趋势科技与CISA安全设计承诺
趋势科技于2024年初欣然支持美国网络安全和基础设施安全局(CISA)的安全设计承诺。作为35年来专注于网络安全的先驱,我们不仅致力于保护客户免受对手攻击,还确保自身产品的安全性。我们的研发团队经常应对针对产品弱点和安全漏洞的攻击,因此在产品内置防护措施方面积累了丰富经验。以下是我们截至目前在承诺目标方面的进展(这是一个持续的过程):
| 目标 | 截至2024年12月状态 |
|---|---|
| 推动多因素认证采用 | 按计划进行 |
| 减少默认密码使用 | 已完成 |
| 减少常见漏洞类别 | 按计划进行 |
| 安全补丁 | 按计划进行 |
| 发布漏洞披露政策 | 已完成 |
| CVE | 已完成 |
| 入侵证据 | 已完成 |
1. 推动多因素认证采用
“在签署承诺一年内,展示采取的可衡量行动,以增加制造商产品中多因素认证(MFA)的使用。”
进展:
鉴于对手在许多攻击中利用凭据盗窃,MFA已被证明是应对此威胁的有效安全控制措施。趋势科技已在我们的平台Trend Vision One™中实施MFA登录选项,目前以选择加入方式提供,并计划于2025年默认启用。
2. 减少默认密码使用
“在签署承诺一年内,展示在减少制造商产品中默认密码方面取得的可衡量进展。”
进展:
所有趋势科技产品在初始安装时都需要生成唯一且强密码。
3. 减少常见漏洞类别
“在签署承诺一年内,展示采取的行动,以显著减少制造商产品中一个或多个漏洞类别的普遍存在。”
进展:
趋势科技一直在减少对手在攻击中可利用的许多漏洞类别。趋势微零日倡议(ZDI)是全球领先的供应商无关漏洞赏金计划,数十年来披露了许多供应商、操作系统和应用程序的漏洞。自2005年以来,该计划已支付超过2500万美元的漏洞奖金,并发布了超过13,000份公告。该计划通过帮助供应商披露和修补漏洞,在保护世界免受对手使用零日漏洞方面发挥了关键作用。ZDI还为趋势科技产品提供赏金,这为我们提供了除内部计划外的另一条发现漏洞的途径。在过去9年中,我们收到了以下类别的提交,我们正努力减少其普遍性:
- CWE-79:网页生成期间输入中和不当(跨站脚本)
- CWE-59:文件访问前链接解析不当(链接跟随)
- CWE-89:SQL命令中特殊元素中和不当(SQL注入)
我们的目标是在2025年将这些类别减少50%。
4. 改进客户补丁管理
“在签署承诺一年内,展示采取的可衡量行动,以增加客户安装安全补丁的比例。”
进展:
技术领域的最大变化之一是向软件即服务(SaaS)的转变,这使得供应商能够在云中修补产品,而无需客户在本地修补产品。这显著缩短了平均修补时间。趋势科技多年来开发了许多基于SaaS的产品,但我们仍有大量客户使用本地产品。在许多情况下,这是由于法规、主权问题或隐私要求所致。我们继续通过提供以下选项来改进本地客户的补丁体验:
- 自动补丁通知
- 自动补丁下载
- 分阶段补丁选项(环形部署),客户可以指定哪些系统接收更新以及何时接收
- 能够指定系统可使用的更新(p、p-1、p-2等)
我们为客户改进的另一个方面是,借助ZDI和漏洞研究团队的支持,我们现在为使用Vision One平台的客户提供有关影响他们的已披露漏洞的更详细信息。我们提供每个漏洞的更多上下文和风险级别,从而使他们能够就如何管理补丁或虚拟补丁做出更明智的决策。这将极大地帮助他们的补丁管理计划,并使他们能够专注于更高风险的漏洞。
我们将继续努力改进这一领域并提供更多选项。许多传统的本地客户正在体验SaaS产品带来的价值,但我们知道许多客户将继续使用我们的本地产品。因此,我们将继续努力改进他们的更新流程,并教育他们尽早修补的好处。
5. 发布漏洞披露政策
“在签署承诺一年内,发布漏洞披露政策(VDP),授权公众测试制造商提供的产品,承诺不对遵循VDP的善意行为建议或采取法律行动,提供清晰的漏洞报告渠道,并允许按照协调漏洞披露最佳实践和国际标准公开披露漏洞。”
进展:
- 我们添加了具体语言,明确阐述趋势科技的一般政策是不对负责任的安全研究人员或其他善意识别并向我们报告漏洞的人采取或建议法律行动。我们坚信,强大而健康的研究社区最终有助于组织领先恶意行为者一步。
- 我们还公开承认我们是承诺的原始签署方之一,强化了我们的整体承诺。
趋势科技支持并是其成员的公共组织列表包括:[此处省略具体组织列表]。
趋势微零日倡议还披露所有漏洞(已修补或未修补)的公告,这些漏洞来自16,000多名外部研究人员和我们自己的内部研究人员。这包括我们提供赏金并为客户开发虚拟补丁的趋势科技漏洞。请注意,ZDI给予供应商120天的时间来为通过其漏洞披露政策共享的任何漏洞开发补丁。当前已发布及即将发布的公告可在以下网址找到:https://www.zerodayinitiative.com/advisories/published/。
趋势科技还发布了信任中心,我们在其中分享了许多支持更安全运营、数据隐私和其他关键领域的公司政策:https://www.trendmicro.com/en_us/about/trust-center.html。
6. 提供漏洞透明度
“在签署承诺一年内,通过在每个常见漏洞和暴露(CVE)记录中包含准确的常见弱点枚举(CWE)和常见平台枚举(CPE)字段,展示漏洞报告的透明度。此外,及时发布CVE,至少涵盖所有需要客户采取行动修补或存在主动利用证据的关键或高影响漏洞。”
进展:
截至2024年11月,趋势科技现在在每个针对我们产品的新CVE中包含CWE和CPE分配。CWE标识符和CVSS评分现在也 prominently 包含在每个公开披露的漏洞安全公告中。
7. 提供改进的日志记录和监控
“在签署承诺一年内,展示客户收集影响制造商产品的网络安全入侵证据的能力的可衡量增加。”
进展:
所有趋势科技产品都为客户提供审计和事件日志,以在入侵情况下使用。这些日志的可用时间长度取决于客户拥有的解决方案类型。基于SaaS的解决方案最多可提供6个月的日志,而本地解决方案则由客户自行决定。
结论
趋势科技很高兴支持美国网络安全和基础设施安全局推动技术制造商采用安全设计的努力。我们继续支持CISA的其他倡议,如他们的已知被利用漏洞目录,我们在其中贡献趋势科技研究人员发现的新零日漏洞。我们希望更多制造商加入承诺,以支持其组织内改进的软件开发政策,并将帮助使世界更安全。趋势科技将继续改进我们自己的软件开发,并帮助我们的客户现在和未来更加安全。我们将在此页面上更新我们取得的任何新进展。