Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 19 Novembre 2025 08:25
A cura di Carl Windsor, Chief Information Security Officer di Fortinet
Le pratiche secure-by-design rappresentano un cambiamento fondamentale nello sviluppo software: la sicurezza non viene più considerata un’aggiunta successiva, ma è integrata fin dalle basi, nel DNA stesso del prodotto. Questa filosofia è ampiamente riconosciuta nel settore come best practice, ma non è ancora obbligatoria, né applicata in modo uniforme o pienamente compresa dai clienti. Tuttavia, adottare un approccio secure by design è sempre più cruciale, poiché le infrastrutture digitali si trovano ad fronteggiare una velocità e un volume senza precedenti di minacce sofisticate. Cybercriminali, sia inesperti che altamente qualificati, sfruttano nuove risorse – dall’acquisto di exploit kit nel dark web all’uso di strumenti automatizzati – per colpire vulnerabilità su larga scala.
Alla RSA Conference 2024, la Cybersecurity and Infrastructure Security Agency (CISA) ha presentato il proprio Secure by Design Pledge, un’iniziativa volta a innalzare il livello minimo di sicurezza informatica in tutto il settore tecnologico, integrando pratiche sicure alla base dello sviluppo dei prodotti e riducendo il rischio sistemico nell’ecosistema digitale. Fortinet è orgogliosa di essere stata tra i primi firmatari di questo impegno, e il nostro Jim Richberg ha avuto un ruolo chiave nella sua definizione.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Sebbene Fortinet sia da tempo in prima linea nell’adozione e nella promozione delle migliori pratiche di cybersecurity, il Secure by Design Pledge rappresenta un passo avanti significativo nel definire e promuovere politiche che impongano a tutti i produttori di software standard più rigorosi. Il Pledge individua sette obiettivi principali, focalizzati sull’integrazione della sicurezza lungo l’intero ciclo di vita dello sviluppo dei prodotti, offrendo ai fornitori di software linee guida concrete per progredire verso tali traguardi.
Fortinet adotta molti di questi principi da decenni e, in più occasioni, ha illustrato i progressi compiuti nell’implementazione e nel perfezionamento di tali standard. Di seguito una panoramica delle azioni intraprese da Fortinet per rispondere agli obiettivi del Pledge:
Obiettivo n.1: Dimostrare azioni volte ad aumentare in modo misurabile l’uso dell’autenticazione a più fattori (MFA) nei prodotti del produttore.
Risultato Fortinet: Fortinet ha abilitato l’MFA per gli account cloud dei clienti, con il 95% di questi che utilizza effettivamente questa misura di sicurezza.
Obiettivo n.2: Dimostrare progressi misurabili nella riduzione delle password predefinite nei prodotti del produttore.
Risultato Fortinet: Le password predefinite sono state eliminate nella Fortinet Secure Development Lifecycle Policy e rimosse da tutti i prodotti, imponendo agli utenti la creazione di credenziali uniche durante l’installazione.
Obiettivo n.3: Dimostrare azioni volte a ridurre in modo significativo e misurabile la presenza di una o più classi di vulnerabilità nei prodotti del produttore.
Risultato Fortinet: Fortinet ha intrapreso la rimozione delle vulnerabilità di tipo SQL injection e buffer overflow. Si tratta di un processo continuo che proseguirà nelle future versioni.
Obiettivo n.4: Dimostrare azioni intraprese dai clienti per aumentare in modo misurabile l’installazione di patch di sicurezza.
Risultato Fortinet: Fortinet ha compiuto importanti progressi in questo ambito grazie all’introduzione della funzionalità di auto-update, che ha aggiornato oltre un milione di dispositivi dalla sua implementazione, contribuendo in modo sostanziale alla sicurezza dei clienti.
Obiettivo n.5: Pubblicare una Vulnerability Disclosure Policy (VDP).
Risultato Fortinet: Fortinet è membro del Forum of Incident Response and Security Teams (FIRST), che consente ai suoi oltre 600 membri in più di 100 Paesi di condividere obiettivi, idee e informazioni relative alla gestione degli incidenti di sicurezza e allo sviluppo di programmi di risposta. Fortinet applica le conoscenze acquisite attraverso FIRST per garantire una comunicazione costante con i propri clienti. Inoltre, Fortinet pubblica la propria VDP sulla pagina dedicata al Product Security Incident Response Team (PSIRT) e tramite un file Security.txt.
Obiettivo n.6: Dimostrare trasparenza nella segnalazione delle vulnerabilità.
Risultato Fortinet: Fortinet ha implementato da tempo un programma di trasparenza radicale nella pubblicazione e comunicazione delle Common Vulnerabilities and Exposures (CVE), includendo già i campi Common Weakness Enumeration (CWE) e Common Platform Enumeration (CPE) in ogni CVE. Inoltre, Fortinet è impegnata a divulgare in modo proattivo e trasparente le vulnerabilità attraverso il suo solido programma PSIRT.
Obiettivo n.7: Dimostrare un incremento misurabile della capacità dei clienti di raccogliere evidenze di intrusioni informatiche che coinvolgono i prodotti del produttore.
Risultato Fortinet: A partire dalla versione 7.4.4 di FortiOS, sono state introdotte nuove funzionalità di controllo dell’integrità del file system per rilevare e registrare modifiche o aggiunte non autorizzate ai file. Fortinet continuerà ad aggiungere nuove funzioni con il rilascio delle versioni successive di FortiOS.
Fortinet adotta ulteriori misure che vanno oltre quanto previsto dal CISA Secure by Design Pledge, tra cui:
Fortinet continua a lavorare su iniziative volte a incoraggiare i clienti a implementare patch e aggiornamenti, monitorando al contempo l’impatto di tali miglioramenti di sicurezza. Riconosciamo l’importanza di un’adozione su larga scala dei principi secure-by-design per costruire un ecosistema digitale più resiliente – un obiettivo che richiede un forte impegno e collaborazione tra settore pubblico e privato.
Fortinet continuerà a sostenere gli sforzi di organizzazioni come CISA e MITRE, introducendo e rispettando standard solidi che rafforzano la resilienza informatica a beneficio di tutti.
Per ulteriori informazioni dettagliate sul nostro impegno nel promuovere i principi secure-by-design, visita:
RedazioneIl mondo della tecnologia quantistica ha compiuto un balzo in avanti impressionante: QuantWare ha presentato il primo processore al mondo da 10.000 qubit, 100 volte più di qualsiasi dispositivo esist...
Un aggiornamento urgente è stato pubblicato da Ivanti per la sua piattaforma Endpoint Manager (EPM), al fine di risolvere un insieme di vulnerabilità significative che potrebbero permettere agli agg...
A seguito della scoperta di exploit attivi, la Cybersecurity and Infrastructure Security Agency (CISA) ha inserito due vulnerabilità critiche al catalogo Known Exploited Vulnerabilities (KEV) dell’...
Una vulnerabilità zero-day nel driver Windows Cloud Files Mini Filter (cldflt.sys) è attualmente oggetto di sfruttamento attivo. Microsoft ha provveduto al rilascio di aggiornamenti di sicurezza urg...
Una vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso d...
