FortiGuard AntiVirus Updates: co mówi feed aktualizacji i dlaczego to krytyczne dla ochrony FortiGate/FortiClient

Wprowadzenie do problemu / definicja „luki”

W świecie bezpieczeństwa „luka” nie zawsze oznacza CVE. Bardzo często realną luką operacyjną jest opóźniona lub nieskuteczna dystrybucja aktualizacji sygnatur antywirusowych. W praktyce: urządzenie może działać poprawnie, polityki są przypięte, a mimo to ochrona jest osłabiona, bo baza detekcji nie nadąża za kampaniami malware.

W skrócie

• Feed aktualizacji pokazuje numer wersji bazy AV oraz tempo zmian (ile definicji dodano/zmodyfikowano).
• FortiGuard AntiVirus to usługa subskrypcyjna dostarczająca sygnatury + mechanizmy heurystyczne/behawioralne oraz elementy AI/ML, zintegrowana z wieloma produktami Fortinet (m.in. FortiGate, FortiClient, FortiMail, FortiWeb).
• W FortiOS (co najmniej od linii 7.2.x) istotnym elementem łańcucha zaufania jest weryfikacja paczek aktualizacji – m.in. AV/IPS są cyfrowo podpisywane i mogą być walidowane pod kątem autentyczności/integralności.
• Harmonogram aktualizacji (scheduled updates) oraz scenariusze „manual update” to najważniejsze mechanizmy zapewnienia ciągłości ochrony.

Kontekst / historia / powiązania

FortiGuard Antivirus Service jest zaprojektowany jako ciągła usługa aktualizacji ochrony przed malware – nie tylko klasyczne sygnatury, ale też techniki heurystyczne, behawioralne oraz analityka wsparta AI/ML. Fortinet podkreśla też własny mechanizm CPRL (Content Pattern Recognition Language) jako element zwiększający pokrycie detekcji, także dla wariantów, które nie mają „klasycznej” sygnatury.

W tym modelu aktualność bazy (oraz sprawny kanał dystrybucji) jest krytyczna, bo:

• kampanie malware zmieniają próbki i ładunki w godzinach, nie tygodniach,
• wiele detekcji „z pola” trafia do usług TI i wraca jako aktualizacja,
• a urządzenia w edge (FortiGate) i na endpointach (FortiClient) są często pierwszą linią obrony.

Analiza techniczna / szczegóły „feedu” aktualizacji

1) Co faktycznie oznacza „Version” w FortiGuard AntiVirus Updates

Publiczny feed aktualizacji wskazuje wersję pakietu definicji (np. 93.06391) oraz datę publikacji. Do tego dochodzi liczba rekordów New i Modified, co jest praktycznym sygnałem: czy to była „cisza” (mało zmian), czy duży rzut aktualizacji. (

To ważne w diagnostyce:

• jeśli Twoje urządzenia „stoją” na wersji sprzed kilku dni, a feed idzie do przodu – masz problem z pobieraniem,
• jeśli feed też „stoi” (brak świeżych wydań), to raczej problem po stronie publikacji (rzadkie, ale możliwe).

2) Scheduled vs manual updates

W środowiskach produkcyjnych standardem powinny być scheduled updates (automatyczne odświeżanie baz przez FortiGuard). Dokumentacja Fortinet opisuje konfigurację harmonogramów aktualizacji w sekcji FortiGuard (GUI) jako element administracji urządzeniem.

Równolegle istnieją procedury manual updates – przydatne w scenariuszach:

• środowiska odseparowane (air-gapped / ograniczony egress),
• awaria lub filtracja DNS/HTTP(S) po drodze,
• polityki proxy/SSL inspection blokujące ruch aktualizacyjny.

3) Zaufanie do paczek: podpisy cyfrowe i walidacja

Ryzyko „update channel compromise” (lub podstawienia paczki) to klasyczny problem bezpieczeństwa. Dlatego Fortinet wdraża mechanizmy weryfikacji:

• społeczność Fortinet opisuje, iż od v7.2.0 pakiety AV/IPS są podpisywane przez CA Fortinet w celu zapewnienia autentyczności i integralności.
• w dokumentacji FortiOS pojawia się też koncepcja BIOS-level signature and file integrity checking (m.in. dla firmware oraz plików silników AV/IPS), jako dodatkowa warstwa kontroli podpisu i integralności.

To nie jest „miły dodatek” – to realna redukcja ryzyka supply-chain w kanałach aktualizacji.

Praktyczne konsekwencje / ryzyko

1. Okno podatności na kampanie i warianty malware
   Jeżeli definicje są nieaktualne, wzrasta prawdopodobieństwo przepuszczenia:

• świeżych loaderów,
• nowych wariantów ransomware,
• phishingowych załączników z nowymi packerami.

2. Fałszywe poczucie bezpieczeństwa
   Polityka AV włączona ≠ skuteczna ochrona. W SOC to częsty „cichy” problem: urządzenie raportuje aktywną usługę, ale baza ma stare wydanie.
3. Niespójność ochrony w Security Fabric
   Fortinet podkreśla integracje usługi AV w wielu produktach (FortiGate, FortiClient, FortiMail, FortiWeb…). jeżeli część komponentów ma opóźnione aktualizacje, pojawiają się luki w pokryciu i różnice w detekcji.
4. Ryzyko operacyjne przy incydencie
   Podczas aktywnej kampanii malware pierwsze pytanie IR często brzmi: „jakie wersje sygnatur były na brzegu i endpointach w chwili zdarzenia?”. Feed pomaga ustalić punkt odniesienia.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań, które zwykle dają największy zwrot w stabilności aktualizacji i jakości ochrony:

1) Ustal „golden baseline” wersji

• Sprawdź w feedzie, jaka jest najnowsza wersja (obecnie: 93.06391 z 4 stycznia 2026, 06:45).
• Porównaj z wersjami na FortiGate/FortiClient (dashboard/licensing/fortiguard).
• Wprowadź alert (np. w SIEM): „urządzenie odstaje o >24h od wersji referencyjnej”.

2) Zadbaj o poprawną strategię aktualizacji (scheduled + fallback)

• Włącz i zweryfikuj scheduled updates zgodnie z możliwościami sprzętu i polityką okien serwisowych.
• Zaplanuj awaryjny tryb manual update (procedura, dostęp, odpowiedzialności).

3) Sprawdź łączność i pośredników (DNS/Proxy/SSL inspection)

Najczęstsze przyczyny „nie aktualizuje się” to:

• restrykcje egress (firewall upstream),
• filtracja DNS,
• proxy z inspekcją TLS, które psuje łańcuch zaufania,
• nietypowe trasy/VDOM-y.

4) Waliduj paczki i twardo trzymaj łańcuch zaufania

Jeżeli Twoja wersja FortiOS to obsługuje, korzystaj z mechanizmów weryfikacji podpisów paczek (AV/IPS) oraz ogólnej kontroli integralności. To ogranicza ryzyko podstawienia aktualizacji.

5) Raportuj do biznesu prostym wskaźnikiem

Dla kierownictwa najlepiej działa KPI:

• „% urządzeń z bazą AV młodszą niż 24h”
• „median age of signatures”
• „liczba urządzeń z błędami aktualizacji”

Różnice / porównania z innymi przypadkami

• Model sygnaturowy vs wielowarstwowy: Fortinet jawnie opisuje miks sygnatur, heurystyki, zachowań i AI/ML, plus integracje w Security Fabric. To podejście jest bliższe „usłudze ochrony” niż samemu plikowi definicji.
• Publiczny wskaźnik świeżości: feed aktualizacji jest praktyczny w troubleshooting (łatwo odróżnić problem lokalny od globalnego).
• Supply-chain hardening: podpisywanie paczek AV/IPS i mechanizmy weryfikacji integralności to istotny element, którego brak lub słaba implementacja bywa bolesna u różnych dostawców.

Podsumowanie / najważniejsze wnioski

Feed FortiGuard AntiVirus Updates to nie ciekawostka, tylko narzędzie operacyjne: pozwala gwałtownie ocenić, czy Twoja infrastruktura nadąża z aktualizacjami definicji AV, a w razie problemów – czy winny jest lokalny kanał aktualizacji czy brak nowych wydań po stronie dostawcy.

Jeżeli zarządzasz FortiGate/FortiClient na większą skalę, potraktuj aktualność AV jak parametr SLO: mierz, alarmuj odchylenia, miej fallback manualny i dbaj o łańcuch zaufania (podpisy/walidacja).

Źródła / bibliografia

1. FortiGuard AntiVirus Updates (wersja i data publikacji paczki AV). (fortiguard.com)
2. Fortinet – opis FortiGuard Antivirus Service (zakres, CPRL, AI/ML, integracje z produktami). (Fortinet)
3. Fortinet Docs – Scheduled updates (FortiGuard). (Fortinet Docs)
4. Fortinet Docs – Manual updates (ręczne wgrywanie aktualizacji z FDN). (Fortinet Docs)
5. Fortinet Community – walidacja paczek aktualizacji FortiGuard (podpisy AV/IPS od v7.2.0) + FortiOS integrity checking. (community.fortinet.com)