalama wa programu. Satelaiti hutenga angalau 20% ya muda wao kwa kazi zinazohusiana na ASDM.
Wasimamizi Mstari wa maendeleo Kulinda rasilimali kwa ajili ya utekelezaji wa mazoea ya ASDM. Hifadhi ya kufuatilia na kuripoti juu ya hali ya ASDM na chanjo. Timu za maendeleo zinamiliki utekelezaji wa ASDM, na SSG kama nyenzo ya usaidizi.
Kikundi cha Uendeshaji wa Firmware (FW SG) Usimamizi wa R&D Huamua juu ya mkakati wa usalama na hufanya kama kituo kikuu cha kuripoti cha SSG. SSG huripoti kwa FW SG mara kwa mara.

Utawala wa ASDM

Mfumo wa utawala unajumuisha sehemu zifuatazo:

  • Ramani ya joto ya mfumo ili kusaidia kuweka kipaumbele kwa shughuli za ASDM
  • Mpango wa usambazaji na hali ya kuzingatia juhudi za mafunzo
  • Ramani ya barabara ya kugeuza kisanduku cha zana
  • Hali ya kupima jinsi shughuli za ASDM zimeunganishwa vizuri katika shirika

Mfumo wa ASDM kwa hivyo unaungwa mkono kutoka kwa mtazamo wa kimbinu/utendaji na vile vile kutoka kwa mtazamo wa kimkakati/mtendaji.
Mwongozo mtendaji kwenye upande wa kulia kwenye takwimu unazingatia jinsi ya kukuza shirika kwa ufanisi zaidi kulingana na malengo ya biashara ya Axis. Ingizo muhimu kwa hili ni kuripoti hali ya ASDM inayofanywa na SSG kuelekea Kikundi cha Uendeshaji wa Firmware, CTO na Usimamizi wa Bidhaa.

Muundo wa Kukuza Usalama wa AXIS Programu-fig5

Muundo wa hali ya ASDM

Muundo wa hali ya ASDM una mitazamo miwili: timu moja inayozingatia muundo wa timu na idara, na suluhisho moja likilenga masuluhisho tunayoleta sokoni.
Kielelezo hapa chini kinaonyesha muundo wa hali ya ASDM.

Hali ya timu
Hadhi ya timu ina tathmini binafsi ya timu ya ukomavu wake wa ASDM, vipimo vinavyohusiana na shughuli zao za uchanganuzi wa usalama pamoja na muunganisho wa hali ya usalama ya vipengele wanavyowajibika navyo.

Muundo wa Kukuza Usalama wa AXIS Programu-fig6

Mhimili unafafanua ukomavu wa ASDM kama toleo la ASDM ambalo timu hutumia kwa sasa. Kwa kuwa ASDM inabadilika, tumefafanua matoleo ya ASDM ambapo kila toleo la ASDM lina seti ya kipekee ya shughuli. Kwa mfanoampna, toleo letu la kwanza la ASDM linalenga uundaji wa vitisho.
Mhimili umefafanua matoleo yafuatayo ya ASDM:

Toleo la ASDM Shughuli mpya
ASDM 1.0 Tathmini ya hatari na mfano wa tishio
ASDM 2.0 Msimbo tuli review
ASDM 2.1 Faragha kwa muundo
ASDM 2.2 Uchambuzi wa muundo wa programu
ASDM 2.3 Mtihani wa kupenya wa nje
ASDM 2.4 Uchanganuzi wa mazingira magumu na uchimbaji moto
ASDM 2.5 Hali ya usalama wa bidhaa/Suluhisho

Kuipa timu umiliki wa toleo la ASDM wanalotumia inamaanisha kuwa ni msimamizi mkuu ambaye anawajibika kwa upitishaji wa matoleo mapya ya ASDM. Kwa hivyo badala ya usanidi ambapo SSG inasukuma mpango mkuu wa usambazaji wa ASDM sasa inakuwa ya msingi na kudhibitiwa na wasimamizi.

Hali ya kipengele

  • Tuna ufafanuzi mpana wa kijenzi kwa kuwa tunahitaji kufunika aina zote za huluki za usanifu kuanzia mapepo ya Linux kwenye jukwaa, kupitia programu ya seva hadi kufikia huduma (ndogo) za wingu.
  • Kila timu lazima itengeneze mawazo yao juu ya kiwango cha uondoaji ambacho kinawafanyia kazi katika mazingira na usanifu wao. Kama kanuni ya kidole gumba, timu zinapaswa kuepuka kubuni kiwango kipya cha uondoaji na kuweka chochote ambacho tayari wanakitumia katika kazi zao za kila siku.
  • Wazo ni kwamba kila timu inapaswa kuwa na wazi view ya vipengele vyao vyote vya hatari kubwa, vinavyojumuisha vipengele vipya na vya urithi. Motisha ya kuongezeka kwa maslahi haya katika vipengele vya urithi inahusishwa na uwezo wetu wa kuangalia hali ya usalama kwa suluhu. Katika kesi ya suluhu, tunataka kuwa na mwonekano katika hali ya usalama ya sehemu zote za suluhisho mpya na la zamani.
  • Kwa mazoezi hii ina maana kwamba kila timu lazima iangalie orodha yao ya vipengele na kufanya tathmini ya hatari.
  • Jambo la kwanza tunalohitaji kujua ni ikiwa sehemu hiyo imefanyiwa uchambuzi wa usalama. Ikiwa haijafanya hivyo, kwa kweli hatujui chochote kuhusu ubora wa usalama wa kijenzi.

Tunaita chanjo hii ya mali na tumefafanua viwango vifuatavyo vya chanjo:

Chanjo Maelezo
Uchambuzi haujafanyika Sehemu bado haijachanganuliwa
Uchambuzi unaendelea Kipengele kinachambuliwa
Uchambuzi umefanyika Kipengele kimechambuliwa

Vipimo tunavyotumia kunasa ubora wa usalama wa kijenzi vinatokana na vipengee vya kazi vya usalama vilivyo kwenye kumbukumbu nyuma ambavyo vimeunganishwa na kijenzi. Hii inaweza kuwa hatua za kukabiliana na ambazo hazijatekelezwa, kesi za majaribio ambazo hazijatekelezwa na hitilafu za usalama ambazo hazijashughulikiwa.

Hali ya suluhisho

Hali ya suluhisho hujumlisha hali ya usalama kwa seti ya vipengele vinavyounda suluhu.
Sehemu ya kwanza ya hali ya suluhisho ni chanjo ya uchambuzi wa vipengele. Hii husaidia wamiliki wa suluhisho kuelewa ikiwa hali ya usalama ya suluhisho inajulikana au ikiwa haijulikani. Kwa mtazamo mmoja husaidia kutambua maeneo ya vipofu. Hali iliyosalia ya suluhisho ina vipimo vinavyonasa ubora wa usalama wa suluhu. Tunafanya hivyo kwa kuangalia vipengee vya kazi vya usalama ambavyo vimeunganishwa na vipengele katika suluhisho. Kipengele muhimu cha hali ya usalama ni upau wa mdudu unaofafanuliwa na wamiliki wa suluhisho. Wamiliki wa suluhisho lazima wafafanue kiwango cha usalama kinachofaa kwa suluhisho lao. Kwa mfanoampna, hii ina maana kwamba suluhu haipaswi kuwa na vipengee vya kazi muhimu au vya ukali wa hali ya juu vilivyofunguliwa vinapotolewa kwenye soko.

Shughuli za ASDM

Tathmini ya hatari
Kusudi kuu la tathmini ya hatari ni kuchuja ni shughuli gani za maendeleo ambazo pia zitahitaji kazi ya usalama ndani ya timu.
Tathmini ya hatari hufanywa kwa kuhukumu ikiwa bidhaa mpya au kipengele kilichoongezwa/kurekebishwa katika bidhaa zilizopo kinaongeza uwezekano wa hatari. Kumbuka kuwa hii pia inajumuisha vipengele vya faragha vya data na mahitaji ya kufuata. Kwa mfanoampmabadiliko mengine ambayo yana athari ya hatari ni API mpya, mabadiliko ya mahitaji ya uidhinishaji, programu mpya ya kati, n.k.

Faragha ya data
Kuaminiana ni sehemu kuu ya Axis na, kwa hivyo, ni muhimu kufuata mbinu bora wakati wa kufanya kazi na data ya kibinafsi iliyokusanywa na bidhaa, suluhu na huduma zetu.
Upeo wa juhudi za Axis zinazohusiana na faragha ya data umefafanuliwa hivi kwamba tunaweza:

  • Kutimiza wajibu wa kisheria
  • Kutimiza majukumu ya kimkataba
  • Wasaidie wateja kutimiza wajibu wao

Tunagawanya shughuli ya faragha ya data katika shughuli ndogo mbili:

  • Tathmini ya faragha ya data
    • Imefanywa wakati wa tathmini ya hatari
    • Hubainisha kama uchanganuzi wa faragha wa data unahitajika
  •  Uchambuzi wa faragha ya data
    • Imefanywa, inapohitajika, wakati wa uundaji wa tishio
    • Hutambua data ya kibinafsi na vitisho kwa data ya kibinafsi
    • Inafafanua mahitaji ya faragha

Mfano wa tishio
Kabla ya kuanza kutambua vitisho, tunahitaji kuamua juu ya upeo wa mfano wa tishio. Njia ya kueleza upeo ni kuelezea washambuliaji tunaohitaji kuzingatia. Mbinu hii pia itaturuhusu kutambua maeneo ya kiwango cha juu ya mashambulizi ambayo ni lazima tujumuishe katika uchanganuzi.

Muundo wa Kukuza Usalama wa AXIS Programu-fig7

  • Kuzingatia wakati wa kuweka vitisho ni kutafuta na kuainisha washambuliaji tunaotaka kushughulikia kwa kutumia maelezo ya hali ya juu ya mfumo. Afadhali maelezo hufanywa kwa kutumia mchoro wa mtiririko wa data (DFD) kwa kuwa hurahisisha kuhusisha maelezo ya kina zaidi ya kesi ya utumiaji ambayo hutumiwa wakati wa kufanya modeli ya tishio.
  • Hii haimaanishi kwamba washambuliaji wote tunaowatambua wanahitaji kuzingatiwa, ina maana tu kwamba sisi ni wazi na thabiti kwa wavamizi ambao tutawashughulikia katika mtindo wa vitisho. Kwa hivyo, washambuliaji tunaowachagua kuzingatia watafafanua kiwango cha usalama cha mfumo tunaotathmini.
    Kumbuka kuwa maelezo yetu ya mshambulizi hayazingatii uwezo au motisha ya mshambulizi. Tumechagua mbinu hii ili kurahisisha na kurahisisha muundo wa vitisho kadiri tuwezavyo.

    Muundo wa Kukuza Usalama wa AXIS Programu-fig8

Muundo wa vitisho una hatua tatu ambazo zinaweza kurudiwa kadri timu inavyoona inafaa:

  1. Eleza mfumo kwa kutumia seti ya DFD
  2. Tumia DFDs kutambua vitisho na uvieleze kwa mtindo wa kesi ya matumizi mabaya
  3. 3. Bainisha hatua za kupinga na uthibitishaji wa vitisho
    Matokeo ya shughuli ya uigaji tishio ni modeli ya tishio ambayo ina vitisho vilivyopewa kipaumbele na hatua za kupinga. Kazi ya usanidi inayohitajika ili kushughulikia hatua za kupinga inadhibitiwa kwa kuunda tikiti za Jira kwa utekelezaji na uthibitishaji wa hatua ya kupinga.

    Muundo wa Kukuza Usalama wa AXIS Programu-fig9

Uchambuzi wa kanuni tuli
Katika ASDM, timu zinaweza kutumia uchanganuzi wa kanuni tuli kwa njia tatu:

  • Mtiririko wa kazi wa Msanidi programu: wasanidi programu huchanganua msimbo wanaofanyia kazi
  • Mtiririko wa kazi wa Gerrit: wasanidi programu wanapata maoni katika Gerrit
  • Mtiririko wa kazi uliopitwa na wakati: timu huchanganua vipengele vya urithi vilivyo na hatari kubwa

    Muundo wa Kukuza Usalama wa AXIS Programu-fig10

Uchanganuzi wa hatari
Uchanganuzi wa mara kwa mara wa uwezekano wa kuathiriwa huruhusu timu za watengenezaji kutambua na kurekebisha udhaifu wa programu kabla ya bidhaa kutolewa kwa umma, na hivyo kupunguza hatari ya wateja wakati wa kusambaza bidhaa au huduma. Uchanganuzi hufanywa kabla ya kila maunzi, programu) au kwenye ratiba inayoendeshwa (huduma) kwa kutumia vifurushi vya kuchanganua vya tovuti huria na vya kibiashara. Matokeo ya uchanganuzi hutumika kutengeneza tikiti katika mfumo wa ufuatiliaji wa suala la Jira. Tikiti hupewa maalum tag ili kutambulika na timu za maendeleo kama zinazotoka kwenye uchunguzi wa mazingira magumu na kwamba zinapaswa kupewa kipaumbele cha juu. Uchanganuzi wote wa uwezekano wa kuathiriwa na tiketi za Jira huhifadhiwa katikati kwa madhumuni ya ufuatiliaji na ukaguzi. Udhaifu mkubwa unapaswa kutatuliwa kabla ya kutolewa au katika toleo maalum la huduma na udhaifu mwingine usio muhimu,
kufuatiliwa na kutatuliwa kwa upatanishi na programu dhibiti au mzunguko wa toleo la programu. kwa maelezo zaidi kuhusu jinsi udhaifu unavyowekwa alama na kudhibitiwa, angalia udhibiti wa Athari kwenye ukurasa wa 12

Mtihani wa kupenya wa nje
Katika hali fulani, majaribio ya kupenya ya wahusika wengine hufanywa kwenye vifaa vya Axis au bidhaa za programu. Kusudi kuu la kufanya majaribio haya ni kutoa maarifa na hakikisho kuhusu usalama wa jukwaa katika muda maalum na kwa upeo fulani. Mojawapo ya malengo yetu ya msingi na ASDM ni uwazi kwa hivyo tunawahimiza wateja wetu kufanya majaribio ya nje ya kupenya kwenye bidhaa zetu na tunafurahi kushirikiana tunapofafanua vigezo vinavyofaa vya majaribio pamoja na mijadala kuhusu kutafsiri matokeo.

Usimamizi wa mazingira magumu
Tangu 2021, mhimili ni mamlaka iliyosajiliwa ya kutoa majina ya CVE (CNA) na kwa hivyo ina uwezo wa kuchapisha ripoti za kawaida za CVE kwenye hifadhidata ya MITER ili zitumiwe na vichanganuzi vya uwezekano wa kuathiriwa na zana zingine. Ubao wa mazingira magumu (VB) ni sehemu ya mawasiliano ya Axis ya ndani kwa udhaifu uliogunduliwa na watafiti kutoka nje. Taarifa ya
udhaifu uliogunduliwa na mipango ya urekebishaji inayofuata inawasilishwa kupitia product-security@axis.com barua pepe.
Jukumu kuu la bodi ya uwezekano wa kuathiriwa ni kuchanganua na kuweka kipaumbele udhaifu ulioripotiwa kutoka kwa mtazamo wa biashara, kulingana na

  • Uainishaji wa kiufundi unaotolewa na SSG
  • Hatari inayoweza kutokea kwa watumiaji wa mwisho katika mazingira ambayo kifaa cha Axis kinafanya kazi
  • Upatikanaji wa kufidia udhibiti wa usalama upunguzaji wa hatari mbadala bila kuweka viraka)

VB husajili nambari ya CVE na kufanya kazi na mwandishi wa habari kuweka alama za CVSS kwa athari. VB pia huendesha mawasiliano ya nje kwa washirika na wateja kupitia huduma ya arifa ya usalama ya Axis, taarifa kwa vyombo vya habari na makala za habari.

Muundo wa Kukuza Usalama wa AXIS Programu-fig11

Muundo wa Ukuzaji wa Usalama wa Mhimili © Axis Communications AB, 2022

Nyaraka / Rasilimali

Programu ya Mfano wa Maendeleo ya Usalama ya AXIS [pdf] Mwongozo wa Mtumiaji
Muundo wa Maendeleo ya Usalama, Programu, Programu ya Mfano wa Maendeleo ya Usalama

Marejeleo

Machapisho Yanayohusiana

Acha maoni

Barua pepe yako haitachapishwa. Sehemu zinazohitajika zimetiwa alama *