Sophos安全设计2025进展报告
概述
作为首批承诺CISA安全设计倡议的组织之一,Sophos在透明度核心价值观指导下,持续评估和改进安全实践。本文详细汇报了针对安全设计框架七大核心支柱的年度进展。
多因素认证(MFA)进展
2024年承诺:在Sophos Central发布通行密钥支持并公布采用统计数据
实施成果:
- 2024年11月向所有Sophos Central客户推出通行密钥支持
- 提供防钓鱼、无密码登录体验,增强认证安全性
- 自2024年12月推出以来,超过20%的Central认证使用通行密钥
- 已禁止使用SMS等传统MFA机制,要求用户在下一次登录时注册基于时间的一次性密码(TOTP)或通行密钥MFA
默认密码消除
2024年承诺:在所有当前和未来产品及服务中继续禁止默认凭证
实施成果:
- 保持该设计原则,产品生成强唯一凭证
- 设置时要求用户提供复杂密码,降低未授权访问可能性
减少整体漏洞类别
2024年承诺:
- 在Sophos Firewall v21中容器化Central管理相关关键服务
- SFOS v22包含广泛架构重新设计,更好容器化防火墙控制平面
实施成果:
- 采用基于风险的优先级方法处理容器化工作负载
- SFOS v21和v21.5版本包含首批改进,从最重要和暴露的服务开始
- SFOS v22控制平面重新架构细节将在后续文章中分享(计划2025年底发布)
安全补丁自动化
2024年承诺:2025年9月前发布功能,使客户能自动安排Sophos Firewall固件更新
实施成果:
- 计划在SFOS v22版本中包含自动安排固件更新功能(2025年底发布)
- 目前99.41%客户防火墙受益于自动接收OS级热修复
- 广泛采用自动热修复部署功能
漏洞披露政策增强
2024年承诺:
- 发布博客文章分享漏洞披露计划发现和经验教训
- 提高安全研究人员最高奖励金额
实施成果:
- 2024年6月以来继续投资公共漏洞赏金计划
- 今年审核超过800个Sophos产品漏洞提交
- 自2017年12月启动计划以来,向研究社区奖励超过50万美元
- Sophos在Bugcrowd供应商中排名前列,提供每个有效发现的最高奖励
关键改进:
- Windows Intercept X产品最高奖励增加2万美元,P1提交现在可获得8万美元
- Central的P1发现新增最高5万美元奖励
- 扩展高级漏洞赏金范围,包含Taegis和Redcloak中的有效漏洞(2025年初收购Secureworks后)
新增功能:
- Sophos信任中心推出根本原因分析(RCA)专区,发布最近事件的RCA
- 计划今年晚些时候在后续文章中分享漏洞赏金计划的见解和经验教训
CVE发布流程
2024年承诺:扩展内部流程,持续为产品中所有识别的高危或严重内部漏洞发布外部CVE
实施成果:
- 通过扩展内部流程满足此承诺,确保任何内部识别且评估为高危或严重级别的漏洞都准备进行外部CVE发布
- 虽然尚未发现符合发布阈值的漏洞,但更新流程已完全就位,支持持续透明披露
入侵证据整合
2024年承诺:在Sophos Central中提供额外集成功能,简化审计日志摄取到第三方,目标在2025年7月前实施
实施成果:
- 已在此目标上取得基础进展
- 因2025年初收购Secureworks带来的重大组织变化和新产品机会,调整了时间表
- 完全致力于此承诺,将在推出改进时继续提供更新
下一步计划
在回顾去年承诺进展后,Sophos现在专注于未来道路。近期将分享为来年制定的更新承诺,基于所学知识、已取得的进展和仍需努力的领域。使命保持不变:持续加强产品的安全性、透明度和可信度,符合安全设计原则。