趋势科技与CISA安全设计承诺
趋势科技于2024年初支持美国网络安全和基础设施安全局(CISA)的安全设计承诺,公司35年来专注于网络安全。确保产品安全与保护客户免受攻击者威胁同等重要。作为网络安全先驱,趋势科技在多个领域创新和开发产品,研发团队需应对攻击者针对产品弱点和安全漏洞的持续攻击,因此在产品内置防护措施方面拥有丰富经验。以下是承诺目标的进展(截至2024年12月),这是一个持续过程。
| 目标 | 2024年12月状态 |
|---|---|
| 推动多因素认证采用 | 进行中 |
| 减少默认密码使用 | 已完成 |
| 减少常见漏洞类别 | 进行中 |
| 安全补丁 | 进行中 |
| 发布漏洞披露政策 | 已完成 |
| CVE | 已完成 |
| 入侵证据 | 已完成 |
1. 推动多因素认证采用
“在签署承诺一年内,展示措施以显著增加制造商产品中多因素认证(MFA)的使用。”
进展:
攻击者常利用凭据盗窃发起攻击,MFA已被证明是应对此威胁的有效安全控制。趋势科技已在平台Trend Vision One™中实施MFA登录选项,目前为可选功能,计划于2025年默认启用。
2. 减少默认密码使用
“在签署承诺一年内,展示在减少制造商产品中默认密码方面取得的可衡量进展。”
进展:
所有趋势科技产品在初始安装时均要求生成唯一强密码。
3. 减少常见漏洞类别
“在签署承诺一年内,展示措施以显著减少制造商产品中一个或多个漏洞类别的普遍性。”
进展:
趋势科技持续减少攻击者可利用的漏洞类别。趋势微零日倡议(ZDI)是全球领先的供应商无关漏洞赏金计划,数十年来披露了多个供应商、操作系统和应用程序的漏洞。自2005年以来,已支付超过2500万美元赏金,发布超过13000份公告。该计划通过帮助供应商披露和修补漏洞,保护世界免受零日攻击。ZDI还为趋势产品提供赏金,这是除内部程序外发现漏洞的另一途径。过去9年,我们收到以下漏洞类别的提交,并致力于减少其普遍性:
- CWE-79:网页生成期间输入中和不当(跨站脚本)
- CWE-59:文件访问前链接解析不当(链接跟随)
- CWE-89:SQL命令中特殊元素中和不当(SQL注入)
目标是在2025年将这些类别减少50%。
4. 改善客户补丁管理
“在签署承诺一年内,展示措施以显著增加客户安装安全补丁。”
进展:
技术领域最大变化之一是向软件即服务(SaaS)的转变,允许供应商在云中修补产品,而非要求客户修补本地产品,这显著缩短了平均修补时间。趋势科技多年来开发了许多SaaS产品,但仍有大量客户使用本地产品,这通常是由于法规、主权或隐私要求。我们通过以下选项改进本地客户补丁体验:
- 自动补丁通知
- 自动补丁下载
- 分阶段补丁选项(环形部署),客户可指定系统接收更新的时间和范围
- 指定系统可使用更新的能力(如p、p-1、p-2等)
借助ZDI和漏洞研究团队的支持,我们为使用Vision One平台的客户提供更多关于影响其漏洞的详细信息,包括每个漏洞的背景和风险级别,帮助客户更明智地管理补丁或虚拟补丁,从而显著改善补丁管理程序,专注于高风险漏洞。
我们将继续改进此领域并提供选项。许多传统本地客户正体验SaaS产品的价值,但许多仍将使用本地产品,因此我们将持续改进更新流程并教育客户尽早补丁的好处。
5. 发布漏洞披露政策
“在签署承诺一年内,发布漏洞披露政策(VDP),授权公众测试制造商产品,承诺不对遵循VDP的善意行为采取法律行动,提供清晰的漏洞报告渠道,并允许按照协调漏洞披露最佳实践和国际标准公开披露漏洞。”
进展:
趋势科技始终优先考虑产品安全,自2017年起已有公开漏洞披露政策,同年趋势成为官方CVE编号机构(CNA)(ZDI也是官方CNA)。政策定期更新,最新政策在www.trendmicro.com/vulnerability反映了承诺的部分内容:
- 添加具体语言,明确表示趋势一般不追究或推荐对善意报告漏洞的安全研究人员采取法律行动。
- 公开承认我们是承诺的原始签署方之一,强化整体承诺。
趋势科技支持并加入的公共组织包括:
(此处省略列表,因原文未提供具体名称)
趋势微零日倡议还披露所有漏洞公告(已修补或未修补),来源包括16000多名外部研究人员和内部研究人员,包括趋势产品漏洞赏金和为客户开发的虚拟补丁。ZDI给予供应商120天时间修补通过漏洞披露政策共享的漏洞。当前和即将发布的公告可在https://www.zerodayinitiative.com/advisories/published/查看。
趋势科技还发布信任中心,分享公司支持更安全运营、数据隐私和其他关键领域的政策:https://www.trendmicro.com/en_us/about/trust-center.html
6. 提供漏洞透明度
“在签署承诺一年内,通过在每份CVE记录中包含准确的通用弱点枚举(CWE)和通用平台枚举(CPE)字段,展示漏洞报告的透明度。此外,及时为至少所有关键或高影响漏洞发布CVE,这些漏洞需要客户行动修补或有主动利用证据。”
进展:
截至2024年11月,趋势科技在所有新CVE中包含CWE和CPE分配。CWE标识符和CVSS评分也显著包含在每份公开披露的漏洞安全公告中。
7. 提供改进的日志和监控
“在签署承诺一年内,展示客户收集影响制造商产品的网络安全入侵证据能力的可衡量增加。”
进展:
所有趋势产品为客户提供审计和事件日志,用于入侵情况。可用时间取决于客户解决方案类型:SaaS解决方案可提供长达6个月,本地解决方案由客户自行决定。
结论
趋势科技很高兴支持CISA推动技术制造商安全设计的努力。我们继续支持CISA的其他倡议,如已知被利用漏洞目录,贡献趋势研究人员发现的新零日漏洞。希望更多制造商加入承诺,支持改进内部软件开发政策,帮助世界更安全。趋势将持续改进自身软件开发,帮助客户现在和未来更安全。我们将在此页面更新任何新进展。
标签:云、合规与风险、安全策略、文章、新闻、报告