Unser Einsatz für die Sicherheit: Ein offener Brief von Ivantis CEO Jeff Abbott
An die geschätzten Kunden und Partner von Ivanti,
der Anspruch unseres Unternehmens ist es, die sichersten Lösungen für Everywhere Work zu entwickeln. Die Ereignisse der letzten Monate waren sehr ernüchternd. Und ich möchte, dass Sie direkt von mir erfahren, welche Maßnahmen wir ergreifen, um zu gewährleisten, dass wir gestärkt daraus hervorgehen und unsere Kunden noch sicherer arbeiten können.
Wir und viele andere in unserer Branche haben die zunehmende Komplexität der Bedrohungslandschaft und die spezifische Entwicklung der Taktiken der Bedrohungsakteure aus erster Hand miterlebt. Diese Aktivität hat eines unserer Produkte in den Mittelpunkt der Diskussion über kürzlich gemeldete Sicherheitsvorfälle gerückt. Wir haben darauf reagiert, indem wir intensiv daran arbeiten, unsere Kunden zu schützen und zu unterstützen. Und wir überprüfen unsere eigene Position und unsere eigenen Prozesse sehr genau, um sicherzustellen, dass wir auf die aktuelle Situation gut vorbereitet sind.
Wir nutzen diese Gelegenheit, bei Ivanti einen neuen Weg einzuschlagen. So haben wir uns der Herausforderung gestellt, jede Phase unserer Prozesse und jedes Produkt kritisch zu prüfen, um unseren Kunden den besten Schutz zu bieten. Wir haben bereits damit begonnen, die Lehren aus den jüngsten Incidents zu ziehen, um unsere eigenen technischen und sicherheitstechnischen Verfahren sofort zu verbessern. Und dies ist erst der Anfang.
Wir setzen gerade einen Plan um, der die bereits laufenden Sicherheitsinitiativen beschleunigt und verbesserte Verfahren zur frühzeitigen Erkennung, zur Verhinderung und zum Schutz vor künftigen Bedrohungen einführt. Wir haben die anerkanntesten Sicherheits- und Produktentwicklungsexperten der Branche ins Boot geholt, um das Ivanti-Team bei der Überprüfung zu unterstützen und eine erstklassige Anleitung zur Ausführung zu geben. So stellen wir sicher, dass wir unsere Verpflichtung Ihnen gegenüber einhalten, damit Ihr Unternehmen problemlos, sicher und mit einem guten Gefühl arbeiten kann. Dieser Plan wird durch eine beträchtliche Investition getragen und hat die volle Unterstützung unseres Vorstandes und aller Mitarbeitenden bei Ivanti.
Unser Weg in die Zukunft
Wir verfolgen einen umfassenden Wandel, der das Ivanti Betriebsmodell für Sicherheit grundlegend verändert. Dazu gehört:
- Wir überarbeiten die wichtigsten Verfahren in den Bereichen Technik, Sicherheit und Schwachstellenmanagement, um zu gewährleisten, dass unsere aktuellen Produkte sicher sind und die Kunden über die erforderlichen Ressourcen verfügen, um sie sicher in ihrem Unternehmen einzusetzen.
- Wir gewährleisten, dass alle von uns entwickelten Produkte nach der Methodik „Secure by Design” entwickelt werden, wobei die Sicherheit in jeder Phase des Lebenszyklus der Softwareentwicklung als Schlüsselfaktor angesehen wird.
- Wir bauen Partnerschaften mit wichtigen Cyber-Verteidigungsagenturen auf, um sicherzustellen, dass Ivanti-Produkte und die Lektionen, die wir bei ihrer Entwicklung lernen, das gesamte Sicherheitsökosystem verbessern.
- Wir geben Informationen und Erkenntnisse an unsere Kunden weiter – und holen aktives Feedback von ihnen ein, damit wir ihre Bedürfnisse weiterhin erfüllen können.
Im Folgenden skizziere ich unsere ersten Schwerpunktbereiche. Sie können davon ausgehen, dass sie sich mit dem Erreichen unserer Ziele weiterentwickeln werden.
Die Herausforderungen, mit denen wir konfrontiert sind, sind in der Softwarebranche nicht einzigartig, und wir sind entschlossen, die notwendigen Schritte zu unternehmen, um für andere richtungsweisend zu sein. Die Bedrohungsakteure entwickeln sich ständig weiter – und wir tun es auch.
Auf dieser Reise haben wir unsere Kunden (wie Sie) in den Mittelpunkt gestellt. Ihre Interessen und Ihre Partnerschaft haben für uns immer Priorität, jetzt und in Zukunft.
Mit freundlichen Grüßen
Jeff Abbott
Unser Plan für Ivantis Zukunft
1. Erhöhung der Produktsicherheit und Einführung von Secure by Design-Prinzipien.
- Einhaltung des Secure by Design-Prinzips: Unser Fokus liegt auf der Einbettung der Sicherheit in jeder Phase des Softwareentwicklungszyklus, mit robusten Prozessen, die potenzielle Schwachstellen von der Produktentwicklung bis zur Bereitstellung und darüber hinaus vorhersehen und präventiv angehen. Unser Ansatz umfasst rigorose Übungen der Bedrohungsmodellierung, die sicherstellen, dass die Sicherheit als grundlegendes Element in unseren Produkten verankert ist. Diese proaktive Haltung ist der Eckpfeiler unseres Einsatzes, der es uns ermöglicht, den Schutz für unsere Kunden zu verbessern und neuen Bedrohungen einen Schritt voraus zu sein.
- Optimierung von Produkten für Sicherheit und Kundenvertrauen: Wir arbeiten bereits an der Verbesserung der allgemeinen Sicherheitslage unseres Produktportfolios. Dazu gehört die Beschleunigung der Stack-Modernisierung unserer Netzwerksicherheitsprodukte (Ivanti Connect Secure, Policy Secure und ZTA) mit einer Vielzahl von Isolierungs- und Anti-Exploit-Technologien, um die potenziellen Auswirkungen künftiger Softwarefehler zu reduzieren. Unser Anspruch ist es, das neueste Betriebssystem in unsere Netzwerksicherheitsprodukte zu integrieren, um den Schutz für unsere Kunden zu erhöhen. Außerdem bieten wir weitere hardwarebasierte Schutzfunktionen sowie Fernüberwachungs- und Supportoptionen.
- Erleichterung der Sicherheitsanforderungen für Kunden: Wir bauen unsere Fähigkeiten aus, um Lösungen anzubieten, die sofort nach der Implementierung sicher sind (Secure by Default), und Produkte entwickeln, die optional von Ivanti verwaltet, überwacht und gesichert werden können. Wir arbeiten mit unseren Kunden zusammen, um das angemessene Maß an Überwachung und Managementverantwortung auf der Grundlage ihrer Produktlinie und ihres Branchensegments festzulegen.
- Priorisierung der kundenorientierten Sicherheit: Wir sind dabei, Ressourcen umzuleiten und neue Investitionen zu tätigen, die sich auf die Produktsicherheit im gesamten Unternehmen konzentrieren. Dazu gehören der Ausbau unserer Produktsicherheitsteams, die Schaffung von speziellen, kollaborativen Technik-Sicherheits-Pods und die Förderung eines proaktiven Ansatzes für die Modellierung von Bedrohungen, Sicherheitsüberprüfungen und verstärkte Penetrationstests in unserem gesamten Produktportfolio.
2. Verbesserung unseres Schwachstellenmanagement-Programms
- Interne und externe Forschung zur Ermittlung von Schwachstellen: Unser Ziel ist die Verbesserung der Prozesse und die Zusammenarbeit bei der Erkennung von Schwachstellen, damit wir Sicherheitsprobleme im gesamten Ivanti-Portfolio schnell erkennen, beheben und melden können. Zu diesem Zweck intensivieren wir unsere internen Beurteilungs-, manuellen Auswertungs- und Testkapazitäten, die Beauftragung vertrauenswürdiger Dritter zur Ergänzung unserer internen Forschung, und fördern die verantwortungsvolle Offenlegung von Schwachstellen durch bessere Incentives im Rahmen eines erweiterten Bug-Bounty-Programms.
- Risikobasiertes Patching und Behebung von Sicherheitslücken: Das Ziel dieses verstärkten Schwachstellenmanagement-Programms besteht darin, potenzielle Probleme sofort zu erkennen und zu beheben. Dies kann natürlich zu einer anfänglichen Spitze bei der Entdeckung und Offenlegung von Schwachstellen führen. Deshalb investieren wir zusätzlich in technische Ressourcen, Technologien und Workflow-Prozesse, um einen risikobasierten Ansatz zu unterstützen, der die durchschnittliche Zeit bis zur Behebung von Produktschwachstellen reduziert, die das größte Risiko für die Kundensysteme darstellen.
3. Verbesserte Unterstützung für sichere Produktimplementierungen vor Ort.
- Zugänglichkeit von Sicherheitsressourcen und Dokumentation im Community-Portal: Die Kunden können in den kommenden Monaten mit Erweiterungen des Community-Portals rechnen, einschließlich verbesserter Suchfunktionen, die auf KI basieren, um mehr kuratierte Ergebnisse auf der Grundlage der spezifischen Produkte, die ein Kunde verwendet, zu erhalten. Dazu gehören auch Informationen über Patches und Dokumentationen. Ferner verbessern wir das sicherheitsbezogene Engagement unserer Kunden durch die Einführung eines kundenorientierten Feedback-Lebenszyklus und andere Optimierungen der Benutzerfreundlichkeit, die sich auf die Anwendung bewährter Sicherheitsverfahren in Kundenumgebungen konzentrieren.
- Einsatz eines verbesserten und intelligenteren Interactive Voice Response (IVR)-Systems: Unser Anspruch ist es, unseren Kunden schnell und effektiv die Unterstützung zu geben, die sie benötigen. In den kommenden Monaten implementieren wir ein KI-gestütztes Interactive Voice Response (IVR)-System, das die Kundenerfahrung bei der Weiterleitung von Anrufen verbessert, Kunden auf sicherheitsrelevante Informationen zu ihrem Produkt hinweist und auf Anfrage automatisch Supportfälle eröffnet.
- Zusammenarbeit mit Kunden für die Aufrüstung auf die neuesten Plattformen: Da wir an der Verbesserung der Sicherheit unserer neuesten Versionen arbeiten, ist es auch wichtig, dass unsere Kunden von diesen Verbesserungen profitieren können, indem sie auf unseren am besten unterstützten und sichersten Plattformen laufen. Wir arbeiten mit unseren Kunden zusammen, um Spannungen zu verringern, – seien sie vertraglicher, technischer oder finanzieller Art – um die Einführung der neuesten und sichersten Lösungen und Sicherheitsverbesserungen zu erleichtern, die zum Schutz vor der aktuellen Bedrohungslandschaft entwickelt wurden.
- Praktische Hindernisse für die Sicherheitshygiene von On-Prem-Geräten überwinden: Wir wissen, dass die Verwaltung von Unternehmensnetzwerken in der Praxis ein Gleichgewicht zwischen praktischen Gegebenheiten und Einschränkungen erfordert. Wenn Kunden eine vollständige On-Prem-Lösung benötigen, möchten wir ihnen helfen, innerhalb dieser Grenzen zu arbeiten, ohne die Systemsicherheit zu gefährden. Wir arbeiten [in den kommenden Wochen] mit On-Prem-Kunden zusammen, um ihnen die Erfahrungen und bewährten Verfahren für den Betrieb ihrer Lösungen in der aktuellen Umgebung zu vermitteln.
4. Weitergabe von Informationen an unsere Kunden und die Community.
- Informationsaustausch und Transparenz: Gesunde Kundenbeziehungen sind für den Erfolg unseres Unternehmens von zentraler Bedeutung, und unsere intensive Zusammenarbeit mit den Kunden und deren Feedback während dieses Incidents haben zu einem enormen gegenseitigen Nutzen geführt. Wir wollen dafür sorgen, dass dies so bleibt. Kunden und Partner können davon ausgehen, dass Ivanti die gewonnenen Erkenntnisse weitergibt. Außerdem planen wir, unsere Kunden-Briefings mit externen Experten fortzusetzen, eine eigene Blog-Reihe zur aktuellen Bedrohungslage zu starten sowie Webinare und Diskussionsrunden zu Datenschutz- und Sicherheitsthemen mit unserer Community durchzuführen.
- Einrichtung eines Kundenbeirats: Jede der oben genannten Initiativen muss sich am Input der Kunden orientieren und auf deren Feedback abgestimmt werden. Wir institutionalisieren diesen Prozess und kündigen in den kommenden Wochen Pläne an, wie wir den Input unserer Kunden für die Produktentwicklung, die Priorisierung von Funktionen, Sicherheitsbelange und strategische Entscheidungen über unsere Produkt-Roadmaps sammeln können.