
Con l’aumento degli attacchi informatici e dei ransomware, la cyberSicurezza è diventata la principale preoccupazione sia per le aziende che per gli utenti individuali. QNAP riconosce l’importanza fondamentale della cybersecurity per la fiducia degli utenti e la stabilità dei prodotti. Attraverso il proprio Product Security Incident Response Team (PSIRT), QNAP rafforza continuamente i propri meccanismi di governance della sicurezza informatica, dimostrando risultati eccellenti nella risposta alle vulnerabilità, nel controllo dei rischi e nella collaborazione globale.
Unire le forze con la comunità globale della cybersecurity per rafforzare la resilienza informatica
QNAP partecipa attivamente all’ecosistema globale della cyberSicurezza, costruendo strette collaborazioni con organizzazioni di ricerca sulla sicurezza e la comunità white-hat. Negli ultimi anni, QNAP ha continuato a sponsorizzare la Zero Day Initiative (ZDI) di Trend Micro e ha partecipato a competizioni di cybersecurity di fama mondiale come Pwn2Own Ireland e la Matrix Cup, migliorando le proprie capacità di gestione delle vulnerabilità attraverso esercitazioni pratiche. Durante queste competizioni, il team dedicato di QNAP analizza tempestivamente e corregge le vulnerabilità divulgate, emettendo contemporaneamente notifiche di aggiornamento del sistema operativo agli utenti.
Allo stesso tempo, QNAP collabora con oltre cento ricercatori di cyberSicurezza in tutto il mondo per promuovere meccanismi coordinati di divulgazione e risoluzione delle vulnerabilità, coprendo vari aspetti tra cui interfacce web, servizi backend e vulnerabilità del firmware. L’esperto francese di cybersecurity Thomas Fady ha inoltre elogiato i nostri sforzi: «Negli ultimi due anni, QNAP ha lavorato a stretto contatto con noi, monitorando proattivamente gli sviluppi della sicurezza e rispondendo in modo rapido ed efficace. Abbiamo chiaramente visto il loro crescente impegno nella cybersecurity, così come i notevoli progressi raggiunti.»
Panoramica dei risultati ottenuti da QNAP PSIRT nel 2024
Nell’ultimo anno, QNAP PSIRT ha dimostrato grande efficienza e trasparenza nella segnalazione e nella risposta agli incidenti, con i seguenti risultati concreti:
- Pubblicati oltre 40 avvisi di Sicurezza, riguardanti correzioni di vulnerabilità, linee guida di emergenza e raccomandazioni di Sicurezza
- Assegnati oltre 100 ID Common Vulnerabilities and Exposures (CVE), contribuendo al database globale della cybersecurity
- Distribuiti premi cumulativi superiori a 1 milione di NT$ tramite Programma di ricompensa per le vulnerabilità di sicurezza, coprendo sia i canali di divulgazione interni che esterni
I tempi di risposta per le vulnerabilità ad alto rischio sono anch’essi rapidi:
- Completata l’analisi delle vulnerabilità in una media di 9 ore
- Rilasciate patch entro 14 ore
- Emessi report sugli incidenti e linee guida per gli utenti entro 24 ore
Integrazione tra i reparti per ottenere uno sviluppo proattivo della Sicurezza
QNAP PSIRT adotta una struttura basata su comitato, con i reparti R&D, Sicurezza, legale, supporto clienti e marketing che partecipano collaborativamente alla governance della cyberSicurezza. Ha inoltre implementato completamente il processo di sviluppo DevSecOps, conducendo analisi Sicurezza statiche e dinamiche automatizzate nella fase di invio del codice per rendere i controlli di sicurezza parte integrante dello sviluppo quotidiano. Inoltre, integra continuamente strumenti di scansione automatizzata per migliorare ulteriormente l’accuratezza del rilevamento delle vulnerabilità.
Costruire una difesa a più livelli: implementazione simultanea di strategie di backup e rilevamento delle anomalie
In risposta alle minacce ransomware sempre più sofisticate, QNAP offre soluzioni complete per gli utenti, che vanno dal backup dati al rilevamento delle anomalie di rete. Il Hybrid Backup Center fornisce una gestione centralizzata per le operazioni di backup e ripristino multi-NAS. La funzione Airgap+, integrata con QHora Router, isola automaticamente la rete durante le operazioni di backup, riducendo efficacemente il rischio di esposizione dati. Inoltre, la soluzione ADRA NDR (Network Detection and Response) offre un rilevamento e una difesa proattiva della rete interna, identificando rapidamente i movimenti laterali di malware e i comportamenti di connessione anomali all’interno della rete, rafforzando ulteriormente la protezione della rete interna.
In termini di sensibilizzazione, QNAP pubblica regolarmente guide di configurazione Sicurezza, video didattici e esempi di best practice ogni trimestre per Guida aiutare gli utenti ad adottare strategie di difesa proattiva. I meccanismi integrati come i controlli App Armor Autorizzazione e le protezioni CGI vengono inoltre continuamente migliorati per rafforzare ulteriormente le difese complessive di cybersecurity.
Avanzamento della trasparenza nella supply chain software e governance AI Sicurezza
Nel 2025, QNAP ha implementato ufficialmente il Framework SBOM (Software Bill of Materials) per garantire che tutti i componenti open-source di terze parti utilizzati nei suoi prodotti abbiano elenchi e informazioni sulle licenze completi, consentendo una rapida valutazione e risoluzione dei rischi ogni volta che viene rilevata una vulnerabilità Sicurezza in un componente. Allo stesso tempo, in risposta alla crescita dello sviluppo AI, QNAP ha stabilito una procedura standardizzata di revisione del codice GenAI, rafforzando il controllo della qualità del codice e la cybersecurity fin dalle prime fasi di sviluppo. Questo approccio multilivello previene potenziali vulnerabilità e fughe di dati sensibili, rafforzando la resilienza complessiva della cybersecurity.
Il percorso continuo della governance della cybersecurity, QNAP continua a progredire
Dalla risposta agli incidenti di cybersecurity e sviluppo proattivo alla collaborazione con la comunità e all’innovazione delle policy, QNAP mantiene costantemente i principi di trasparenza, agilità e cooperazione per rafforzare la propria governance della cybersecurity. QNAP continuerà ad agire secondo i propri impegni in materia di cybersecurity migliorando i meccanismi di rilevamento e controllo dei rischi interni ed esterni, offrendo agli utenti di tutto il mondo un ambiente digitale Archiviazione e Rete più sicuro, resiliente e affidabile.