Sophos安全设计2025进展

承诺践行一周年

2024年，我们成为首批承诺践行CISA安全设计倡议的组织之一。该倡议与我们围绕透明度的核心组织价值观高度契合，持续指引着我们评估和改进安全实践。

在发布改进承诺一周年之际，我们很高兴公开分享在安全设计框架七大核心支柱方面取得的进展。虽然我们对本年度的进展感到自豪，但计划总会变化，我们尚未完全实现所有目标。敬请期待更多更新，以及即将发布的新年度承诺。

我们的承诺：年度回顾

多因素认证（MFA）

2024年承诺： 我们承诺在Sophos Central中发布通行密钥支持，并公布这种更强MFA机制的采用统计数据。

实施成果：

• 2024年11月向所有Sophos Central客户推出通行密钥支持
• 提供防网络钓鱼的无密码登录体验，增强认证安全性
• 自2024年12月推出以来，已有超过20%的Central认证使用通行密钥
• 同时禁止使用SMS等传统MFA机制，要求用户在下一次登录时注册基于时间的一次性密码或通行密钥MFA

图1：2024年12月至2025年7月Sophos Central MFA机制采用情况

默认密码

2024年承诺： 我们承诺在所有当前和未来产品及服务中继续禁止默认凭据。

实施成果：

• 始终坚持该设计原则并在产品开发中持续贯彻
• Sophos产品生成强唯一凭据，或要求用户在设置时提供复杂密码
• 有效降低未授权访问可能性

减少整体漏洞类别

2024年承诺： 在Sophos Firewall v21中，我们承诺容器化与Central管理相关的关键服务，增加信任边界和工作负载隔离。此外，SFOS v22将包含广泛的架构重新设计，更好地容器化Sophos Firewall控制平面，进一步减少RCE漏洞的可能性和影响。

实施成果：

• 采用基于风险的优先级方法处理容器化工作负载
• 在Sophos Firewall中提供更好的工作负载隔离
• SFOS v21和v21.5版本已包含首批重要改进
• SFOS v22的控制平面重构细节将在后续文章中分享（计划2025年底发布）

安全补丁

2024年承诺： 我们承诺在2025年9月前发布功能，使客户能够自动安排Sophos Firewall固件更新。

实施成果：

• 计划在2025年晚些时候发布的SFOS v22中包含自动安排固件更新功能
• 目前99.41%的客户防火墙受益于自动接收OS级补丁
• 自动补丁部署功能得到广泛采用

漏洞披露政策

2024年承诺：

• 通过发布博客文章审查发现和经验教训，提高透明度并增加行业集体知识
• 提高安全研究人员的最高奖励金额

实施成果：

• 本年度审核了800多个Sophos产品漏洞赏金提交
• 自2017年12月启动计划以来，已向研究社区奖励超过50万美元
• Sophos在Bugcrowd平台上位列提供最高奖励的供应商前列

关键改进：

• 将Windows Intercept X产品的最高奖励提高2万美元，P1提交现在可获得8万美元
• 为Central中的P1发现新增最高5万美元奖励
• 2025年初收购Secureworks后，将高级漏洞赏金范围扩展至Taegis和Redcloak

我们在Sophos信任中心推出了新的根本原因分析专区，发布了最近事件的RCA。计划在今年晚些时候的后续文章中分享从漏洞赏金计划中获得的见解和经验教训。

CVE

2024年承诺： 我们承诺扩展内部流程，持续为产品中所有识别出的高危或严重内部漏洞发布外部CVE。

实施成果：

• 已通过扩展内部流程满足此承诺
• 确保任何内部识别并评估为高危或严重级别的漏洞都准备进行外部CVE发布
• 虽然尚未发现符合发布阈值的漏洞，但更新后的流程已完全就位
• 透明发布内部发现问题的CVE有助于客户更好理解产品安全状况

入侵证据

2024年承诺： 我们承诺在Sophos Central中提供额外的集成功能，简化审计日志向第三方的摄取，目标在2025年7月前实施。

实施成果：

• 已朝着该目标取得基础性进展
• 由于2025年初收购Secureworks带来的组织变化和新产品机会，需要调整时间表
• 我们仍然完全致力于此承诺，将在推出改进时继续提供更新

下一步计划

在回顾去年承诺的进展后，我们现在专注于前方的道路。在不久的将来，我们将分享为来年制定的更新承诺——基于我们学到的经验、取得的进展以及仍需努力的地方。我们的使命始终如一：按照安全设计原则，持续加强产品的安全性、透明度和可信度。