Cybersecurity and Infrastructure Security Agency (CISA) memperkenalkan Secure by Design Pledge pada awal tahun ini, yang merinci tujuh tujuan untuk pengembangan dan penyebaran perangkat lunak yang aman. Upaya ini sejalan dengan proses pengembangan produk Fortinet yang sudah lama berfokus pada prinsip secure-by-design dan secure-by-default, dan kami dengan senang hati menjadi penandatangan awal serta pendukung dari janji tersebut.
Setelah memperkenalkan janji tersebut, penasihat teknis senior CISA Bob Lord dan Jack Cable membuat video informatif untuk menggambarkan kebutuhan bagi produsen teknologi untuk mengambil pendekatan berbasis data dalam meningkatkan desain dan pengembangan perangkat lunak. Video tersebut menampilkan beberapa contoh dunia nyata, membandingkan Secure by Design Pledge dari CISA dan upaya terkait dengan inisiatif yang sudah lama ada di industri otomotif dan penerbangan.
Sebagai contoh, National Highway Traffic Safety Administration mengumpulkan data tentang fatalitas kendaraan bermotor di Amerika Serikat selama hampir 100 tahun. Pengumpulan dan berbagi data rinci ini memungkinkan regulator industri untuk mengenali pertumbuhan jumlah fatalitas kendaraan bermotor yang meningkat seiring dengan jumlah total jam mobil dikendarai dan memberikan rekomendasi untuk meningkatkan hasil negatif yang diamati berdasarkan analisis data.
Pada akhir 1960-an, National Traffic and Motor Vehicle Safety Act diperkenalkan untuk mengatasi peningkatan fatalitas. Undang-undang ini membantu menyelamatkan banyak nyawa orang Amerika di masa depan dengan mewajibkan semua kendaraan kecuali bus untuk dilengkapi dengan sabuk pengaman. Hasilnya adalah penurunan tajam dalam fatalitas, meskipun penggunaan mobil meningkat.
Penurunan terukur serupa dapat dikaitkan dengan pengenalan fitur keselamatan teknologi lainnya, seperti zona penyusutan dan rem anti-lock.
Mengukur Kemajuan dalam Keamanan Siber: Instalasi Patch yang Dikeluarkan oleh Fortinet oleh Pelanggan
Contoh-contoh yang dibagikan oleh CISA menginspirasi tim kami sejak awal untuk secara aktif mengukur dan melaporkan kemajuan kami dalam meningkatkan upaya secure-by-design Fortinet, yang mendukung tujuan kami untuk menjadi teladan dalam pengembangan produk yang etis dan bertanggung jawab serta pengungkapan kerentanannya. Kami bekerja untuk meningkatkan tingkat penerapan patch keamanan yang dikeluarkan oleh Fortinet, yang sejalan dengan salah satu tujuan yang ditetapkan oleh CISA dalam Secure by Design Pledge. Upaya ini memberikan kesempatan yang ideal untuk mengukur kemajuan dan menentukan apakah perubahan yang kami lakukan benar-benar meningkatkan postur keamanan pelanggan kami.
Pertama, kami berusaha memahami mengapa beberapa pelanggan tidak memperbarui perangkat mereka saat kami mengeluarkan pembaruan. Kami mendengar dua alasan yang paling sering dikutip:
- Kekhawatiran tentang mengganggu jaringan yang berfungsi
- Kekurangan waktu dan sumber daya
Saya akan menjelaskan lebih lanjut tentang tantangan ini di bagian berikutnya.
Setelah percakapan ini, kami bekerja untuk mengatasi kedua kekhawatiran tersebut, membuatnya lebih mudah bagi pelanggan untuk menerapkan patch meskipun menghadapi tantangan unik mereka. Di bawah ini adalah gambaran langkah-langkah yang kami ambil untuk mengatasi masing-masing tantangan dan melihat data yang kami kumpulkan untuk membantu kami menentukan apakah upaya kami berhasil.
Tantangan Pelanggan #1: Kekhawatiran Tentang Mengganggu Jaringan yang Berfungsi
“Jika tidak rusak, jangan perbaiki.” — Thomas Bertram Lance
Meskipun kami memahami bahwa bisa menjadi tidak nyaman untuk mengganggu jaringan yang berfungsi, sangat penting bagi tim IT dan keamanan untuk segera menerapkan patch guna mengurangi potensi eksploitasi kerentanannya oleh penyerang. Kami selalu menyarankan pelanggan untuk melakukan analisis berbasis risiko atas masalah tersebut dan segera melakukan pembaruan. Pada saat yang sama, sebagai CISO, saya memahami keengganan untuk mengganggu jaringan. Administrator IT dan keamanan terus berada di persimpangan antara meningkatkan langkah-langkah keamanan dan berpotensi mengganggu operasi normal.
Bagaimana Fortinet mengatasi tantangan ini
Untuk menyederhanakan proses pengambilan keputusan pelanggan terkait kapan dan bagaimana menerapkan patch yang dikeluarkan oleh Fortinet, kami memperkenalkan penandaan fitur dan kematangan untuk rilis firmware. Hasilnya, administrator dapat dengan cepat mengetahui apakah firmware hanya berisi perbaikan bug atau jika rilis tersebut mengandung fitur yang lebih luas. Memberikan informasi tambahan ini dengan cepat dan mudah kepada administrator jaringan memberi mereka data untuk mendukung penilaian mereka dan meningkatkan keyakinan mereka dalam keputusan tentang bagaimana dan kapan melaksanakan pembaruan.
Hingga saat ini, kami telah menerima umpan balik dari pelanggan yang menyatakan bahwa ini membuat keputusan berbasis risiko tentang apakah akan mengadopsi rilis dalam lingkungan mereka menjadi jauh lebih sederhana, berdasarkan pentingnya bisnis mereka dan kebutuhan akan fitur baru tertentu.
Tantangan Pelanggan #2: Kekurangan Waktu dan Sumber Daya
“Waktu adalah sumber daya yang paling langka, dan kecuali itu dikelola, tidak ada hal lain yang dapat dikelola.” — Peter Drucker
Fortinet bekerja dengan berbagai pelanggan dari berbagai ukuran dan industri. Satu hal yang hampir dimiliki oleh setiap organisasi adalah dampak dari kekurangan keterampilan di bidang keamanan siber yang terus berlangsung. Ini jelas terlihat dari grafik berikut, yang menunjukkan tingkat penerapan patch yang relatif lambat di antara pelanggan (sekitar 40.000 pembaruan per bulan) meskipun ada perbaikan dengan tingkat keparahan tinggi yang termasuk dalam rilis 7.2.5.
Tingkat pembaruan dua kali lipat dari 7.2.5 ke 7.2.6, yang terlihat pada grafik di bawah ini, dengan gradien grafik yang semakin curam, yang umum terjadi pada rilis-rilis berikutnya, saat pelanggan semakin tidak khawatir tentang “keberagaman” rilis tersebut, dan hal ini mirip dengan tantangan yang telah disebutkan sebelumnya. Laporan Kekurangan Keterampilan Keamanan Siber Global Fortinet 2024 menemukan bahwa 70% organisasi mengindikasikan bahwa kekurangan keterampilan di bidang keamanan siber menciptakan risiko tambahan bagi organisasi mereka. Namun meskipun ada kekurangan sumber daya yang nyata atau yang dipersepsikan di suatu organisasi, pembaruan harus dilakukan dengan lebih cepat.
Bagaimana Fortinet mengatasi tantangan ini
Untuk membantu meningkatkan tingkat penerapan patch, kami memilih untuk menerapkan metode serupa dengan apa yang digunakan industri ponsel untuk memperbarui perangkat secara otomatis. Dalam fase uji coba awal, perangkat kantor kecil/home office dan bisnis kecil hingga menengah yang berukuran rendah diatur untuk memperbarui secara otomatis dalam situasi berikut:
- Fitur pembaruan otomatis diaktifkan secara default pada perangkat kelas rendah (100F dan lebih rendah). Ini juga dapat diaktifkan oleh administrator di perangkat lain.
- Perangkat tidak dikelola secara terpusat oleh FortiManager.
- Pembaruan hanya akan bergerak ke rilis berikutnya yang lebih stabil dalam cabang yang sama:
- Kami akan memperbarui dari 7.2.8 (matang) ke 7.2.9 (matang).
- Kami tidak akan memperbarui dari 7.2.8 (matang) ke 7.4.4 (fitur).
Pelanggan dapat mematikan fitur ini kapan saja jika mereka mau.
Fitur pembaruan otomatis FortiOS ini diaktifkan dalam versi rilis 7.2.6. Fitur ini pertama kali dipicu dalam rilis versi 7.2.7, dan hasilnya langsung terlihat, seperti yang ditunjukkan di bawah ini:
Versi 7.2.7 diterapkan pada hampir 200.000 perangkat hanya dalam beberapa hari, mengurangi potensi ancaman dari aktor yang memanfaatkan kerentanannya yang telah diperbaiki dalam rilis tersebut.
Fitur ini akan diterapkan pada model lain dalam rilis mendatang.
Menyederhanakan Jalan Menuju Postur Keamanan yang Lebih Kuat
Seiring berjalannya waktu, inisiatif ini akan terus meningkatkan keamanan pelanggan kami dan mencegah aktor ancaman untuk mengeksploitasi kerentanannya yang sudah dikenal. Mengukur kemajuan kami terhadap tujuh tujuan yang diuraikan dalam CISA Secure by Design Pledge memberikan wawasan tentang upaya dan keberhasilannya, serta memberikan kami kesempatan untuk menemukan cara untuk lebih menyederhanakan keamanan bagi pelanggan kami.
Ini adalah langkah lain dalam perjalanan kami untuk memenuhi komitmen yang telah kami buat, dan kami berharap dapat berbagi lebih banyak kemajuan kami ke depannya.