Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

L’impegno di Fortinet nel secure by design: misurare i progressi nella sicurezza informatica

Redazione RHC : 24 Marzo 2025 07:07

A cura di Aldo Di Mattia, Director of Specialized Systems Engineering and Cybersecurity Advisor Italy and Malta di Fortinet

All’inizio del 2024, CISA (Cybersecurity and Infrastructure Security Agency) ha introdotto il Secure by Design Pledge, che delinea sette obiettivi per lo sviluppo e l’implementazione di software sicuri. Fortinet è stata tra i primi firmatari e sostenitori di questa iniziativa, che si allinea con i processi di sviluppo dei propri prodotti, da tempo basati sui principi del secure by design e del secure by default.

Fortinet lavora costantemente per incrementare l’installazione delle patch di sicurezza rilasciate, in linea con uno degli obiettivi stabiliti dalla CISA nel Secure by Design Pledge. Questo impegno ha rappresentato un’opportunità importante per misurare i progressi e determinare se le modifiche apportate stavano migliorando in modo tangibile la posizione di sicurezza dei clienti.

Aldo Di Mattia, Director of Specialized Systems Engineering and Cybersecurity Advisor Italy and Malta di Fortinet

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI

Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro.
Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello.
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

In primo luogo, Fortinet ha cercato di capire perché alcuni clienti non aggiornavano i loro dispositivi quando venivano rilasciati gli aggiornamenti. Le ragioni più ricorrenti erano due:

  • Preoccupazione di destabilizzare una rete funzionante
  • Mancanza di tempo e risorse

Raggiunta questa consapevolezza, Fortinet ha lavorato per risolvere entrambi i problemi, semplificando il processo di patching nonostante le loro difficoltà specifiche. Qui di seguito sono illustrati i passi compiuti per risolvere ogni problema e i dati raccolti per determinare se questi sforzi sono stati coronati da successo.

Sfida del cliente n. 1: preoccupazioni per la destabilizzazione di una rete funzionante

Pur comprendendo che può essere problematico dare disservizio ad una rete funzionante, è fondamentale che i team IT e di sicurezza applichino le patch il prima possibile per ridurre la possibilità che gli aggressori sfruttino una vulnerabilità. Fortinet raccomanda sempre ai clienti di effettuare un’analisi immediata del rischio e di effettuare l’aggiornamento più rapidamente possibile. Allo stesso tempo, l’azienda comprende perché non si voglia bloccare un’infrastruttura di rete, dal momento che i responsabili IT e della sicurezza sono costantemente in bilico tra il potenziamento delle misure di sicurezza e l’eventuale interruzione della normale operatività.

Come Fortinet ha affrontato questa sfida

Per semplificare il processo decisionale dei clienti in merito a quando e come applicare una patch rilasciata da Fortinet, sono state introdotte delle etichette di funzionalità e maturità per le release del firmware. Di conseguenza, gli amministratori possono accertare rapidamente se il firmware contiene solo correzioni di bug o se la release contiene funzionalità supplementari. La messa a disposizione di questi dati aggiuntivi fornisce agli amministratori di rete, in modo rapido e chiaro, informazioni utili per le loro valutazioni e una maggiore affidabilità nelle loro decisioni su come e quando implementare un aggiornamento.

Ad oggi, i clienti hanno risposto che in questo modo è molto più semplice prendere decisioni basate sul rischio e sull’adozione di una release nei loro ambienti, in base alla criticità della loro attività e alla necessità di nuove funzionalità specifiche.

Sfida del cliente n. 2: mancanza di tempo e di risorse

Fortinet lavora con clienti di tutte le dimensioni e operanti in tutti i settori. Una cosa che accomuna quasi tutte le organizzazioni è l’impatto della carenza di competenze in materia di cybersecurity. Questo è evidente dai numeri seguenti, che mostrano un’adozione relativamente lenta delle patch da parte dei clienti (circa 40.000 aggiornamenti al mese), nonostante la presenza di una fix di una “high-severity” inclusa nella release 7.2.5.

Il tasso di aggiornamento è raddoppiato dalla release 7.2.5 alla 7.2.6, rappresentato nel grafico seguente. Questo andamento è stato confermato con le release successive, in quanto i clienti diventano sempre meno preoccupati delle “novità” presenti nelle release.

Secondo il rapporto 2024 Global Cybersecurity Skills Gap di Fortinet, nell’ultimo anno, l’86% dei leader d’azienda in Italia ha dichiarato di aver subito una violazione che può essere parzialmente attribuita alla mancanza di skill di cybersecurity nei team che si occupano di rete e di sicurezza. L’impatto è considerevole se si tiene in conto che il 58% dei partecipanti ha dichiarato di attribuire tali attacchi alla mancanza di consapevolezza sul tema della sicurezza da parte delle loro organizzazioni e dei propri dipendenti. Non da ultimo, il 44% ha evidenziato come siano stati necessari da 1 a 3 mesi per recuperare i danni derivanti dagli attacchi subiti.

Tuttavia, nonostante la scarsità reale o percepita di risorse in un’organizzazione, gli aggiornamenti devono avvenire a un ritmo più veloce.

Figura 1: Tasso di aggiornamento dei clienti Fortinet dalla versione FortiOS 7.2.5 alla 7.2.6

Come Fortinet ha affrontato questa sfida

Per contribuire ad aumentare l’adozione delle patch, Fortinet ha scelto di utilizzare un metodo simile a quello utilizzato dal settore della telefonia mobile per l’aggiornamento automatico dei dispositivi. Nella fase iniziale di prova, i dispositivi di fascia bassa per i piccoli uffici e per gli uffici domestici, oltre che per le piccole e medie imprese, sono stati impostati per l’aggiornamento automatico nelle seguenti condizioni:

  • La funzione di aggiornamento automatico è abilitata come impostazione predefinita sui dispositivi di fascia bassa (100F e inferiori). Può essere abilitata dall’amministratore anche su altri dispositivi.
  • Il dispositivo non è gestito centralmente da FortiManager.
  • L’aggiornamento passerà solo alla release successiva e più stabile all’interno dello stessa versione, per cui:
    • L’aggiornamento da 7.2.8 (maturo) a 7.2.9 (maturo) verrà effettuato.
    • Non verrà eseguito l’aggiornamento da 7.2.8 (maturo) a 7.4.4 (feature).
  • I clienti possono disattivare questa funzione in qualsiasi momento, se lo desiderano.

Questa funzione di aggiornamento automatico di FortiOS è stata introdotta nella versione 7.2.6 ed è stata attivata per la prima volta con la versione 7.2.7. I risultati sono immediatamente evidenti, come mostrato di seguito:

Figura 2: Tasso di aggiornamento tra i clienti Fortinet dopo l’implementazione della funzione di aggiornamento automatico

La versione 7.2.7 è stata implementata su quasi 200.000 dispositivi in pochi giorni, riducendo la possibilità per gli attaccanti informatici di sfruttare le vulnerabilità corrette nell’aggiornamento.

Questa funzione sarà estesa ad altri modelli nelle prossime release.

Semplificare il percorso verso il rafforzamento della postura di sicurezza

Nel tempo, queste iniziative continueranno a migliorare la sicurezza dei clienti Fortinet e a impedire agli attaccanti informatici di sfruttare le vulnerabilità note. Misurare i progressi rispetto ai sette obiettivi delineati nel CISA Secure by Design Pledge permette all’azienda di capire il successo degli sforzi e offre l’opportunità di trovare nuovi modi per semplificare ulteriormente la sicurezza dei propri clienti.

Si tratta di un altro passo avanti per mantenere l’impegno preso dall’azienda di continuare a sviluppare e innovare anche in questo ambito.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Due bug critici in Cisco ASA e FTD: score 9.9 e rischio esecuzione di codice remoto
Di Redazione RHC - 25/09/2025

Cisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...

Linux balla la samba… ma cade in una race condition. Una falla critica minaccia il kernel
Di Redazione RHC - 25/09/2025

Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...

Criptovalute, ransomware e hamburger: la combo fatale per Scattered Spider
Di Redazione RHC - 25/09/2025

Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...

Rilevate vulnerabilità Zero-Day in Cisco IOS e IOS XE: Aggiornamenti Urgenti
Di Redazione RHC - 25/09/2025

Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...

Esce Kali Linux 2025.3! Nuova release con miglioramenti e nuovi strumenti
Di Redazione RHC - 24/09/2025

Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...