Ivanti强化产品安全:从漏洞管理到安全设计框架的全面升级

本文详细介绍了Ivanti在2024-2025年间对产品安全体系的全面强化,包括安全团队扩张、安全设计框架实施、漏洞管理计划升级、Connect Secure产品增强以及客户支持措施,展现了企业级网络安全防护的最新实践。

Ivanti持续强化产品安全承诺的最新进展

最后更新:2025年2月11日

作者:Daniel Spicer
分类:安全、Ivanti新闻

2024年4月,Ivanti首席执行官发布了关于产品安全承诺的公开信。我们对取得的进展感到自豪,但安全是一条持续改进的道路。随着威胁形势不断演变,Ivanti致力于这一旅程并保护我们的客户。

与其他开发网络安全和边缘产品的公司类似,我们的边缘产品已成为复杂威胁行为者攻击的目标。虽然这些产品并非最终目标,但它们日益成为资源充足的国家级组织试图针对极高价值组织进行间谍活动的途径。

我们对任何事件的响应都是从中学习,投资改进产品,并最终使我们的产品更难被复杂对手滥用。

最后重要的一点:我们继续从重要的安全行业合作伙伴关系中获益。通过与政府和安全行业合作伙伴密切合作,我们共同变得更强大、更安全。我们感谢合作者,并期待未来加倍努力。

加强产品安全并采用安全设计框架

专业安全资源:Ivanti安全团队由高技能安全专家组成,支持Ivanti的整体安全,还有一个专门的产品安全团队专注于我们解决方案的安全性。该团队的规模在过去几年中增长了8倍以上,威胁专业知识也显著提升。

领先的第三方合作与工具:我们扩大了与领先安全和威胁情报专家的合作,并在开发过程中使用行业领先的静态和动态代码分析工具,以验证我们解决方案的安全性,并确保Ivanti开发人员遵守安全编码实践。

安全设计对齐:我们的开发过程包括在整个产品生命周期中实施强大的安全协议,包括严格的威胁建模、漏洞评估和安全措施,专门用于提高我们解决方案对当前和新兴威胁的韧性——更多细节可在我们的网站上找到。

产品安全优化:我们在Ivanti Neurons云平台上投入了大量资源,以减轻客户的安全负担,包括自动安全更新、开箱即用的MFA支持以及统一的基于角色的访问控制(RBAC)系统。

网络安全组增强:我们发展了网络安全组,该组负责开发Ivanti Connect Secure,在重点、规模和产品领导力方面都有所提升。自10月起,该组由Michael Riemer领导,他是一位行业资深人士和网络安全专家,对该产品线有深入了解。在Michael的领导下,我们增加了内部工程资源,并聘用了额外的专业合同资源,这些资源在整个网络安全行业中需求很高。

优先考虑Ivanti Connect Secure(ICS)的产品安全增强:我们优先考虑了ICS的产品安全增强。这包括我们新的25.x版本,该版本升级到Oracle Linux OS,将于2025年下半年完成。我们还在网络安全产品中进行了其他重大安全增强,例如带有TPM密钥管理的安全启动、非根特权访问控制、现代化的Web服务和WAF组件。

完整性检查器工具(ICT)的增强:自2021年推出以来,ICT一直是识别威胁行为者努力的有效工具,是Ivanti对我们解决方案主动安全承诺的典型例子。该工具帮助了我们的取证工作,并在1月8日披露的漏洞案例中,在威胁行为者活动发生的同一天向客户发出了警报。这使我们能够迅速响应并开发修复程序。

提升漏洞管理计划

漏洞识别:我们增强了内部扫描、手动利用和测试能力,增加了与安全生态系统的协作和信息共享,并进一步改进了我们的负责任披露过程,包括成为CVE编号机构。虽然这自然会导致漏洞披露(以及随之而来的媒体报道)增加,但这并不表示风险增加;相反,它展示了我们对透明度的承诺以及超越行业标准。

为现场安全产品部署提供增强支持

平台升级:我们正在与客户合作,加速从生命周期结束解决方案的迁移,包括消除阻碍采用我们最先进和安全解决方案的障碍——无论是合同、技术还是财务障碍。与客户一起,我们在实现完全迁移到最新解决方案方面取得了重大进展。

本地安全支持:对于需要本地解决方案的客户,我们系统地改进了产品文档,并提供最佳实践,以装备他们必要的工具和知识,在其独特的操作环境中导航和缓解安全挑战。

与客户和社区共享信息

信息共享与透明度:我们积极参与活动并创建了多个对话论坛,与客户深入理解不断变化的需求,并能够分享关键见解和经验教训。我们正式制定了一个战略计划,在整个客户生命周期中收集反馈,确保持续循环反馈以保持与客户需求的一致性。

关于Daniel Spicer

Daniel Spicer担任Ivanti的CSO。他致力于通过评估未来收购的安全强度、与工程团队合作将更强的安全性构建到Ivanti的解决方案中,并确保Ivanti的网络安全得到加强以保护其自身系统和数据,来增强组织的整体网络安全基础设施。Daniel专长于事件响应和威胁狩猎。在加入Ivanti之前,他在Stroz Friedberg领导调查并制定解决方案响应策略,该公司是事件响应和数字取证领域的公认行业领导者。在Stroz Friedberg之前,Spicer在德克萨斯大学阿灵顿分校担任高级安全分析师。在此之前,他在United Space Alliance担任多个安全职位,为NASA的关键任务航天飞机操作系统制定和维护安全计划。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次