Inloggen
Open menu
Blog

Zo past Fortinet de principes van Secure by Design toe

Beeld: Fortinet
28 augustus 2025

Secure by design is een mooie term voor software die veiligheid tíjdens de ontwerpfase voorop stelt. Beveiligingsmaatregelen zogezegd worden in het DNA van producten ingebakken in plaats van achteraf als een sluitpost te worden toegevoegd. Diverse softwarebedrijven hebben deze filosofie als een best practice omarmd. Secure by design vormt echter geen harde eis binnen de sector en wordt niet op brede schaal toegepast. Klanten hebben hier over het algemeen ook weinig weet van.

Het omarmen van secure by design wordt echter steeds belangrijker nu digitale infrastructuren worden bestookt met een ongekend aantal snelle en geavanceerde cyberbedreigingen. Zowel beginnende als ervaren cybercriminelen doen een beroep op allerhande nieuwe middelen om op grote schaal misbruik te maken van kwetsbaarheden. Dit omvat alles van de aanschaf van exploit kits op het dark web tot het gebruik van tools voor het automatiseren van cyberaanvallen.

Twaalf maanden geleden tijdens de RSA Conference 2024 onthulde de Cybersecurity and Infrastructure Security Agency (CISA) zijn Secure by Design Pledge. Dit is een belofte die softwarebedrijven kunnen ondertekenen om aan te geven dat zij veilige praktijken in hun processen voor productontwikkeling zullen inbouwen. Het doel is om de lat op het gebied van cybersecurity hoger te leggen binnen de softwaresector om te zorgen voor een reductie van systeemrisico’s binnen het digitale ecosysteem. Fortinet is er trots op om een van de eerste softwarebedrijven te zijn die deze toezegging heeft ondertekend.

De Secure by Design Pledge is echter een veelbelovende stap op weg naar de ontwikkeling en toepassing van beleid dat sofwarefabrikanten aanspoort om er meer rigoureuze beveiligingsmaatregelen op na te houden. De toezegging omvat zeven doelstellingen voor het inbouwen van beveiliging tijdens elk stadium in de levenscyclus van productontwikkeling. Softwarefabrikanten kunnen daarmee praktisch inzetbare ideeën opdoen die de realisatie van deze doelstellingen dichterbij brengen.

Hoe Fortinet invulling geeft aan CISA’s Secure by Design Pledge

Fortinet werkt al tientallen jaren volgens de principes voor veiligheid door ontwerp, en we geven regelmatig inzicht in over welke voortgang we hebben geboekt met de toepassing van, en pleitbezorging voor deze filosofie. Hier volgt een overzicht van enkele maatregelen die Fortinet heeft getroffen om de realisatie van de doelstellingen van de Secure by Design Pledge dichterbij te brengen:

  • Doelstelling 1
    Geef blijk van maatregelen die bijdragen aan een meetbare toename van het gebruik van multi-factor authentication (MFA) binnen de oplossingen van de fabrikant. Wat Fortinet heeft bereikt: Fortinet heeft MFA aangeboden voor de cloudaccounts van zijn klanten. 95% van hen maakt gebruik van dit beveiligingsmechanisme.
  • Doelstelling 2
    Geef blijk van meetbare vooruitgang met het terugdringen van het gebruik van standaardwachtwoorden binnen de producten van de fabrikant. Wat Fortinet heeft bereikt: Standaardwachtwoorden worden ontmoedigd door de Fortinet Secure Development Lifecycle Policy en zijn uit al zijn producten verbannen. Gebruikers worden tijdens de installatie gevraagd om unieke wachtwoorden in te stellen.
  • Doelstelling 3
    Geef blijk van maatregelen die bijdragen aan een significante en meetbare reductie van een of meer categorieën kwetsbaarheden binnen de producten van de fabrikant. Wat Fortinet heeft bereikt: Fortinet heeft maatregelen getroffen die SQL-injecties en buffer overflows tegengaan. We hanteren hiervoor een continu proces dat ook voor toekomstige versies van onze oplossingen zal worden toegepast.
  • Doelstelling 4
    Geef blijk van maatregelen die klanten hebben genomen om te zorgen voor een meetbare toename van de installatie van beveiligingsupdates. Wat Fortinet heeft bereikt: Fortinet heeft belangrijke stappen op dit gebied gezet met de introductie van een functie voor automatische updates. Deze heeft sinds haar introductie ruim een miljoen apparaten bijgewerkt met updates en daarmee een substantiële bijdrage geleverd aan de beveiliging van onze klanten.
  • Doelstelling 5
    Publiceer een beleid voor de openbaarmaking van kwetsbaarheden (vulnerability disclosure policy; VDP). Wat Fortinet heeft bereikt: Fortinet is lid van het Forum of Incident Response & Security Teams (FIRST). Deze organisatie biedt meer dan 600 leden uit ruim 100 landen de mogelijkheid om doelstellingen, ideeën en informatie uit te wisselen ten aanzien van de omgang met beveiligingsincidenten en de ontwikkeling van programma’s voor incidentrespons. Op basis van de lessen die we met FIRST opdoen zorgen we voor consistente communicatie over kwetsbaarheden met onze klanten. Fortinet heeft daarnaast zijn VDP openbaar gemaakt via de beleidspagina van zijn Product Security Incident Response Team (PSIRT) en een Security.txt-bestand.
  • Doelstelling 6
    Geef blijk van transparante rapportage over kwetsbaarheden. Wat Fortinet heeft bereikt: Fortinet hanteert sinds jaar en dag een programma dat bijdraagt aan radicaal transparante communicatie over common vulnerabilities & exposures (CVE’s). We hebben in elke CVE-publicatie common weakness enumeration (CWE)- en common platform enumeration (CPE)-informatievelden opgenomen. Fortinet zet zich daarnaast in voor proactieve en transparante openbaarmaking van kwetsbaarheden via zijn robuuste PSIRT-programma.
  • Doelstelling 7
    Geef blijk van een meetbare toename van het vermogen van klanten om bewijs te verzamelen voor indringingspogingen die verband houden met de producten van de fabrikant. Wat Fortinet heeft bereikt: Het FortiOS biedt versie 7.4.4 nieuwe functies voor het controleren van de integriteit van het bestandssysteem. Deze zorgen voor de detectie en vastlegging van onbevoegde wijzigingen van bestanden of toevoegingen daaraan. Fortinet zal nieuwe functies blijven toevoegen aan toekomstige versies van het FortiOS.

Fortinet vult dit aan met maatregelen die niet aan bod komen in de CISA Secure by Design Pledge, zoals:

  • Regelmatige gedetailleerde tests en audits van programmatuur en penetratietests door een externe partij
  • Management op basis van prestatiedoelstellingen ten aanzien van de kwaliteit van programmatuur
  • De lancering van een openbaar bug bounty-programma, dat iedereen uitnodigt om fouten en kwetsbaarheden op te sporen
  • Fortinet levert regelmatig bijdragen aan samenwerkingsverbanden op het gebied van cybersecurity, zoals de Network Resilience Coalition, de Joint Cyber Defense Collaborative (JCDC) en de Cyber Threat Alliance (CTA). Het doel is onder meer om bedreigingsinformatie uit te wisselen en strategieën te ontwikkelen die bijdragen aan veerkrachtiger beveiliging.

Een blik op de toekomst

Bij Fortinet blijven we initiatieven ontplooien die onze klanten aanmoedigen om patches en upgrades te installeren. We houden de impact van deze maatregelen voor het verbeteren van de beveiliging nauwgezet bij. En we begrijpen ook het belang van een branchebrede toepassing van de principes van secure by design. Die is nodig om voor een veerkrachtiger digitaal ecosysteem te zorgen. Dit vraagt om intensieve ondersteuning door, en samenwerking tussen organisaties in de publieke en private sector. We zullen ons steentje blijven bijdragen aan de inspanningen van organisaties zoals CISA en MITRE voor de ontwikkeling en toepassing van nieuwe beveiligingsstandaarden die de hele wereld aan verbeterde cyberweerbaarheid helpen.

Over Fortinet
Dit is een artikel van Fortinet. U kunt meer lezen van deze partner op deze pagina.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren

Meer van Fortinet

Digitale Toekomst EU | Fortinet
AI versus AI: AI Act in Cybersecurity
Data en AI | Fortinet
Cybersecurityproducten, de AI-verordening en de CRA
Digitale Toekomst EU | Fortinet
Digital Networks Act: veilige en veerkrachtige connectiviteit voor bloeiende Europese economie