Sophos安全设计2025进展:多因素认证与漏洞管理实践

本文详细介绍了Sophos在CISA安全设计倡议框架下的年度进展,涵盖多因素认证部署、默认密码消除、漏洞容器化隔离、安全补丁自动化、漏洞披露政策升级等核心安全技术实践。

Sophos安全设计2025进展

一年过去,我们很高兴分享在安全设计承诺方面取得的进展。

承诺回顾:一年成果

多因素认证(MFA)

2024年承诺:在Sophos Central发布通行密钥支持并公布采用统计数据。

实施进展

  • 2024年11月向所有Sophos Central客户推出通行密钥支持,提供防钓鱼的无密码登录体验
  • 自2024年12月推出以来,超过20%的Central认证使用通行密钥
  • 已禁止使用SMS等传统MFA机制,要求用户在下一次登录时注册基于TOTP或通行密钥的MFA

图1:2024年12月至2025年7月Sophos Central MFA机制采用情况

默认密码

2024年承诺:在所有当前和未来产品服务中持续禁止默认凭证。

实施进展

  • 保持该设计原则,产品生成强唯一凭证或要求用户在设置时提供复杂密码
  • 持续降低未授权访问可能性

减少整体漏洞类别

2024年承诺

  • SFOS v21中容器化Central管理相关关键服务,增加信任边界和工作负载隔离
  • SFOS v22将包含全面架构重新设计,更好容器化Sophos防火墙控制平面,减少RCE漏洞可能性和影响

实施进展

  • 采用基于风险的优先级方法处理容器化工作负载
  • SFOS v21和v21.5版本已对最重要和暴露的服务进行初步改进
  • SFOS v22控制平面重新架构细节将在后续文章中分享(计划2025年底发布)

安全补丁

2024年承诺:2025年9月前发布功能,使客户能自动安排Sophos防火墙固件更新。

实施进展

  • 计划在SFOS v22版本中包含自动安排固件更新功能(2025年底发布)
  • 目前99.41%客户防火墙受益于自动接收OS级热修复
  • 自动热修复部署功能得到广泛采用

漏洞披露政策

2024年承诺

  • 发布博客文章分享漏洞披露计划发现和经验教训
  • 提高安全研究人员最高奖励金额

实施进展

  • 2024年6月以来持续投资公共漏洞赏金计划
  • 今年评审超过800个Sophos产品漏洞提交
  • 自2017年12月计划启动以来,向研究社区奖励超过50万美元
  • Sophos现位列Bugcrowd提供最高每有效发现奖励的顶级供应商之列

关键改进

  • Windows Intercept X产品最高奖励增加2万美元,P1提交现可获8万美元
  • Central的P1发现新增最高5万美元奖励
  • 2025年初收购Secureworks后,将Taegis和Redcloak纳入高级漏洞赏金范围

计划今年晚些时候分享漏洞赏金计划的见解和经验教训。

CVE管理

2024年承诺:扩展内部流程,持续为所有识别的高危或严重内部漏洞发布外部CVE。

实施进展

  • 已扩展内部流程,确保任何内部识别且评估为高危或严重级别的漏洞都准备进行外部CVE发布
  • 虽然尚未发现符合发布阈值的漏洞,但更新流程已完全就位
  • 透明发布内部发现问题的CVE有助于客户更好理解产品安全状况

入侵证据

2024年承诺:2025年7月前在Sophos Central提供额外集成功能,简化审计日志向第三方摄入。

实施进展

  • 已朝着目标取得基础进展
  • 因2025年初收购Secureworks带来的组织变革和新产品机会,需要调整时间表
  • 仍完全致力于此承诺,将在推出改进时持续提供更新

下一步计划

在回顾去年承诺进展后,我们现专注于未来道路。近期将分享为来年制定的更新承诺——基于所学知识、已取得的进展和仍需努力的方向。我们的使命始终如一:持续加强产品的安全性、透明度和可信度,符合安全设计原则。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次