Ai nostri stimati clienti e partner Ivanti, 

La nostra organizzazione si impegna a realizzare le soluzioni più sicure per Everywhere Work. Gli eventi degli ultimi mesi sono stati un’importante lezione di umiltà e desidero che sappiate direttamente da me quali azioni stiamo intraprendendo per uscirne più forti e rendere i nostri clienti più sicuri. 

Noi, come molti altri nel nostro settore, abbiamo osservato in prima persona la crescente complessità del panorama delle minacce e la specifica evoluzione delle tattiche degli attori delle minacce. Questa attività ha portato uno dei nostri prodotti al centro del dibattito relativo a incidenti di sicurezza segnalati di recente. Abbiamo risposto lavorando con impegno per proteggere e supportare i nostri clienti, e stiamo esaminando con grande attenzione la nostra postura e i nostri processi per assicurarci di essere ben preparati ad affrontare il panorama attuale. 

Coglieremo questa opportunità per avviare una nuova era in Ivanti. Ci siamo posti l’obiettivo di analizzare criticamente ogni fase dei nostri processi e ogni prodotto, per garantire il massimo livello di protezione ai nostri clienti. Abbiamo già iniziato ad applicare gli insegnamenti tratti dagli incidenti recenti per apportare miglioramenti immediati alle nostre pratiche di engineering e sicurezza. E ci sarà ancora molto altro.

Stiamo ora dando esecuzione a un piano che accelera le iniziative di sicurezza già in corso e implementa pratiche migliorate per anticipare, prevenire e proteggere dalle minacce future.  Abbiamo coinvolto gli esperti di sicurezza e sviluppo prodotto più riconosciuti del settore per supportare la revisione da parte del team Ivanti e fornire linee guida di esecuzione best-in-class, assicurando il rispetto del nostro impegno nei vostri confronti, affinché la vostra organizzazione possa lavorare in modo semplice, sicuro e con fiducia. Questo piano è sostenuto da un investimento significativo e gode del pieno supporto del nostro consiglio di amministrazione e di tutti in Ivanti.

Il nostro percorso futuro

Ci impegniamo a realizzare un cambiamento di ampia portata che trasformi radicalmente il modello operativo di sicurezza di Ivanti.  Questo include:

  1. Rinnovare le pratiche fondamentali di engineering, sicurezza e gestione delle vulnerabilità per garantire che i nostri prodotti attuali siano sicuri e che i clienti dispongano delle risorse necessarie per implementarli in modo sicuro nella propria organizzazione. 
  2. Garantire che tutti i prodotti che creiamo adottino la metodologia Secure by Design, considerando la sicurezza come un fattore chiave in ogni fase del ciclo di vita dello sviluppo software.
  3. Formalizzare partnership con le principali agenzie di cyber-difesa per assicurarci che i prodotti Ivanti, e gli insegnamenti che apprendiamo nel crearli, contribuiscano a elevare l’intero ecosistema della sicurezza.
  4. Condividere informazioni e apprendimenti con i nostri clienti, sollecitando attivamente il feedback per continuare a soddisfare le loro esigenze. 

Di seguito ho delineato le nostre aree di attenzione iniziali, che continueranno a evolversi man mano che progrediremo verso i nostri obiettivi.  

Le sfide che affrontiamo non sono uniche nel settore software e ci impegniamo a compiere i passi necessari per guidare il percorso anche per gli altri. Gli attori delle minacce evolvono costantemente: sappiate che lo faremo anche noi.

In questo percorso abbiamo posto i clienti al centro. I vostri interessi e la vostra collaborazione saranno sempre la nostra priorità, ora e in futuro.

Cordiali saluti, 

Jeff Abbott 

Il nostro piano per il futuro di Ivanti

1. Rafforzare la sicurezza dei prodotti e adottare i principi Secure by Design.

  • Aderire al Secure by Design: il nostro obiettivo è integrare la sicurezza in ogni fase del ciclo di vita dello sviluppo software, con processi solidi che anticipino e affrontino preventivamente le potenziali vulnerabilità, dall’ideazione del prodotto fino all’implementazione e oltre. Il nostro approccio includerà rigorose attività di threat modeling, garantendo che la sicurezza sia radicata come elemento fondante dei nostri prodotti. Questo orientamento proattivo costituirà la pietra angolare del nostro impegno, consentendoci di rafforzare le protezioni per i nostri clienti e di restare al passo con le minacce emergenti. 
  • Ottimizzare i prodotti per la sicurezza e la fiducia dei clienti: stiamo già rafforzando la postura di sicurezza complessiva del nostro portafoglio prodotti. Questo include l’accelerazione della modernizzazione dello stack dei nostri prodotti Network Security (Ivanti Connect Secure, Policy Secure e ZTA) con una varietà di tecnologie di isolamento e anti-exploit per ridurre il potenziale impatto di futuri difetti software. Ci impegniamo a mantenere il sistema operativo sottostante più recente sui nostri prodotti Network Security e stiamo integrando ulteriori protezioni basate su hardware, oltre a opzioni di monitoraggio e supporto da remoto, per aumentare la protezione dei nostri clienti.
  • Alleggerire l’onere della sicurezza per i clienti: potenzieremo le nostre capacità per fornire soluzioni sicure fin dal primo utilizzo (Secure by Default) e realizzare prodotti che possano essere, su base opzionale, gestiti, monitorati e protetti da Ivanti.  Collaboreremo con i nostri clienti per determinare il livello appropriato di responsabilità in termini di monitoraggio e gestione in base alla loro linea di prodotti e al segmento di settore.
  • Dare priorità a una sicurezza orientata al cliente: stiamo riallocando risorse e realizzando nuovi investimenti incentrati sulla sicurezza dei prodotti in tutta l’organizzazione. Questo include l’ampliamento dei nostri team di sicurezza dei prodotti, la creazione di pod dedicati e collaborativi tra engineering e sicurezza, e la promozione di un approccio proattivo al threat modeling, alle revisioni di sicurezza e a metodologie di penetration test più estese in tutto il nostro portafoglio prodotti.  

2. Potenziare il nostro programma di gestione delle vulnerabilità.

  • Ricerca interna ed esterna per identificare le vulnerabilità: ci impegniamo a migliorare i processi e la collaborazione relativi alla scoperta delle vulnerabilità, per consentirci di identificare, correggere e segnalare rapidamente i problemi di sicurezza in tutto il portafoglio Ivanti. A tal fine, stiamo intensificando le nostre capacità interne di scansione, sfruttamento manuale e test, coinvolgendo terze parti fidate per ampliare la nostra ricerca interna e agevolando la divulgazione responsabile delle vulnerabilità con incentivi maggiori nell’ambito di un programma bug bounty potenziato.  
  • Applicazione delle patch basata sul rischio e correzione delle vulnerabilità: l’obiettivo di questo programma rafforzato di gestione delle vulnerabilità è individuare e affrontare tempestivamente qualsiasi potenziale problema. Sebbene ciò possa naturalmente causare un picco iniziale nelle scoperte e nelle divulgazioni, stiamo effettuando ulteriori investimenti in risorse di engineering, tecnologia e processi di workflow per supportare un approccio basato sul rischio che ridurrà il tempo medio di applicazione delle patch per le vulnerabilità dei prodotti che comportano il rischio maggiore per i sistemi dei clienti.

3. Fornire un supporto migliorato per implementazioni sicure dei prodotti sul campo.

  • Accessibilità delle risorse e della documentazione di sicurezza nel portale della community: nei prossimi mesi i clienti potranno aspettarsi miglioramenti al portale della community, tra cui funzionalità di ricerca potenziate dall’IA per offrire risultati più curati in base ai prodotti specifici utilizzati dal cliente. Questo includerà informazioni su patch e documentazione. Miglioreremo inoltre il coinvolgimento dei clienti in materia di sicurezza con l’implementazione di un ciclo di feedback orientato al cliente e altri aggiornamenti dell’esperienza utente incentrati sull’applicazione delle best practice di sicurezza negli ambienti dei clienti.
  • Implementare un sistema di risposta vocale interattiva (IVR) migliorato e più intelligente: ci impegniamo a fornire ai nostri clienti il supporto di cui hanno bisogno in modo rapido ed efficace. Nei prossimi mesi avremo implementato un sistema di risposta vocale interattiva (IVR) basato sull’IA, che migliorerà l’esperienza dei clienti nell’instradamento delle chiamate, li informerà su contenuti relativi alla sicurezza del loro prodotto e aprirà automaticamente casi di supporto su richiesta.
  • Collaborare con i clienti per passare alle piattaforme più recenti: mentre lavoriamo per migliorare la sicurezza delle nostre release più recenti, è importante anche che i nostri clienti possano beneficiare di questi miglioramenti utilizzando le nostre piattaforme più supportabili e sicure. Collaboriamo con i clienti per ridurre gli attriti, siano essi contrattuali, tecnici o finanziari, al fine di agevolare l’adozione delle soluzioni e dei miglioramenti di sicurezza più recenti e sicuri, progettati per proteggere dal panorama attuale delle minacce.
  • Superare gli ostacoli pratici all’igiene della sicurezza per i dispositivi on-premises: comprendiamo che l’amministrazione concreta delle reti aziendali deve bilanciare esigenze pratiche e vincoli reali. Quando i clienti richiedono una soluzione completamente on-premises, ci impegniamo ad aiutarli a operare entro questi limiti senza compromettere la sicurezza dei sistemi. Nelle prossime settimane, collaboreremo con i clienti on-premises per comunicare gli insegnamenti appresi e le best practice per gestire le loro soluzioni nell’ambiente attuale. 

4. Condividere informazioni con i nostri clienti e la community.

  • Condivisione delle informazioni e trasparenza: relazioni solide con i clienti sono fondamentali per il successo della nostra azienda, e il nostro intenso coinvolgimento con i clienti, insieme al loro feedback durante questo incidente, ha prodotto un enorme beneficio reciproco. Vogliamo assicurarci che questo continui. Clienti e partner potranno aspettarsi che Ivanti condivida gli insegnamenti appresi; inoltre, prevediamo di proseguire i nostri briefing per i clienti con esperti esterni, lanciare una serie di blog dedicata al panorama attuale delle minacce e organizzare webinar e tavole rotonde per affrontare temi di privacy e sicurezza con la nostra community.
  • Creazione di un Customer Advisory Board: ciascuna delle iniziative sopra descritte deve essere guidata dal contributo dei clienti e perfezionata grazie al loro feedback. Istituzionalizzeremo questo processo e nelle prossime settimane annunceremo piani per raccogliere il contributo dei clienti a beneficio dello sviluppo dei prodotti, della definizione delle priorità delle funzionalità, delle considerazioni di sicurezza e delle decisioni strategiche relative alle nostre roadmap di prodotto.