趋势科技与CISA安全设计承诺
趋势科技很高兴在2024年初支持美国网络安全和基础设施安全局(CISA)的安全设计承诺,因为我们专注于网络安全已超过35年。确保我们的产品安全与保护客户免受对手攻击同样重要。作为网络安全的先驱,我们一直在广泛领域创新和开发产品,这要求我们的研发团队定期应对针对我们产品弱点和安全漏洞的对手攻击。因此,我们在这些产品中构建防护措施方面拥有丰富经验。以下是我们迄今为止在承诺目标方面的进展。请注意,这是一个持续的过程。
| 目标 | 截至2024年12月的状态 |
|---|---|
| 推动多因素认证的采用 | 进行中 |
| 减少默认密码的使用 | 已完成 |
| 减少常见漏洞类别 | 进行中 |
| 安全补丁 | 进行中 |
| 发布漏洞披露政策 | 已完成 |
| CVE | 已完成 |
| 入侵证据 | 已完成 |
1. 推动多因素认证的采用
“在签署承诺后一年内,展示采取的行动以可衡量地增加制造商产品中多因素认证(MFA)的使用。”
进展
由于对手在许多攻击中利用凭据盗窃,MFA已被证明是应对此威胁的有价值的安全控制措施。因此,趋势科技已在其平台Trend Vision One™中实施MFA登录选项一段时间。目前该选项为自愿启用,我们计划在2025年默认启用。
2. 减少默认密码的使用
“在签署承诺后一年内,展示在减少制造商产品中默认密码方面取得的可衡量进展。”
进展
所有趋势科技产品在初始安装时都需要生成唯一且强密码。
3. 减少常见漏洞类别
“在签署承诺后一年内,展示采取的行动以显著减少制造商产品中一个或多个漏洞类别的普遍存在。”
进展
趋势科技一直在减少许多可被对手在攻击中利用的漏洞类别。趋势科技的零日倡议(ZDI)是全球领先的供应商无关的漏洞赏金计划,几十年来一直披露许多供应商、操作系统和应用程序中的漏洞。自2005年以来,该计划已为漏洞支付超过2500万美元,并披露了超过13,000份公告。该计划通过帮助供应商披露和修补漏洞,在保护世界免受对手使用零日漏洞方面发挥了关键作用。ZDI还为趋势科技产品提供赏金,这为我们提供了除内部计划外发现漏洞的另一途径。在过去9年中,我们看到了以下类别的提交,我们正努力减少它们的普遍存在。
- CWE-79:网页生成过程中输入中和不当(跨站脚本)
- CWE-59:文件访问前链接解析不当(链接跟随)
- CWE-89:SQL命令中特殊元素中和不当(SQL注入)
我们的目标是在2025年将这些类别减少50%。
4. 推动改进客户补丁管理
“在签署承诺后一年内,展示采取的行动以可衡量地增加客户安装安全补丁。”
进展
多年来技术的最大变化之一是向软件即服务(SaaS)的转变,这使得供应商能够在云中修补产品,而不需要客户修补本地产品。这显著缩短了平均修补时间。趋势科技多年来已将其许多产品开发为基于SaaS,但我们仍有大量客户使用我们的本地产品。在许多情况下,这是由于法规、主权问题或隐私要求。我们继续通过提供多种选项来改进本地客户的补丁体验:
- 自动通知补丁
- 自动下载补丁
- 分阶段补丁选项(环形部署),客户可以指定哪些系统接收更新以及何时接收
- 能够指定系统可以使用的更新(p、p-1、p-2等)
我们为客户改进的另一个方面是,借助ZDI和漏洞研究团队的支持,我们现在为使用Vision One平台的客户提供更详细的漏洞披露信息,这些漏洞会影响他们。我们提供每个漏洞的更多上下文和风险级别,从而使他们能够更明智地决定如何管理补丁或虚拟补丁。这将极大地帮助他们的补丁管理计划,并允许他们专注于更高风险的漏洞。
我们将继续努力改进这一领域并提供更多选项。许多我们的传统本地客户正在体验到SaaS产品带来的价值,但我们知道许多客户将继续使用我们的本地产品。因此,我们将继续努力改进他们的更新过程,并教育他们尽早修补的好处。
5. 发布漏洞披露政策
“在签署承诺后一年内,发布漏洞披露政策(VDP),授权公众测试制造商提供的产品,承诺不对遵循VDP的善意行为推荐或采取法律行动,提供清晰的漏洞报告渠道,并允许按照协调漏洞披露最佳实践和国际标准公开披露漏洞。”
进展
- 我们添加了具体语言,明确阐述趋势科技的一般政策是不对负责任的安全研究人员或其他善意识别和报告漏洞的人采取或推荐法律行动。我们坚信,强大而健康的研究社区最终有助于组织领先恶意行为者一步。
- 我们还公开承认我们是承诺的原始签署方之一,强化了我们的整体承诺。
以下是趋势科技支持并是其成员的公共组织列表:
趋势科技零日倡议还披露所有漏洞(已修补或未修补)的公告,这些漏洞来自16,000多名外部研究人员和我们自己的内部研究人员,他们识别新漏洞。这包括我们提供赏金并为客户开发虚拟补丁的趋势科技漏洞。请注意,ZDI给供应商120天的时间来为通过其漏洞披露政策共享的任何漏洞开发补丁。当前已发布及即将发布的公告可以在这里找到:https://www.zerodayinitiative.com/advisories/published/
趋势科技还发布了一个信任中心,我们在其中分享我们公司的许多政策,支持更安全的操作、数据隐私和其他关键领域。https://www.trendmicro.com/en_us/about/trust-center.html
6. 提供漏洞透明度
“在签署承诺后一年内,通过在每个常见漏洞和暴露(CVE)记录中包含准确的常见弱点枚举(CWE)和常见平台枚举(CPE)字段,展示漏洞报告的透明度。此外,及时发布CVE,至少针对所有需要客户采取行动修补或存在活跃利用证据的关键或高影响漏洞。”
进展
截至2024年11月,趋势科技现在在每个针对我们产品的新CVE中包含CWE和CPE分配。CWE标识符和CVSS分数现在也显著包含在每个公开披露的漏洞安全公告中。
7. 为客户提供改进的日志记录和监控
“在签署承诺后一年内,展示客户收集影响制造商产品的网络安全入侵证据能力的可衡量增加。”
进展
所有趋势科技产品都为客户提供审计和事件日志,以在入侵情况下使用。这些日志的可用时间长度取决于客户拥有的解决方案类型。基于SaaS的解决方案可以提供长达6个月的日志,但本地解决方案由客户自行决定。
结论
趋势科技很高兴支持美国网络安全和基础设施安全局推动技术制造商安全设计的努力。我们继续支持CISA的其他倡议,如他们的已知利用漏洞目录,我们在其中贡献趋势科技研究人员发现的新零日漏洞。我们希望更多制造商加入承诺,支持改进其组织内的软件开发政策,并将帮助使世界更安全。趋势科技将继续改进我们自己的软件开发,并帮助我们的客户现在和未来更加安全。我们将在此页面上更新我们取得的任何新进展。