Als einer der ersten Cybersecurity-Anbieter, der die „Secure by Design“-Selbstverpflichtung von CISA unterzeichnet hat, unterstreicht Fortinet sein Engagement für eine Kultur der verantwortungsvollen Transparenz und damit sichere Produktentwicklungsprozesse.
Fortinet hat bekannt gegeben, dass es sein langjähriges Engagement für verantwortungsvolle Transparenz als Frühunterzeichner der von der Cybersecurity and Infrastructure Security Agency (CISA) entwickelten „Secure by Design“-Selbstverpflichtung weiter ausbauen wird. Diese freiwillige Branchenverpflichtung ergänzt und baut auf bestehenden Fortinet Best Practices für Software-Security auf, einschließlich solcher, die von CISA, NIST, anderen Bundesbehörden sowie internationalen und Industriepartnern entwickelt wurden. Das Versprechen beschreibt sieben Ziele, einschließlich Richtlinien zur Offenlegung von Schwachstellen, die bereits integraler Bestandteil der Produktsicherheitsentwicklung von Fortinet sind.
Sichere Produktentwicklungsprozesse durch „Secure by Design
Die jüngste Initiative der CISA orientiert sich stark an den bestehenden Produktentwicklungsprozessen von Fortinet, die bereits auf den Prinzipien „Secure by Design“ und „Secure by Default“ basieren. Fortinet hat sich verpflichtet, in allen Phasen des Produktlebenszyklus einer robusten Produktsicherheitsüberprüfung zu folgen und sicherzustellen, dass die Cybersecurity von der Einführung bis zum Ende der Lebensdauer in jedem Produkt auf folgende Weise konzipiert ist:
- Secure Product Development Lifecycle (SPDLC): Fortinet richtet seine Prozesse nach Standards aus, darunter NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 und UK Telecom Security Act.
- Robust Security Product Testing: Fortinet nutzt Tools und Techniken wie statische Application Security Tests (SAST) und Software-Composition-Analysen, die in seine Build-Prozesse integriert sind, dynamische Application Security Tests (DAST), Schwachstellen-Scanning und Fuzzing vor jeder Veröffentlichung sowie Penetrationstests und manuelle Code-Audits.
- Trusted Supplier Program: Um eine strenge Auswahl und Qualifizierung seiner wichtigsten Produktionspartner zu gewährleisten, hält sich Fortinet an NIST 800-161: Cybersecurity Supply Chain Risk Management-Praktiken für Systeme und Unternehmen. Fortinets Engagement für Datenschutz und Datensicherheit ist in alle Bereiche des Unternehmens und in jede Phase der Produktentwicklung, der Herstellung und der Bereitstellung integriert.
- Information Security Program: Das Fortinet Information Security Program basiert auf branchenführenden Sicherheitsstandards und Frameworks wie ISO 27001/2, ISO 27017 und 27018, NIST 800-53 sowie Datenschutzbestimmungen wie GDPR und CCPA.
- Zertifizierungen von Drittanbietern: Fortinet-Produkte werden regelmäßig nach Standards zertifiziert und durch Qualitätsstandards von Drittanbietern validiert, einschließlich NIST FIPS 140-2 und NIAP Common Criteria NDcPP/EAL4+.
Darüber hinaus ist das Fortinet Product Security Incident Response Team (PSIRT) für die Einhaltung der Sicherheitsstandards für Fortinet-Produkte verantwortlich und betreibt eines der robustesten PSIRT-Programme der Branche, einschließlich der proaktiven und transparenten Offenlegung von Schwachstellen. Fast 80 Prozent der im Jahr 2023 entdeckten Fortinet-Schwachstellen wurden intern durch den strengen Audit-Prozess des Unternehmens identifiziert. Dieser proaktive Ansatz ermöglicht es, Schutzmaßnahmen zu entwickeln und zu implementieren, bevor eine böswillige Ausnutzung erfolgen kann. Fortinet arbeitet mit seinen Kunden, unabhängigen Security-Forschern, Beratern, Branchenorganisationen und anderen Anbietern zusammen, um die PSIRT-Mission des Unternehmens zu erfüllen.
Um sein Bestreben für eine Kultur der verantwortungsvollen Transparenz weiter zu stärken, engagiert sich Fortinet seit langem in öffentlichen und privaten Partnerschaften:
- Als Gründungsmitglied der Network Resilience Coalition trägt Fortinet dazu bei, Lösungen für den Schutz von Netzwerken und sensiblen Daten bereitzustellen, einschließlich der Lösung des Problems nicht implementierter Software- und Hardware-Updates und Patches.
- Als Mitglied der Joint Cyber Defense Collaborative (JCDC), die 2021 von der CISA gegründet wurde, arbeitet Fortinet mit öffentlichen und privaten Einrichtungen zusammen. Ziel ist es, verwertbare Informationen zu sammeln, zu analysieren und auszutauschen, um einen proaktiveren Schutz vor Cyber-Bedrohungen zu gewährleisten.
- Als Gründungsmitglied der Cyber Threat Alliance (CTA) gibt Fortinet Bedrohungsinformationen an andere Cybersecurity-Experten weiter, um Kunden vor Angreifern zu schützen.
- Als Gründungsmitglied des Centre for Cybersecurity (C4C) des Weltwirtschaftsforums arbeitet Fortinet mit globalen Führungskräften zusammen, um den Informationsaustausch innerhalb der Branche zu fördern, Cyberangriffe zu reduzieren und Cyberkriminalität weltweit einzudämmen.
