Il Pledge ‘Secure by Design’ di CISA: un anno di progresso nella sicurezza informatica

A cura di Carl Windsor, Chief Information Security Officer di Fortinet

Le pratiche secure-by-design rappresentano un cambiamento fondamentale nello sviluppo software: la sicurezza non viene più considerata un’aggiunta successiva, ma è integrata fin dalle basi, nel DNA stesso del prodotto. Questa filosofia è ampiamente riconosciuta nel settore come best practice, ma non è ancora obbligatoria, né applicata in modo uniforme o pienamente compresa dai clienti. Tuttavia, adottare un approccio secure by design è sempre più cruciale, poiché le infrastrutture digitali si trovano ad fronteggiare una velocità e un volume senza precedenti di minacce sofisticate. Cybercriminali, sia inesperti che altamente qualificati, sfruttano nuove risorse – dall’acquisto di exploit kit nel dark web all’uso di strumenti automatizzati – per colpire vulnerabilità su larga scala.

Alla RSA Conference 2024, la Cybersecurity and Infrastructure Security Agency (CISA) ha presentato il proprio Secure by Design Pledge, un’iniziativa volta a innalzare il livello minimo di sicurezza informatica in tutto il settore tecnologico, integrando pratiche sicure alla base dello sviluppo dei prodotti e riducendo il rischio sistemico nell’ecosistema digitale. Fortinet è orgogliosa di essere stata tra i primi firmatari di questo impegno, e il nostro Jim Richberg ha avuto un ruolo chiave nella sua definizione.

Sebbene Fortinet sia da tempo in prima linea nell’adozione e nella promozione delle migliori pratiche di cybersecurity, il Secure by Design Pledge rappresenta un passo avanti significativo nel definire e promuovere politiche che impongano a tutti i produttori di software standard più rigorosi. Il Pledge individua sette obiettivi principali, focalizzati sull’integrazione della sicurezza lungo l’intero ciclo di vita dello sviluppo dei prodotti, offrendo ai fornitori di software linee guida concrete per progredire verso tali traguardi.

Adozione e avanzamento dei principi Secure-by-Design in Fortinet

Fortinet adotta molti di questi principi da decenni e, in più occasioni, ha illustrato i progressi compiuti nell’implementazione e nel perfezionamento di tali standard. Di seguito una panoramica delle azioni intraprese da Fortinet per rispondere agli obiettivi del Pledge:

Obiettivo n.1: Dimostrare azioni volte ad aumentare in modo misurabile l’uso dell’autenticazione a più fattori (MFA) nei prodotti del produttore.
Risultato Fortinet: Fortinet ha abilitato l’MFA per gli account cloud dei clienti, con il 95% di questi che utilizza effettivamente questa misura di sicurezza.

Obiettivo n.2: Dimostrare progressi misurabili nella riduzione delle password predefinite nei prodotti del produttore.
Risultato Fortinet: Le password predefinite sono state eliminate nella Fortinet Secure Development Lifecycle Policy e rimosse da tutti i prodotti, imponendo agli utenti la creazione di credenziali uniche durante l’installazione.

Obiettivo n.3: Dimostrare azioni volte a ridurre in modo significativo e misurabile la presenza di una o più classi di vulnerabilità nei prodotti del produttore.
Risultato Fortinet: Fortinet ha intrapreso la rimozione delle vulnerabilità di tipo SQL injection e buffer overflow. Si tratta di un processo continuo che proseguirà nelle future versioni.

Obiettivo n.4: Dimostrare azioni intraprese dai clienti per aumentare in modo misurabile l’installazione di patch di sicurezza.
Risultato Fortinet: Fortinet ha compiuto importanti progressi in questo ambito grazie all’introduzione della funzionalità di auto-update, che ha aggiornato oltre un milione di dispositivi dalla sua implementazione, contribuendo in modo sostanziale alla sicurezza dei clienti.

Obiettivo n.5: Pubblicare una Vulnerability Disclosure Policy (VDP).
Risultato Fortinet: Fortinet è membro del Forum of Incident Response and Security Teams (FIRST), che consente ai suoi oltre 600 membri in più di 100 Paesi di condividere obiettivi, idee e informazioni relative alla gestione degli incidenti di sicurezza e allo sviluppo di programmi di risposta. Fortinet applica le conoscenze acquisite attraverso FIRST per garantire una comunicazione costante con i propri clienti. Inoltre, Fortinet pubblica la propria VDP sulla pagina dedicata al Product Security Incident Response Team (PSIRT) e tramite un file Security.txt.

Obiettivo n.6: Dimostrare trasparenza nella segnalazione delle vulnerabilità.
Risultato Fortinet: Fortinet ha implementato da tempo un programma di trasparenza radicale nella pubblicazione e comunicazione delle Common Vulnerabilities and Exposures (CVE), includendo già i campi Common Weakness Enumeration (CWE) e Common Platform Enumeration (CPE) in ogni CVE. Inoltre, Fortinet è impegnata a divulgare in modo proattivo e trasparente le vulnerabilità attraverso il suo solido programma PSIRT.

Obiettivo n.7: Dimostrare un incremento misurabile della capacità dei clienti di raccogliere evidenze di intrusioni informatiche che coinvolgono i prodotti del produttore.
Risultato Fortinet: A partire dalla versione 7.4.4 di FortiOS, sono state introdotte nuove funzionalità di controllo dell’integrità del file system per rilevare e registrare modifiche o aggiunte non autorizzate ai file. Fortinet continuerà ad aggiungere nuove funzioni con il rilascio delle versioni successive di FortiOS.

Oltre il Pledge: le iniziative aggiuntive di Fortinet

Fortinet adotta ulteriori misure che vanno oltre quanto previsto dal CISA Secure by Design Pledge, tra cui:

• Esecuzione regolare di test e audit approfonditi del codice, oltre a test di penetrazione condotti da terze parti.
• Obiettivi di performance (Management by Objectives) legati alla qualità del codice.
• Lancio di un programma pubblico di bug bounty.
• Collaborazione continua con diverse alleanze di cybersecurity, tra cui la Network Resilience Coalition, la Joint Cyber Defense Collaborative (JCDC) e la Cyber Threat Alliance (CTA), per condividere informazioni sulle minacce e sviluppare strategie volte a migliorare la resilienza cibernetica.

Guardando al futuro

Fortinet continua a lavorare su iniziative volte a incoraggiare i clienti a implementare patch e aggiornamenti, monitorando al contempo l’impatto di tali miglioramenti di sicurezza. Riconosciamo l’importanza di un’adozione su larga scala dei principi secure-by-design per costruire un ecosistema digitale più resiliente – un obiettivo che richiede un forte impegno e collaborazione tra settore pubblico e privato.

Fortinet continuerà a sostenere gli sforzi di organizzazioni come CISA e MITRE, introducendo e rispettando standard solidi che rafforzano la resilienza informatica a beneficio di tutti.

Per ulteriori informazioni dettagliate sul nostro impegno nel promuovere i principi secure-by-design, visita:

• Fortinet Reaffirms Its Commitment to Secure Product Development Processes and Responsible Vulnerability Disclosure Policies
• Proactive, Responsible Disclosure Is One Crucial Way Fortinet Strengthens Customer Security
• Fortinet’s Progress on Its Secure-by-Design Commitments
• Secure by Design: A Continued Priority in 2025 and Beyond

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.