Ivanti Blog: Beiträge von

Die „Secure-by-Design“-Verpflichtung: Ein Engagement für eine sicherere digitale Zukunft

Wed, 08 May 2024 22:06:03 Z

Die spannendsten Vorteile der digitalen Transformation und Automatisierung – globale Vernetzung, effiziente Abläufe, bessere Geschäftsergebnisse – gehen mit einem ebenso vielen Bedenken hinsichtlich der digitalen Sicherheit einher. Es ist klar geworden, dass wir als Branche entschlossene Schritte unternehmen müssen, um die digitale Landschaft abzusichern und Cybersicherheitsbedrohungen zu mindern, damit wir die Vorteile der digitalen Beschleunigung sicher nutzen können.

Bei Ivanti ist diese Entwicklung bereits im Gange – und wir möchten diese Bewegung federführend vorantreiben. Als Unternehmen waren wir schon immer der Meinung, dass die Interessen unserer Kunden – einschließlich der Sicherheit – die Basis der Softwareentwicklung sein sollten. Da sich die Bedrohungslandschaft rasant weiterentwickelt und die Taktiken immer aggressiver und ausgefeilter werden, ist es heute wichtiger denn je, den Fokus auf die Sicherheit zu legen.

Deshalb habe ich letzten Monat einen ambitionierten Plan für Ivanti vorgestellt, um der neuen Realität, mit der wir alle konfrontiert sind, gerecht zu werden. Unsere Bemühungen basieren auf den Grundsätzen von „Secure by Design“, die Sicherheit in jede Phase unseres Software-Entwicklungslebenszyklus integrieren. Angesichts dieses Engagements ist es nur folgerichtig, dass wir zu den ersten gehören, die das am 7. Mai 2024 auf der RSA-Konferenz in San Francisco vorgestellte „Secure by Design“-Versprechen der Cybersecurity and Infrastructure Security Agency (CISA) unterzeichnen.

Das Konzept „Secure by Design“ ist nicht neu, aber es war noch nie so relevant wie heute. Es stellt sicher, dass Produkte von Grund auf mit integrierter Sicherheit entwickelt werden, wodurch das Risiko von Schwachstellen verringert wird und es böswilligen Akteuren erschwert, diese auszunutzen. Deshalb ist dieses Versprechen jetzt gerade so bedeutsam, und deshalb folgen Unternehmen wie Ivanti diesem Aufruf. Wir sehen dies als einen bedeutenden Schritt nach vorne im Hinblick auf das Engagement und die Zusammenarbeit der Branche im Bereich Sicherheit und freuen uns darauf, einen neuen Standard für das gesamte digitale Ökosystem zu setzen.

Ein hohes neues Sicherheitsniveau

Mit der Unterzeichnung des „Secure by Design“-Versprechen verpflichten wir uns zu einer Reihe von Grundsätzen, Standards und Maßnahmen, die uns dabei helfen, die Sicherheit unserer Produkte weiter zu steigern und unseren Kunden einen besseren Schutz zu bieten. Dazu gehören die Implementierung einer Multi-Faktor-Authentifizierung, die Reduzierung von Standardpasswörtern, die Beseitigung ganzer Schwachstellenklassen, die verstärkte Einführung von Sicherheitspatches, die Einführung einer Richtlinie zur Offenlegung von Schwachstellen und die Verbesserung der Möglichkeiten unserer Kunden, Hinweise auf Cybersicherheitsverletzungen zu sammeln. Ich freue mich, dass unsere Produkte und unser Unternehmen bereits viele dieser „Secure by Design“-Prinzipien erfüllen. Zudem prüfen wir genau, wie wir unsere Bemühungen und Praktiken in unserem gesamten Unternehmen und im gesamten Produktentwicklungszyklus verbessern und beschleunigen können.

Für Ivanti sind diese Verpflichtungen weit mehr als nur leere Worte oder ein reines Versprechen. Mit der Unterzeichnung dieses Versprechens verpflichten wir uns öffentlich dazu, die Messlatte höher zu legen. Und wir übernehmen die Verantwortung dafür, dass wir unsere Versprechen einhalten. Wir werden im kommenden Jahr mit Hochdruck daran arbeiten, messbare Fortschritte bei der Erreichung jedes dieser Ziele zu erreichen, Zudem werden wir unsere Kunden und die breitere Sicherheitscommunity über unsere Fortschritte auf dem Laufenden halten. Wir glauben, dass Transparenz essenziell ist, um Vertrauen aufzubauen und eine breitere Sicherheitskultur zu fördern.

Gemeinsam sind wir stärker

Wir haben einen großen Schritt getan, indem wir dieses Versprechen als erstes Unternehmen unterzeichnet haben. Dennoch sind wir uns bewusst, dass wir eine sicherere digitale Zukunft nicht allein erreichen können. Es ist von entscheidender Bedeutung, dass auch andere Anbieter in der Branche die Prinzipien von „Secure by Design“ übernehmen und ähnliche Schritte unternehmen, um die Sicherheit ihrer Produkte zu priorisieren. Wir bestärken andere Anbieter nachdrücklich, das CISA-Versprechen „Secure by Design“ ebenfalls zu unterzeichnen und zusammen mit uns auf unser gemeinsames Ziel hinzuarbeiten, unsere Kunden und das breitere digitale Ökosystem zu schützen.

Es ist gut fürs Geschäft und für Mitarbeitende, Partner, Kunden und die Communitys, denen wir zur Seite stehen.

Unsere jüngsten Erfahrungen bei RSA haben uns nur noch mehr in unserer Überzeugung bestärkt, dass es wichtig ist, dass die Sicherheitsgemeinschaft zusammenkommt, um die Herausforderungen, mit denen wir alle konfrontiert sind, gemeinsam anzugehen. Unsere Gespräche mit Kunden und Partnern waren von unschätzbarem Wert. Sie haben verdeutlicht, dass gemeinsame Anstrengungen im Bereich der Softwaresicherheit unerlässlich sind. Indem wir Wissen und bewährte Verfahren austauschen und den anderen in die Verantwortlichkeit nehmen, können wir bedeutende Fortschritte auf dem Weg in eine stärkere und sicherere Zukunft erzielen.

Ivanti hat sich zum Ziel gesetzt, bei diesen Bemühungen eine führende Rolle zu übernehmen, und wir freuen uns darauf, mit unseren Kunden und der breiteren Community zusammenzuarbeiten, um „Secure by Design“ zur neuen Realität zu machen.

Unser Einsatz für die Sicherheit: Ein offener Brief von Ivantis CEO Jeff Abbott

Wed, 03 Apr 2024 15:01:32 Z

An die geschätzten Kunden und Partner von Ivanti,

der Anspruch unseres Unternehmens ist es, die sichersten Lösungen für Everywhere Work zu entwickeln. Die Ereignisse der letzten Monate waren sehr ernüchternd. Und ich möchte, dass Sie direkt von mir erfahren, welche Maßnahmen wir ergreifen, um zu gewährleisten, dass wir gestärkt daraus hervorgehen und unsere Kunden noch sicherer arbeiten können.

Wir und viele andere in unserer Branche haben die zunehmende Komplexität der Bedrohungslandschaft und die spezifische Entwicklung der Taktiken der Bedrohungsakteure aus erster Hand miterlebt. Diese Aktivität hat eines unserer Produkte in den Mittelpunkt der Diskussion über kürzlich gemeldete Sicherheitsvorfälle gerückt. Wir haben darauf reagiert, indem wir intensiv daran arbeiten, unsere Kunden zu schützen und zu unterstützen. Und wir überprüfen unsere eigene Position und unsere eigenen Prozesse sehr genau, um sicherzustellen, dass wir auf die aktuelle Situation gut vorbereitet sind.

Wir nutzen diese Gelegenheit, bei Ivanti einen neuen Weg einzuschlagen. So haben wir uns der Herausforderung gestellt, jede Phase unserer Prozesse und jedes Produkt kritisch zu prüfen, um unseren Kunden den besten Schutz zu bieten. Wir haben bereits damit begonnen, die Lehren aus den jüngsten Incidents zu ziehen, um unsere eigenen technischen und sicherheitstechnischen Verfahren sofort zu verbessern. Und dies ist erst der Anfang.

Wir setzen gerade einen Plan um, der die bereits laufenden Sicherheitsinitiativen beschleunigt und verbesserte Verfahren zur frühzeitigen Erkennung, zur Verhinderung und zum Schutz vor künftigen Bedrohungen einführt. Wir haben die anerkanntesten Sicherheits- und Produktentwicklungsexperten der Branche ins Boot geholt, um das Ivanti-Team bei der Überprüfung zu unterstützen und eine erstklassige Anleitung zur Ausführung zu geben. So stellen wir sicher, dass wir unsere Verpflichtung Ihnen gegenüber einhalten, damit Ihr Unternehmen problemlos, sicher und mit einem guten Gefühl arbeiten kann. Dieser Plan wird durch eine beträchtliche Investition getragen und hat die volle Unterstützung unseres Vorstandes und aller Mitarbeitenden bei Ivanti.

Unser Weg in die Zukunft

Wir verfolgen einen umfassenden Wandel, der das Ivanti Betriebsmodell für Sicherheit grundlegend verändert. Dazu gehört:

Wir überarbeiten die wichtigsten Verfahren in den Bereichen Technik, Sicherheit und Schwachstellenmanagement, um zu gewährleisten, dass unsere aktuellen Produkte sicher sind und die Kunden über die erforderlichen Ressourcen verfügen, um sie sicher in ihrem Unternehmen einzusetzen.
Wir gewährleisten, dass alle von uns entwickelten Produkte nach der Methodik „Secure by Design” entwickelt werden, wobei die Sicherheit in jeder Phase des Lebenszyklus der Softwareentwicklung als Schlüsselfaktor angesehen wird.
Wir bauen Partnerschaften mit wichtigen Cyber-Verteidigungsagenturen auf, um sicherzustellen, dass Ivanti-Produkte und die Lektionen, die wir bei ihrer Entwicklung lernen, das gesamte Sicherheitsökosystem verbessern.
Wir geben Informationen und Erkenntnisse an unsere Kunden weiter – und holen aktives Feedback von ihnen ein, damit wir ihre Bedürfnisse weiterhin erfüllen können.

Im Folgenden skizziere ich unsere ersten Schwerpunktbereiche. Sie können davon ausgehen, dass sie sich mit dem Erreichen unserer Ziele weiterentwickeln werden.

Die Herausforderungen, mit denen wir konfrontiert sind, sind in der Softwarebranche nicht einzigartig, und wir sind entschlossen, die notwendigen Schritte zu unternehmen, um für andere richtungsweisend zu sein. Die Bedrohungsakteure entwickeln sich ständig weiter – und wir tun es auch.

Auf dieser Reise haben wir unsere Kunden (wie Sie) in den Mittelpunkt gestellt. Ihre Interessen und Ihre Partnerschaft haben für uns immer Priorität, jetzt und in Zukunft.

Mit freundlichen Grüßen

Jeff Abbott

Unser Plan für Ivantis Zukunft

1. Erhöhung der Produktsicherheit und Einführung von Secure by Design-Prinzipien.

Einhaltung des Secure by Design-Prinzips: Unser Fokus liegt auf der Einbettung der Sicherheit in jeder Phase des Softwareentwicklungszyklus, mit robusten Prozessen, die potenzielle Schwachstellen von der Produktentwicklung bis zur Bereitstellung und darüber hinaus vorhersehen und präventiv angehen. Unser Ansatz umfasst rigorose Übungen der Bedrohungsmodellierung, die sicherstellen, dass die Sicherheit als grundlegendes Element in unseren Produkten verankert ist. Diese proaktive Haltung ist der Eckpfeiler unseres Einsatzes, der es uns ermöglicht, den Schutz für unsere Kunden zu verbessern und neuen Bedrohungen einen Schritt voraus zu sein.
Optimierung von Produkten für Sicherheit und Kundenvertrauen: Wir arbeiten bereits an der Verbesserung der allgemeinen Sicherheitslage unseres Produktportfolios. Dazu gehört die Beschleunigung der Stack-Modernisierung unserer Netzwerksicherheitsprodukte (Ivanti Connect Secure, Policy Secure und ZTA) mit einer Vielzahl von Isolierungs- und Anti-Exploit-Technologien, um die potenziellen Auswirkungen künftiger Softwarefehler zu reduzieren. Unser Anspruch ist es, das neueste Betriebssystem in unsere Netzwerksicherheitsprodukte zu integrieren, um den Schutz für unsere Kunden zu erhöhen. Außerdem bieten wir weitere hardwarebasierte Schutzfunktionen sowie Fernüberwachungs- und Supportoptionen.
Erleichterung der Sicherheitsanforderungen für Kunden: Wir bauen unsere Fähigkeiten aus, um Lösungen anzubieten, die sofort nach der Implementierung sicher sind (Secure by Default), und Produkte entwickeln, die optional von Ivanti verwaltet, überwacht und gesichert werden können. Wir arbeiten mit unseren Kunden zusammen, um das angemessene Maß an Überwachung und Managementverantwortung auf der Grundlage ihrer Produktlinie und ihres Branchensegments festzulegen.
Priorisierung der kundenorientierten Sicherheit: Wir sind dabei, Ressourcen umzuleiten und neue Investitionen zu tätigen, die sich auf die Produktsicherheit im gesamten Unternehmen konzentrieren. Dazu gehören der Ausbau unserer Produktsicherheitsteams, die Schaffung von speziellen, kollaborativen Technik-Sicherheits-Pods und die Förderung eines proaktiven Ansatzes für die Modellierung von Bedrohungen, Sicherheitsüberprüfungen und verstärkte Penetrationstests in unserem gesamten Produktportfolio.

2. Verbesserung unseres Schwachstellenmanagement-Programms

Interne und externe Forschung zur Ermittlung von Schwachstellen: Unser Ziel ist die Verbesserung der Prozesse und die Zusammenarbeit bei der Erkennung von Schwachstellen, damit wir Sicherheitsprobleme im gesamten Ivanti-Portfolio schnell erkennen, beheben und melden können. Zu diesem Zweck intensivieren wir unsere internen Beurteilungs-, manuellen Auswertungs- und Testkapazitäten, die Beauftragung vertrauenswürdiger Dritter zur Ergänzung unserer internen Forschung, und fördern die verantwortungsvolle Offenlegung von Schwachstellen durch bessere Incentives im Rahmen eines erweiterten Bug-Bounty-Programms.
Risikobasiertes Patching und Behebung von Sicherheitslücken: Das Ziel dieses verstärkten Schwachstellenmanagement-Programms besteht darin, potenzielle Probleme sofort zu erkennen und zu beheben. Dies kann natürlich zu einer anfänglichen Spitze bei der Entdeckung und Offenlegung von Schwachstellen führen. Deshalb investieren wir zusätzlich in technische Ressourcen, Technologien und Workflow-Prozesse, um einen risikobasierten Ansatz zu unterstützen, der die durchschnittliche Zeit bis zur Behebung von Produktschwachstellen reduziert, die das größte Risiko für die Kundensysteme darstellen.

3. Verbesserte Unterstützung für sichere Produktimplementierungen vor Ort.

Zugänglichkeit von Sicherheitsressourcen und Dokumentation im Community-Portal: Die Kunden können in den kommenden Monaten mit Erweiterungen des Community-Portals rechnen, einschließlich verbesserter Suchfunktionen, die auf KI basieren, um mehr kuratierte Ergebnisse auf der Grundlage der spezifischen Produkte, die ein Kunde verwendet, zu erhalten. Dazu gehören auch Informationen über Patches und Dokumentationen. Ferner verbessern wir das sicherheitsbezogene Engagement unserer Kunden durch die Einführung eines kundenorientierten Feedback-Lebenszyklus und andere Optimierungen der Benutzerfreundlichkeit, die sich auf die Anwendung bewährter Sicherheitsverfahren in Kundenumgebungen konzentrieren.
Einsatz eines verbesserten und intelligenteren Interactive Voice Response (IVR)-Systems: Unser Anspruch ist es, unseren Kunden schnell und effektiv die Unterstützung zu geben, die sie benötigen. In den kommenden Monaten implementieren wir ein KI-gestütztes Interactive Voice Response (IVR)-System, das die Kundenerfahrung bei der Weiterleitung von Anrufen verbessert, Kunden auf sicherheitsrelevante Informationen zu ihrem Produkt hinweist und auf Anfrage automatisch Supportfälle eröffnet.
Zusammenarbeit mit Kunden für die Aufrüstung auf die neuesten Plattformen: Da wir an der Verbesserung der Sicherheit unserer neuesten Versionen arbeiten, ist es auch wichtig, dass unsere Kunden von diesen Verbesserungen profitieren können, indem sie auf unseren am besten unterstützten und sichersten Plattformen laufen. Wir arbeiten mit unseren Kunden zusammen, um Spannungen zu verringern, – seien sie vertraglicher, technischer oder finanzieller Art – um die Einführung der neuesten und sichersten Lösungen und Sicherheitsverbesserungen zu erleichtern, die zum Schutz vor der aktuellen Bedrohungslandschaft entwickelt wurden.
Praktische Hindernisse für die Sicherheitshygiene von On-Prem-Geräten überwinden: Wir wissen, dass die Verwaltung von Unternehmensnetzwerken in der Praxis ein Gleichgewicht zwischen praktischen Gegebenheiten und Einschränkungen erfordert. Wenn Kunden eine vollständige On-Prem-Lösung benötigen, möchten wir ihnen helfen, innerhalb dieser Grenzen zu arbeiten, ohne die Systemsicherheit zu gefährden. Wir arbeiten [in den kommenden Wochen] mit On-Prem-Kunden zusammen, um ihnen die Erfahrungen und bewährten Verfahren für den Betrieb ihrer Lösungen in der aktuellen Umgebung zu vermitteln.

4. Weitergabe von Informationen an unsere Kunden und die Community.

Informationsaustausch und Transparenz: Gesunde Kundenbeziehungen sind für den Erfolg unseres Unternehmens von zentraler Bedeutung, und unsere intensive Zusammenarbeit mit den Kunden und deren Feedback während dieses Incidents haben zu einem enormen gegenseitigen Nutzen geführt. Wir wollen dafür sorgen, dass dies so bleibt. Kunden und Partner können davon ausgehen, dass Ivanti die gewonnenen Erkenntnisse weitergibt. Außerdem planen wir, unsere Kunden-Briefings mit externen Experten fortzusetzen, eine eigene Blog-Reihe zur aktuellen Bedrohungslage zu starten sowie Webinare und Diskussionsrunden zu Datenschutz- und Sicherheitsthemen mit unserer Community durchzuführen.
Einrichtung eines Kundenbeirats: Jede der oben genannten Initiativen muss sich am Input der Kunden orientieren und auf deren Feedback abgestimmt werden. Wir institutionalisieren diesen Prozess und kündigen in den kommenden Wochen Pläne an, wie wir den Input unserer Kunden für die Produktentwicklung, die Priorisierung von Funktionen, Sicherheitsbelange und strategische Entscheidungen über unsere Produkt-Roadmaps sammeln können.