回到頂端
|||
熱門: 柯文哲 av 九淺一深

Fortinet實踐資安資訊公開透明承諾 呼籲重視安全產品開發流程

台灣產經新聞網/香港商霍夫曼公關顧問股份有限公司 2024.05.22 00:00
新聞圖片

2024 5 22日,台北訊全方位整合與自動化網路資安領導廠商 Fortinet®NASDAQFTNT),今(22)日宣布作為美國網路安全暨基礎設施安全局(CISA)所制定的「安全納入設計」(Secure by Design)原則的早期簽署夥伴,Fortinet正積極實踐其長期以來的負責任的公開透明承諾。這項自願性承諾不僅是Fortinet對現有產品軟體安全的最佳實踐,其中也包括CISA、美國國家標準和科技機構NIST,以及國際和產業合作夥伴訂定的準則。該承諾概述了七個目標,包括早已是Fortinet列為產品安全開發原則的負責任漏洞披露政策。

 

Fortinet台灣區總經理吳章銘表示:「Fortinet致力於成為商業道德和負責任產品開發以及漏洞披露的典範。作為這項承諾的一部分,Fortinet積極遵循國際以及產業上的最佳實踐,並在我們各方面的業務上堅守最高安全標準。Fortinet也積極鼓勵台灣科技領域中的產、官、學界共同投入這項承諾,確保組織安全。」

 

 

採安全納入設計與負責任的漏洞披露原則,Fortinet實踐承諾守護組織安全

Fortinet現有的產品開發流程,採用安全納入設計和預設安全(secure-by-default)原則,與CISA最新倡議高度契合。Fortinet重視嚴格的產品安全審查,並落實於產品開發生命週期的每個階段,以此確保產品的安全性在設計階段時就被採納,並延續到產品生命週期結束,具體體現於以下幾個面向:

 

l   安全的產品發展生命週期:Fortinet 將其流程根據領先的標準進行調整,包含NIST 800-53NIST 800-161NIST 800-218US EO 14028 和英國電信安全法。

l   紮實的產品安全測試:Fortinet將靜態應用程式安全性測試(SAST)和軟體組成分析,建構於流程中。此外,在每次產品發布以前進行動態應用程式安全性測試(DAST)、漏洞掃描和模糊測試,以及滲透測試和手動代碼稽核。

l   可信賴供應商計畫:為了確保對於主要合作夥伴的嚴格篩選和資格認定,Fortinet 遵守 NIST 800-161網路安全供應鏈風險管理指南。落實資料隱私和安全的承諾,已融入公司業務的每個部份,以及產品開發、製造和交付過程。

l   資訊安全計畫:Fortinet的資訊安全計畫奠基於產業領先的安全標準和框架,涵蓋ISO 27001/2ISO 27017 27018,以及 NIST 800-53,以及 GDPR CCPA 等資料隱私政策。

l   第三方認證:Fortinet 產品定期進行且通過第三方產品品質標準認證,例如 NIST FIPS 140-2 NIAP Common Criteria NDcPP / EAL4+ 等標準。

 

引領全球資安業界的資訊公開透明文化,促進國際公私協力遏阻網路威脅

此外,Fortinet產品資安事件應變小組(PSIRT)負責維護產品的安全標準,並運作著產業中最強韌的PSIRT計畫之一,其中重要的工作包括主動且公開透明地露漏洞。在 2023 年,近 80% Fortinet 漏洞是經由內部嚴格的審核流程而發現的。此主動性的措施,有助於漏洞能在被惡意利用之前修補及改善。Fortinet與客戶、獨立安全研究人員、顧問、產業組織和其他供應商緊密合作,完成每一次的 PSIRT 任務。

 

為了更強化負責任公開透明的文化,Fortinet長期以來一直致力於與其理念相符的公私機關合作,包括:

l   作為網路韌性聯盟(Network Resilience Coalition)的創始成員Fortinet協助實質建構保護網路和敏感資料的解決方案,包括解決軟硬體更新和補丁未被實施的問題。

l   成為 CISA 2021 年成立的聯合網路防禦協作機制 Joint Cyber Defense CollaborativeJCDC)的成員Fortinet 與公私部門協作,收集、分析並共享可運用執行的情資,積極地防禦網路威脅。

l   作為網路威脅聯盟 Cyber Threat Alliance CTA 的創始成員Fortinet 與其他網路安全從業者共享即時的威脅情資,更全面地保護客戶免受攻擊。

l   作為世界經濟論壇網路安全中心 Centre for CybersecurityC4C 的創始成員Fortinet與全球領導者合作,促進跨產業的情報共享,以減少全球網路攻擊並打擊網路犯罪。

 

Fortinet於本月參與了2024RSA大會上的專題討論:「資安防護再無秘密,實行『完全公開透明』」,並邀請業界著名專家參與討論。其中網路威脅聯盟總裁兼執行長Michael Daniels表示:「資安領域的資訊透明化,將能以公開且負責任的方式,去追蹤、緩解與揭露漏洞。Fortinet已採取行動落實負責任的公開透明制度,制定一套完整的漏洞資訊的溝通處理原則和分析方法,是具有領導地位的資安供應商如何與客戶溝通的代表性案例。」

 

在現今變動快速的網路環境中,資訊透明化對於守護每個公私部門組織的安全至關重要。Fortinet將持續呼籲產業夥伴,共同努力推廣負責任的公開透明文化,確保全球網路安全。

 

參考資訊

       了解更多有關 Fortinet 對產品安全和完整性的承諾,包括長期致力於負責任產品開發和漏洞披露政策的部落格文章

       訪問 Fortinet官方網站 了解更多有關 Fortinet 創新、合作夥伴、產品安全流程以及企業等級產品的資訊,有助於保障經驗證後的網路安全。

       深入了解Fortinet免費網路安全培訓,包含廣泛的網路安全意識和產品培訓。作為Fortinet培訓推進議程(TAA)的一部分,Fortinet培訓學院還通過網路安全專家(NSE)認證學術合作夥伴教育推廣計劃提供培訓和認證。

       FacebookYouTubeLINE LinkedIn 上追蹤 Fortinet

社群留言

台北旅遊新聞

台北旅遊新聞