Con soluciones tecnológicas integradas en casi todos los elementos de nuestras actividades personales y empresariales, es esencial que todo el software, sea cual sea su función, se diseñe con la ciberseguridad como requisito básico. Si no incorporamos la seguridad como primer principio, no podremos alcanzar el objetivo de un ecosistema digital digno de confianza.
Para acelerar la adopción de un enfoque basado en la seguridad, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE.UU. lanzó su inicativa Secure by Design el 8 de mayo de 2024. Sophos se enorgullece de figurar entre las primeras organizaciones en comprometerse con la iniciativa, que se centra en siete pilares fundamentales de la seguridad de la tecnología y los productos:
-
Autenticación multifactor
-
Contraseñas por defecto
-
Reducción de clases enteras de vulnerabilidades
-
Parches de seguridad
-
Política de divulgación de vulnerabilidades
-
CVE
-
Pruebas de intrusiones
Firmar este compromiso es
-
Un compromiso con los principios de Secure by Design
-
Un compromiso con la transparencia y la mejora continua de la ciberseguridad
-
Un reconocimiento de que todos los proveedores deben asumir la plena responsabilidad de garantizar la seguridad e integridad de las tecnologías que diseñan, desarrollan y venden
Nos complace compartir públicamente nuestro estado actual y nuestras promesas con respecto a cada uno de los siete pilares del marco Secure by Design y nos comprometemos a proporcionar actualizaciones periódicas sobre nuestro progreso hacia ellos.
Alineados con la filosofía de Sophos
Como CISO, dirijo un equipo multifuncional que incluye especialistas en arquitectura de seguridad y seguridad de aplicaciones que trabajan estrechamente con nuestros equipos de ingeniería para diseñar y construir nuestras soluciones.
Trabajamos juntos para garantizar la integridad continua y en constante evolución de nuestras soluciones para los futuros clientes y las 600.000 organizaciones que ya confían en ellas.
Entendemos que la confianza debe ganarse y verificarse, por lo que la transparencia es una piedra angular de la filosofía de Sophos desde hace mucho tiempo.
La ciberseguridad es un reto debido a la naturaleza inherente de lo que se necesita para defenderse de los atacantes activos y reconocemos que la verdadera transparencia significa compartir tanto las áreas de desarrollo como los éxitos. En este artículo, y en otros futuros, reconocemos que en todo el sector y dentro de nuestra propia organización queda trabajo por hacer. No se trata de una iniciativa que CISA haya creado de una vez por todas, sino de una forma de pensar y un marco muy necesarios que deberían incorporarse al diseño y la arquitectura de las soluciones de seguridad. Agradecemos cualquier comentario constructivo sobre cómo estamos abordando los siete pilares.
Nuestros compromisos de Secure by Design
Autenticación multifactor (MFA)
Sophos Central, nuestra consola de seguridad unificada, aplica MFA por defecto. Los clientes también pueden utilizar su propia MFA mediante autenticación federada. Ambas opciones están disponibles sin coste adicional.
La mayoría de nuestros productos se gestionan únicamente mediante Sophos Central. Cuando nuestros productos de red permiten la gestión directa, las interfaces administrativas también admiten MFA, pero recomendamos encarecidamente a los clientes que gestionen los dispositivos a través de Sophos Central para evitar la exposición innecesaria de las interfaces de gestión.
Además, nuestros datos identifican que los clientes corren más riesgos cuando exponen las interfaces de gestión a Internet. En nombre de nuestros clientes, hemos emprendido un esfuerzo sostenido para reducir esta exposición. Por ejemplo, desactivamos activamente los portales de administración que no se utilizan en nuestra plataforma Sophos Firewall. En los últimos 18 meses, esto ha reducido las interfaces administrativas expuestas a Internet en nuestra base de clientes en un 21,5%, y nuestro objetivo es seguir mejorando.
Compromiso:
En los próximos 12 meses, nos comprometemos a lanzar la compatibilidad con passkey en Sophos Central y a publicar estadísticas de adopción de este mecanismo MFA más seguro.
Contraseñas por defecto
Sophos Firewall garantiza un despliegue seguro desde el primer arranque, exigiendo a los usuarios que creen contraseñas seguras al configurar el dispositivo. Sin completar este paso, es imposible configurar y utilizar los dispositivos de red para los fines previstos. Para proteger aún más los secretos y claves almacenados en el dispositivo, los administradores deben proporcionar una credencial secundaria que se utiliza para cifrar los datos confidenciales en Sophos Firewall.
Aprovechando las capacidades de gestión de Sophos Central, ahora es posible realizar despliegues completos de Sophos Firewall mediante la funcionalidad Zero Touch respaldada por TPM.
Compromiso:
Nos comprometemos a seguir rechazando las credenciales por defecto en todos los productos y servicios actuales y futuros.
Reducción de clases enteras de vulnerabilidades
Sophos hace un uso extensivo de lenguajes y marcos de trabajo modernos y seguros en memoria, diseñados para evitar sistemáticamente los errores más comunes del Top 10 de OWASP, como XSS y SQLi. Sophos Central está escrito únicamente en lenguajes seguros para la memoria.
Para todos los CVE críticos identificados en los productos de Sophos, nuestro objetivo es eliminar sistemáticamente el problema subyacente en lugar de solucionar únicamente la vulnerabilidad identificada. Por ejemplo, en 2020, cuando Sophos reveló una CVE debida a que un componente heredado no parametrizaba adecuadamente las consultas SQL, Sophos llevó a cabo una iniciativa a gran escala para identificar y eliminar todas las consultas SQL heredadas no parametrizadas en todo el producto.
En SFOS v20, Sophos reescribió el portal de aprovisionamiento VPN de Sophos Firewall, un servicio crítico para la seguridad en Internet, en Go para mejorar la seguridad de la memoria y protegerse de las vulnerabilidades causadas por desbordamientos de búfer. Sophos lanzó SFOS v20 en noviembre de 2023.
Compromiso:
En la versión v21 de SFOS, nos comprometemos a contenerizar servicios clave relacionados con la gestión central para añadir límites de confianza adicionales y aislamiento de la carga de trabajo. Además, SFOS v22 incluirá un amplio rediseño de la arquitectura, que contendrá mejor el plano de control de Sophos Firewall, reduciendo aún más la probabilidad y el impacto de las vulnerabilidades RCE.
Parches de seguridad
Los clientes reciben automáticamente actualizaciones de seguridad para todos los servicios de Sophos SaaS, incluido Sophos Central, sin necesidad de intervención manual. Sophos Firewall y Sophos Endpoint también reciben e instalan automáticamente parches de seguridad a medida que se publican, como parte de su configuración predeterminada.
Aunque los clientes de Sophos Firewall pueden desactivar manualmente esta función si es necesario, el 99,26% de nuestros clientes la mantienen activada, lo que demuestra su confianza en nuestras rigurosas pruebas de lanzamiento.
Compromiso:
Ejecutar la última versión del firmware del firewall ofrece ventajas de seguridad adicionales, además de recibir las revisiones de seguridad por defecto. Teniendo esto en cuenta, nos comprometemos a lanzar una función para septiembre de 2025 que permita a los clientes programar automáticamente las actualizaciones del firmware de Sophos Firewall.
Política de divulgación de vulnerabilidades
Creemos que Sophos lleva a cabo un programa de divulgación responsable líder en el sector y ha tenido la suerte de beneficiarse del apoyo de los investigadores de seguridad durante muchos años. Desde 2018, hemos emitido recompensas por más de 1.200 vulnerabilidades y pagado casi 500.000 dólares a la comunidad. Nuestra política de divulgación responsable incluye disposiciones de puerto seguro para garantizar que los investigadores puedan colaborar con nosotros sin riesgo de acciones legales. Pagamos hasta 50.000 dólares por las vulnerabilidades identificadas en los productos de Sophos y aumentamos regularmente los pagos para apoyar a nuestros investigadores.
Para más detalles sobre nuestro programa Bug Bounty, consulta al CISO de Sophos, Ross McKerchar, y al CEO de Bugcrowd, Dave Gerry, sobre el programa de Sophos.
Compromiso:
Nos comprometemos a que en el plazo de un año Sophos
-
Aumentar la transparencia y contribuir al conocimiento colectivo del sector mediante la publicación de entradas de blog que revisen nuestros hallazgos y las lecciones aprendidas de nuestro programa de divulgación de vulnerabilidades.
-
Aumentar la recompensa máxima disponible para los investigadores de seguridad.
CVE
Los defectos relevantes para la seguridad son una prioridad para Sophos y se abordan de forma coherente. Existen procesos sólidos que nos permiten publicar CVE en productos locales cuando una vulnerabilidad es identificada por una fuente externa (por ejemplo, investigadores de seguridad, ejercicios de equipos rojos, etc.). Sin embargo, hemos identificado algunos casos históricos en los que no se asignó un CVE a hallazgos internos.
Actualmente no publicamos CVE para nuestros productos SaaS alojados. Creemos que se trata de una práctica estándar del sector, pero reconocemos y participamos en el debate actual del sector sobre este tema.
Compromiso:
Nos comprometemos a ampliar nuestros procesos internos para publicar sistemáticamente CVE externos para todas las vulnerabilidades internas identificadas de gravedad alta o crítica en nuestros productos.
Pruebas de intrusiones
Los productos y servicios de Sophos ofrecen funciones de registro y auditoría sin coste adicional, lo que permite a los clientes llevar a cabo respuestas a incidentes.
Compromiso:
Nos comprometemos a proporcionar capacidades de integración adicionales en Sophos Central para simplificar la ingestión de registros de auditoría en terceros, con un objetivo de implementación antes de julio de 2025.
Próximos pasos
A medida que avancemos en nuestro viaje, esperamos compartir actualizaciones periódicas sobre nuestros compromisos. Por favor, estate atento a futuras actualizaciones.