Fortinet zet zijn toewijding aan veilige productontwikkeling en verantwoorde openbaarmaking van kwetsbaarheden kracht bij

21 mei 2024

Fortinet maakt bekend dat het zijn streven naar verant­woorde radicale trans­pa­rantie verder kracht bijzet. Fortinet is een van de eerste onder­te­ke­naars van de Secure by Design-belofte die door de Cyber­se­cu­rity & Infra­struc­ture Security Agency (CISA) is opgesteld. Dit is een vrij­wil­lige toezeg­ging door spelers in de security-sector om veilig­heid door ontwerp na te streven. De onder­te­ke­ning hiervan vormt aan aanvul­ling op de bestaande best practices voor soft­wa­re­be­vei­li­ging die Fortinet erop nahoudt. 

Deze zijn ontwik­keld door de CISA, NIST, andere Ameri­kaanse over­heids­in­stel­lingen en inter­na­ti­o­nale bran­che­or­ga­ni­sa­ties. De Security by Design-belofte heeft betrek­king op zeven doel­stel­lingen, waaronder een verant­woorde open­baar­ma­king van kwets­baar­heden. Dit vormt al een kern­on­der­deel van de inspan­ningen van Fortinet op het gebied van veilige product­ont­wik­ke­ling

Jim Richberg, head of Cyber Policy en Global Field CISO bij Fortinet: “Fortinet is een rolmodel van het eerste uur als het gaat om ethisch verant­woorde product­ont­wik­ke­ling en open­baar­ma­king van kwets­baar­heden. We zorgen er proactief voor dat onze producten aansluiten op inter­na­ti­o­nale stan­daarden en best practices op het gebied van cyber­se­cu­rity. Kortom: we hanteren de hoogste bevei­li­gings­normen bij alles wat we doen. De oproep van de CISA aan spelers in de security-sector om hetzelfde te doen juichen we dan ook van harte toe. We stellen het enorm op prijs dat de CISA bereid is om met Fortinet toe te werken naar de reali­satie van deze belang­rijke doelen. We moedigen andere partijen binnen de tech­no­lo­gi­sche gemeen­schap aan om zich achter dit initi­a­tief te scharen om orga­ni­sa­ties veilig te houden.”

Veiligheid door ontwerp en verantwoorde openbaarmaking van kwetsbaarheden

Het nieuwe initi­a­tief van CISA sluit naadloos aan op de bestaande aanpak van product­ont­wik­ke­ling van Fortinet. Deze gaat al uit van de principes ‘secure by design’ (veilig door ontwerp) en ‘secure by default’ (standaard veilig). Fortinet houdt tijdens alle stadia van de levens­cy­clus van product­ont­wik­ke­ling de bevei­li­ging van zijn producten nauw­let­tend in het oog. Daarmee maakt de bevei­li­ging een integraal deel van het ontwerp van al zijn producten, van het begin tot het einde van hun levens­cy­clus. De aanpak van Fortinet omvat onder meer:

  • Secure Product Devel­op­ment Lifecycle (SPDLC): Fortinet zorgt ervoor dat zijn processen aansluiten op belang­rijke normen als NIST 800–53, NIST 800–161, NIST 800–218, US EO 14028 en wetgeving zoals de UK Telecom Security Act. 
  • Uitge­breide tests van bevei­li­gings­op­los­singen: Voordat Fortinet zijn producten op de markt uitbrengt onder­werpt het die altijd aan grondige test­pro­cessen. Hiervoor maakt het gebruik van tech­nieken als static appli­ca­tion security testing (SAST), analyses van de samen­stel­ling van soft­wa­reo­p­los­singen, dynamic appli­ca­tion security testing (DAST), scans op kwets­baar­heden, fuzz testing, pene­tra­tie­tests en hand­ma­tige inspec­ties van code.
  • Trusted Supplier-programma: Fortinet hanteert een rigou­reuze procedure voor de selectie van zijn produc­tie­part­ners. Het werkt daarbij volgens de richtlijn NIST 800–161: ‘Cyber­se­cu­rity Supply Chain Risk Mana­ge­ment Practices for Systems and Orga­ni­za­tions’. De toewij­ding van Fortinet aan gege­vens­be­scher­ming, privacy en bevei­li­ging vindt haar uiting tijdens elk stadium van de ontwik­ke­ling, productie en levering van zijn producten.
  • Het Fortinet Infor­ma­tion Security Program: Dit programma stoelt op bran­che­lei­dende bevei­li­gings­stan­daarden en –kaders zoals ISO 27001/​2, ISO 27017 en 27018, NIST 800–53 en wetgeving voor gege­vens­be­scher­ming en privacy zoals de GDPR en CCPA.
  • Certi­fi­ce­ringen door onaf­han­ke­lijke partijen: De producten van Fortinet worden regel­matig door externe partijen geïn­spec­teerd en gecer­ti­fi­ceerd voor bevei­li­gings­stan­daarden en product­kwa­li­teits­normen zoals NIST FIPS 140–2 en NIAP Common Criteria NDcPP /​ EAL4+.

Het Product Security Incident Response Team (PSIRT) van Fortinet ziet erop toe dat de oplos­singen van Fortinet aan alle bevei­li­gings­normen voldoen. Het hanteert een van de meest robuuste programma’s binnen de branche voor de proac­tieve en trans­pa­rante open­baar­ma­king van kwets­baar­heden. Bijna 80% van alle uitge­lichte kwets­baar­heden werden intern gede­tec­teerd op basis van een rigoureus audi­ting­proces. Deze proac­tieve aanpak maakt het mogelijk om fixes te ontwik­kelen en toe te passen om misbruik door cyber­cri­mi­nelen te voorkomen. Fortinet werkt samen met klanten, onaf­han­ke­lijke bevei­li­gings­ana­listen, consul­tants, bran­che­or­ga­ni­sa­ties en andere security-leve­ran­ciers om zijn PSIRT-missie ten uitvoer te leggen.

Fortinet streeft naar een cultuur van verant­woorde radicale trans­pa­rantie. Het zet dit streven kracht bij door de samen­wer­king op te zoeken met orga­ni­sa­ties in de publieke en private sector.

  • Als mede­op­richter van de Network Resi­lience Coalition draagt Fortinet bij aan de ontwik­ke­ling van prak­ti­sche oplos­singen voor de bevei­li­ging van netwerken en gevoelige data. Deze bieden ook een antwoord op het vraagstuk van orga­ni­sa­ties die nalaten om bevei­li­ging­sup­dates voor hardware- en soft­wa­reo­p­los­singen te installeren.
  • Als lid van de Joint Cyber Defense Colla­bo­ra­tive (JCDC) die in 2021 door CISA werd opgericht werkt Fortinet samen met orga­ni­sa­ties in de publieke en private sector aan de verza­me­ling, analyse en uitwis­se­ling van praktisch toepas­bare infor­matie om proac­tieve bescher­ming te bieden tegen cyberbedreigingen.
  • Als mede­op­richter van de Cyber Threat Alliance (CTA) deelt Fortinet infor­matie over de laatste cyber­be­drei­gingen met andere spelers in de security-sector. Op die maner kan het klanten effec­tie­vere bescher­ming tegen cyber­cri­mi­nelen bieden.
  • Fortinet werkt als mede­op­richter van het Centre for Cyber­se­cu­rity (C4C) van het World Economic Forum samen met diverse wereld­lei­ders om de uitwis­se­ling van bedrei­gings­in­for­matie binnen de security-sector te bevor­deren. Het doel is om cyber­aan­vallen op wereld­wijde schaal terug te dringen en de acti­vi­teiten van cyber­cri­mi­nelen te dwarsbomen.

Paneldiscussie over radicale transparantie tijdens RSAC 2024 

Fortinet orga­ni­seert tijdens de RSA Confe­rence 2024 de panel­dis­cussie “No More Secrets in Cyber­se­cu­rity: Imple­men­ting Radical Transpa­rency” plaats. De aanwe­zigen komen meer te weten over de manieren waarop verant­woorde radicale trans­pa­rantie bijdraagt aan veer­krach­tiger bescher­ming tegen cyber­be­drei­gingen. Deze sessie vindt plaats op donderdag 9 mei van 10:50 tot 11:40 in Moscone South – 156.

Aan de panel­dis­cussie nemen gere­nom­meerde experts uit de security-wereld deel, onder wie:

  • Dr. Carl Windsor, senior vice president Product Tech­no­logy & Solutions bij Fortinet
  • Michael Daniel, bestuurs­voor­zitter en CEO van de Cyber Threat Alliance
  • Eric Goldstein, executive assistant director Cyber­se­cu­rity bij de CISA
  • Suzanne Spaulding, voormalig onder­se­cre­taris van het Ameri­kaanse Minis­terie van Binnen­landse Veiligheid

Geïn­te­res­seerden kunnen zich hier aanmelden. 

redactie@belgiumcloud

Persberichten, blogs en andere content kunt u mailen naar robbert@belgiumcloud.com

cybersecurity Fortinet IT-security security

Pin It on Pinterest

Share This