Axis Communications is binnen het Common Vulnerability and Exposures-programma (CVE) benoemd als Numbering Authority (CNA) voor Axis-producten. Hierdoor is Axis bevoegd om CVE-ID’s toe te wijzen aan en te publiceren voor kwetsbaarheden in producten.
Het CVE-programma vertrouwt op de internationale gemeenschap om kwetsbaarheden te ontdekken. Die worden toegewezen en gepubliceerd door organisaties van over de hele wereld die samenwerken met het CVE-programma.
Het CVE-programma vervangt de huidige eigen ACV-methode (Axis Critical Vulnerability) van Axis en garandeert het beheer van kwetsbaarheden volgens de industriestandaarden. Klanten kunnen gebruikmaken van notificatiediensten voor kwetsbaarheden die het CVE-programma biedt om snel beveiligingsmaatregelen voor Axis-producten en -oplossingen te implementeren.
Veel netwerkbeveiligingsscantools gebruiken de CVE-database als bibliotheek voor hun scanners. Het stelt bedrijven in staat om consistente beschrijvingen van kwetsbaarheden te communiceren voor een goede coördinatie van beveiligingsinspanningen. Dankzij de benoeming kan Axis CVE-identificaties toewijzen aan kwetsbaarheden in eigen producten en firmware en eindgebruikers op de hoogte stellen van een kwetsbaarheid via hun apparaat of scantool. Met de standaardisering van dit proces versterkt Axis zijn positie als beveiligingsautoriteit.
“Erkend worden als CNA is een bewijs van onze niet-aflatende inspanningen en onderstreept dat Axis best practices hanteert op het gebied van cybersecurity”, zegt Sebastian Hultqvist, Global Product Manager bij Axis Communications. “De veiligheid van onze producten en oplossingen is altijd een topprioriteit en we streven ernaar samen te werken met zowel het CVE-programma als onze klanten om ervoor te zorgen dat het proces om beveiligingsrisico’s aan te pakken zo snel en eenvoudig mogelijk verloopt.”
“Cybercriminelen zullen niet aarzelen om bestaande kwetsbaarheden uit te buiten om zo toegang te krijgen tot netwerken. Deze CNA-benoeming stelt ons in staat om onze klanten beter te ondersteunen bij het veilig houden van hun gegevens, onze processen nog transparanter te maken en uiteindelijk het vertrouwen te verhogen”, aldus Hultqvist.
Het ACV-proces van Axis wordt nu vervangen door CVE’s. Deze kunnen worden gevolgd in de MITRE-database en meer informatie hierover is te vinden op de productbeveiligingspagina van Axis.
CNA’s zijn organisaties die verantwoordelijk zijn voor de regelmatige toewijzing van CVE-ID’s aan kwetsbaarheden. Deze vermeldingen worden opgenomen in openbare aankondigingen van nieuwe kwetsbaarheden. Elke CNA heeft een specifieke verantwoordelijkheid voor het identificeren en publiceren van kwetsbaarheden. CNA’s zijn de belangrijkste methode om een CVE-ID aan te vragen.
CVE is een internationale inspanning en vertrouwt op de gemeenschap om kwetsbaarheden te ontdekken. De ontdekte kwetsbaarheden worden vervolgens toegewezen en gepubliceerd op de CVE-lijst.