Categories
W obliczu coraz częstszych cyberataków i oprogramowania ransomware, cyberZabezpieczenia stało się najważniejszym zagadnieniem zarówno dla firm, jak i użytkowników indywidualnych. QNAP dostrzega kluczowe znaczenie cyberbezpieczeństwa dla zaufania użytkowników i stabilności produktów. Poprzez Zespół ds. Reagowania na Incydenty Bezpieczeństwa Produktów (PSIRT), QNAP nieustannie wzmacnia mechanizmy zarządzania cyberbezpieczeństwem, osiągając doskonałe wyniki w zakresie reagowania na luki, kontroli ryzyka i globalnej współpracy.
Współpraca z globalną społecznością cyberbezpieczeństwa w celu wzmocnienia odporności na zagrożenia
QNAP aktywnie uczestniczy w globalnym ekosystemie cyberZabezpieczenia, budując ścisłą współpracę z organizacjami badawczymi ds. bezpieczeństwa oraz społecznością white-hat. W ostatnich latach QNAP kontynuuje sponsorowanie inicjatywy Trend Micro Zero Day Initiative (ZDI) oraz bierze udział w światowej sławy konkursach z zakresu cyberbezpieczeństwa, takich jak Pwn2Own Ireland i Matrix Cup, doskonaląc umiejętności obsługi podatności poprzez praktyczne ćwiczenia. Podczas tych konkursów dedykowany zespół QNAP również niezwłocznie analizuje i łata ujawnione luki, jednocześnie wydając użytkownikom powiadomienia o aktualizacjach systemu operacyjnego.
Jednocześnie QNAP współpracuje z ponad setką badaczy cyberZabezpieczenia na całym świecie, promując skoordynowane ujawnianie i naprawianie podatności, obejmujące różne aspekty, takie jak interfejsy webowe, usługi backendowe i luki w oprogramowaniu układowym. Francuski ekspert ds. cyberbezpieczeństwa, Thomas Fady, również pochwalił nasze działania: „W ciągu ostatnich dwóch lat QNAP ściśle z nami współpracował, proaktywnie śledząc rozwój sytuacji w zakresie bezpieczeństwa i reagując szybko oraz skutecznie. Wyraźnie widzimy ich rosnące zaangażowanie w cyberbezpieczeństwo oraz znaczne postępy, jakie osiągnęli.”
Przegląd osiągnięć QNAP PSIRT w 2024 roku
W minionym roku zespół QNAP PSIRT wykazał się wysoką efektywnością i przejrzystością w raportowaniu i reagowaniu na incydenty, osiągając następujące konkretne wyniki:
- Opublikowano ponad 40 porad Zabezpieczenia, obejmujących poprawki luk, pilne zalecenia oraz rekomendacje dotyczące Zabezpieczenia
- Przydzielono ponad 100 identyfikatorów Common Vulnerabilities and Exposures (CVE), wspierając globalną bazę danych cyberbezpieczeństwa
- Przyznano łącznie nagrody przekraczające 1 milion NT$ w ramach Program nagród za wykrycie luk bezpieczeństwa, obejmując zarówno kanały ujawniania wewnętrznego, jak i zewnętrznego
Czas reakcji na luki wysokiego ryzyka jest również bardzo szybki:
- Analiza podatności została zakończona średnio w ciągu 9 godzin
- Wydano poprawki w ciągu 14 godzin
- Raporty z incydentów i wskazówki dla użytkowników wydano w ciągu 24 godzin
Integracja między działami w celu proaktywnego rozwoju Zabezpieczenia
QNAP PSIRT przyjmuje strukturę opartą na komitecie, w której działy R&D, Zabezpieczenia, prawny, wsparcia klienta i marketingu wspólnie uczestniczą w zarządzaniu cyberZabezpieczenia. W pełni wdrożono również proces DevSecOps, przeprowadzając automatyczne analizy statyczne i dynamiczne Zabezpieczenia na etapie przesyłania kodu, aby kontrole bezpieczeństwa stały się integralną częścią codziennego rozwoju. Ponadto stale integrowane są narzędzia do automatycznego skanowania, co dodatkowo zwiększa dokładność wykrywania podatności.
Budowanie wielowarstwowej obrony: równoczesne wdrażanie strategii tworzenia kopii zapasowych i wykrywania anomalii
W odpowiedzi na coraz bardziej zaawansowane zagrożenia ransomware, QNAP oferuje kompleksowe rozwiązania dla użytkowników, obejmujące od kopii zapasowych dane po wykrywanie anomalii w sieci. Hybrid Backup Center zapewnia scentralizowane zarządzanie operacjami tworzenia i przywracania kopii zapasowych na wielu serwerach NAS. Funkcja Airgap+, zintegrowana z QHora Router, automatycznie izoluje sieć podczas operacji tworzenia kopii zapasowych, skutecznie zmniejszając ryzyko ujawnienia dane. Dodatkowo rozwiązanie ADRA NDR (ang. Network Detection and Response) zapewnia proaktywne wykrywanie i ochronę sieci wewnętrznej, szybko identyfikując boczne ruchy złośliwego oprogramowania oraz nietypowe zachowania połączeń w sieci, co dodatkowo wzmacnia ochronę sieci wewnętrznej.
W zakresie działań edukacyjnych QNAP regularnie publikuje przewodniki konfiguracyjne Zabezpieczenia, instruktażowe film oraz przykłady najlepszych praktyk co kwartał, aby pomóc użytkownikom Pomoc wdrażać proaktywne strategie obrony. Wbudowane mechanizmy, takie jak kontrola App Armor Uprawnienia i zabezpieczenia CGI, są również stale udoskonalane, aby jeszcze bardziej zwiększyć ogólną ochronę cyberbezpieczeństwa.
Zwiększanie przejrzystości łańcucha dostaw oprogramowania i zarządzania AI Zabezpieczenia
W 2025 roku QNAP oficjalnie wdrożył SBOM (ang. Software Bill of Materials) framework, aby zapewnić, że wszystkie zewnętrzne komponenty open source używane w produktach mają pełne listy oraz informacje licencyjne, umożliwiając szybką ocenę ryzyka i naprawę w przypadku wykrycia podatności Zabezpieczenia w danym komponencie. Jednocześnie, w odpowiedzi na rozwój AI, QNAP ustanowił standaryzowaną procedurę przeglądu kodu GenAI, wzmacniając kontrolę jakości kodu i cyberbezpieczeństwo już na wczesnych etapach rozwoju. Takie wielowarstwowe podejście zapobiega potencjalnym podatnościom i wyciekom wrażliwych dane, wzmacniając ogólną odporność na zagrożenia cybernetyczne.
Nieustanna droga do zarządzania cyberbezpieczeństwem – QNAP nieustannie idzie naprzód
Od reagowania na incydenty cyberbezpieczeństwa i proaktywnego rozwoju, przez współpracę ze społecznością i innowacje w polityce, QNAP konsekwentnie przestrzega zasad przejrzystości, elastyczności i współpracy, aby wzmacniać zarządzanie cyberbezpieczeństwem. QNAP będzie nadal realizować swoje zobowiązania w zakresie cyberbezpieczeństwa, wzmacniając wewnętrzne i zewnętrzne mechanizmy wykrywania i kontroli ryzyka, zapewniając użytkownikom na całym świecie bezpieczniejsze, bardziej odporne i godne zaufania środowisko cyfrowe Pamięć masowa i Łączność sieciowa.
