Fortinet luôn theo đuổi cam kết bền vững trong lĩnh vực an ninh mạng
Hội nghị thường niên về an ninh mạng, công nghệ bảo mật, bảo vệ dữ liệu 2024 diễn ra ngày 09/05/2024 tại Hoa Kỳ.
Tại Hội nghị thường niên về an ninh mạng, công nghệ bảo mật, bảo vệ dữ liệu (RSA) 2024, ông Jim Richberg - Trưởng bộ phận Chính sách mạng và Giám đốc An ninh thông tin (CISO) toàn cầu của Fortinet chia sẻ, Fortinet theo đuổi cam kết bền vững với việc trở thành đơn vị điển hình của ngành trong phát triển sản phẩm và trách nhiệm thông báo về các lỗ hổng bảo mật. Để thực hiện cam kết này, Fortinet luôn chủ động điều chỉnh sản phẩm và giải pháp để phù hợp với thực tế và các quy chuẩn ngành, đồng thời duy trì các tiêu chuẩn bảo mật cao nhất trong mọi lĩnh vực hoạt động và kinh doanh. Fortinet đánh giá cao sự ủng hộ và hợp tác của CISA trong việc phát triển và thực thi những mục tiêu quan trọng này. Fortinet cũng hoan nghênh việc CISA tiếp tục kêu gọi các đơn vị hoạt động trong ngành bảo mật tuân theo cam kết, quy chuẩn và mong rằng các đơn vị khác trong cộng đồng công nghệ sẽ tham gia vào nỗ lực này để cùng hướng tới mục tiêu bảo vệ an ninh mạng cho các tổ chức, doanh nghiệp trên toàn thế giới.
Đây là cam kết tự nguyện đối với ngành bảo mật được xây dựng dựa trên các biện pháp thực hành tốt nhất về bảo mật phần mềm hiện có của Fortinet, cùng với các biện pháp do CISA, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), các cơ quan liên bang khác của Hoa Kỳ cũng như các đối tác trong ngành và quốc tế phát triển. Cam kết nêu rõ 7 mục tiêu, bao gồm các chính sách thông báo lỗ hổng bảo mật có trách nhiệm, vốn đã là một phần không thể thiếu trong quy trình phát triển bảo mật sản phẩm của Fortinet.
Thúc đẩy cam kết về bảo mật
Sáng kiến mới nhất của CISA phù hợp với các quy trình phát triển sản phẩm hiện có của Fortinet dựa trên các nguyên tắc bảo mật theo thiết kế (secure-by-design) và bảo mật theo mặc định (secure-by-default). Fortinet cam kết tuân thủ theo đúng quy trình giám sát chặt chẽ về bảo mật sản phẩm ở tất cả các giai đoạn trong vòng đời phát triển sản phẩm, giúp đảm bảo tính năng bảo mật được thiết kế trong từng sản phẩm từ khi bắt đầu cho đến khi kết thúc vòng đời sản phẩm, theo những cách thức sau:
Vòng đời phát triển sản phẩm an toàn (SPDLC): Fortinet điều chỉnh các quy trình của công ty theo các tiêu chuẩn hàng đầu, bao gồm NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 và Đạo luật An ninh Viễn thông của Vương quốc Anh.
Kiểm tra sản phẩm bảo mật chặt chẽ: Fortinet tận dụng các công cụ và kỹ thuật như kiểm thử bảo mật ứng dụng tĩnh (SAST) và phân tích thành phần phần mềm được tích hợp trong quy trình xây dựng, kiểm tra bảo mật ứng dụng động (DAST), quét lỗ hổng bảo mật và kiểm thử fuzzing trước mỗi lần phát hành, cũng như kiểm tra thâm nhập và kiểm tra mã thủ công.
Nhà cung cấp đáng tin cậy: Để đảm bảo lựa chọn nghiêm ngặt và đánh giá chính xác năng lực của các đối tác sản xuất chính, Fortinet tuân thủ theo NIST 800-161: Các thực hành quản lý rủi ro chuỗi cung ứng an ninh mạng cho các hệ thống và tổ chức. Cam kết của Fortinet về quyền riêng tư và bảo mật dữ liệu được thể hiện trong mọi hoạt động kinh doanh của công ty và trong mọi giai đoạn của quá trình phát triển, sản xuất và phân phối sản phẩm.
Chương trình bảo mật thông tin: Chương trình bảo mật thông tin của Fortinet được phát triển và tuân thủ các tiêu chuẩn và khung bảo mật hàng đầu trong ngành, bao gồm ISO 27001/2, ISO 27017 và 27018 và NIST 800-53, cũng như các quy định về quyền riêng tư dữ liệu như GDPR và CCPA.
Chứng nhận của bên thứ ba: Các sản phẩm của Fortinet thường được chứng nhận đạt tiêu chuẩn và được xác thực thông qua các tiêu chuẩn chất lượng sản phẩm của bên thứ ba, bao gồm NIST FIPS 140-2 và NIAP Common Criteria NDcPP / EAL4+.
Ngoài ra, Nhóm ứng phó sự cố bảo mật sản phẩm (PSIRT) của Fortinet chịu trách nhiệm duy trì các tiêu chuẩn bảo mật cho các sản phẩm của Fortinet và điều hành một trong những chương trình PSIRT mạnh nhất trong ngành, bao gồm việc thông báo các lỗ hổng bảo mật một cách chủ động và minh bạch. Gần 80% lỗ hổng của Fortinet được phát hiện vào năm 2023 đã được xác định thông qua quy trình kiểm tra nội bộ nghiêm ngặt của công ty. Sự chủ động này giúp Fortinet phát triển và triển khai các bản sửa lỗi trước khi việc khai thác mã độc có thể xảy ra. Fortinet cũng luôn hợp tác chặt chẽ với các khách hàng, nhà nghiên cứu bảo mật độc lập, nhà tư vấn, các tổ chức trong ngành và các nhà cung cấp khác để đảm bảo khả năng ứng phó sự cố bảo mật tốt nhất.
Chia sẻ của các chuyên gia
Phiên thảo luận tại Hội nghị RSA 2024 với chủ đề: “Không có bí mật trong an ninh mạng: Hướng tới minh bạch triệt để” được diễn ra ngày 09/05/2024 tại Hoa Kỳ. Tại đây, Fortinet đã cùng các đại biểu trao đổi về cách mở rộng và phát triển văn hóa minh bạch triệt để, nâng cao tinh thần trách nhiệm, giúp tăng cường khả năng phục hồi an ninh, chống lại tội phạm mạng.
Ông Michael Daniels - Chủ tịch kiêm Giám đốc điều hành của Liên minh chống lại các mối đe dọa Mạng (CTA) chia sẻ, theo thời gian, qua những trải nghiệm ở nhiều lĩnh vực, chúng tôi hiểu rằng tính minh bạch luôn mang đến những kết quả tốt đẹp hơn. Ngành an ninh mạng không phải ngoại lệ. Trong lĩnh vực này, tính minh bạch là việc phải tìm kiếm, giảm thiểu và thông báo các lỗ hổng bảo mật một cách trung thực và có trách nhiệm. Fortinet đang từng bước theo đuổi tính minh bạch có trách nhiệm trong kinh doanh bằng việc tạo ra một bộ quy tắc rõ ràng cho việc xử lý thông tin và phân tích về lỗ hổng. Nỗ lực của Fortinet trở thành điển hình để các nhà cung cấp dịch vụ an ninh mạng học hỏi trong quá trình hoàn thiện các trách nhiệm với khách hàng và công chúng.
Ông Peter Jennings - Giám đốc Bộ phận phân tích chiến lược tại Úc, thành viên Hội đồng Cố vấn chiến lược của Fortinet cho biết, tận tâm với cách thức tiếp cận bảo mật theo thiết kế trong quá trình phát triển sản phẩm là nền tảng cho khả năng bảo mật mạnh mẽ. Chúng tôi thấy các nhà cung cấp như Fortinet đang dẫn đầu trong việc tuân thủ và áp dụng các nguyên tắc này trên toàn cầu, những nguyên tắc cũng được nêu trong khung Essential Eight của Úc, là một bước tiến quan trọng trong việc tăng cường an ninh chung.
Cựu đại tướng Richard Sheriff - NATO cho biết, nhận diện nguy cơ và đánh giá rủi ro là hai trong số những yếu tố quan trọng nhất trong quản lý rủi ro, cho dù đang trên chiến trường hay đang bảo vệ môi trường công nghệ thông tin. Cách tiếp cận của Fortinet đối với tính minh bạch, thông báo lỗ hổng bảo mật và chia sẻ thông tin tình báo về mối đe dọa là điển hình tiêu biểu mà ngành an ninh mạng nên làm theo.
Bà Suzanne Spaulding - Cựu Thứ trưởng Bộ An ninh Nội địa Mỹ nhấn mạnh, trong môi trường năng động ngày nay, việc nâng cao tính minh bạch là điều rất quan trọng trong việc giúp mọi tổ chức trở nên an toàn hơn. Thật đáng khích lệ khi thấy Fortinet đi đầu trong việc đảm bảo tính minh bạch triệt để, chia sẻ thông tin về các lỗ hổng và thông tin về mối đe dọa.
Đô đốc James Stavridis - Cựu Đô đốc 4 sao và Tư lệnh đồng minh tối cao NATO ở châu Âu cho biết, mối quan hệ hợp tác giữa các chính phủ và các công ty thuộc khu vực tư nhân đang và sẽ tiếp tục là yếu tố không thể tách rời trong việc chống lại các mối đe dọa mạng. Với tư cách là thành viên Hội đồng quản trị Fortinet, tôi đã tận mắt chứng kiến và hoan nghênh cách mà công ty hợp tác với các tổ chức công và tư để chia sẻ thông tin tình báo đe dọa một cách minh bạch và hỗ trợ các nỗ lực an ninh quốc gia.
Xuân Bình