Secure by Design
Products and Services PRODUCTS & SERVICES

Sophos rivela i progressi compiuti nell’ambito del suo impegno per l’iniziativa Secure by Design del CISA

Siamo lieti di condividere apertamente i nostri impegni e i progressi che stiamo compiendo in ciascuno dei sette pilastri fondamentali della sicurezza dei prodotti nel quadro di Secure by Design

Considerando che le soluzioni tecnologiche sono integrate in quasi tutti gli elementi delle nostre attività personali e lavorative, è essenziale che tutto il software, a prescindere dalla sua funzione, sia progettato tenendo conto della cybersecurity come requisito fondamentale. Se non si adotta la sicurezza come principio fondamentale, non si può raggiungere l’obiettivo di un ecosistema digitale affidabile.

Per accelerare l’adozione di un approccio basato sulla sicurezza, l’Agenzia statunitense per la sicurezza delle infrastrutture e della cybersicurezza (Cybersecurity and Infrastructure Security Agency, CISA) ha lanciato l’impegno Secure by Design l’8 maggio 2024. Sophos è orgogliosa di essere tra le prime organizzazioni a sostenere questo progetto, che si concentra su sette pilastri fondamentali per la sicurezza di tecnologie e prodotti:

  1. Autenticazione a più fattori
  2. Password predefinite
  3. Riduzione di intere classi di vulnerabilità
  4. Patch di sicurezza
  5. Politica di divulgazione delle vulnerabilità
  6. CVE
  7. Prove di intrusioni

Condividere questo impegno equivale a:

  1. Rispettare i principi della progettazione sicura;
  2. Impegnarsi a garantire la trasparenza e il miglioramento continuo della cybersecurity
  3. Riconoscere che tutti i fornitori devono assumersi la piena responsabilità di garantire la sicurezza e l’integrità delle tecnologie che progettano, costruiscono e vendono.

Siamo lieti di condividere pubblicamente il nostro stato attuale e i nostri propositi nei confronti di ciascuno dei sette pilastri del framework Secure by Design e ci impegniamo a fornire aggiornamenti regolari sui nostri progressi in tal senso.

Allineati alla filosofia di Sophos

In qualità di CISO, sono a capo di un team interfunzionale che comprende specialisti in architettura della sicurezza e protezione delle applicazioni che lavorano a stretto contatto con i nostri team di ingegneri nella progettazione e realizzazione delle nostre soluzioni.

Lavoriamo insieme per garantire l’integrità continua e in costante evoluzione dei nostri prodotti ai futuri clienti e alle 600.000 organizzazioni che già si affidano a loro.

Siamo consapevoli che la fiducia deve essere guadagnata e verificata, ed è per questo che la trasparenza è una pietra miliare della filosofia di Sophos.

La sicurezza informatica è una sfida a causa della natura intrinseca di ciò che occorre per difendersi dagli aggressori attivi, e riconosciamo che una vera trasparenza significa condividere sia le aree di sviluppo che i successi. In questo articolo, e in altri che seguiranno, riconosciamo che in tutto il settore e all’interno della nostra organizzazione c’è del lavoro da fare. Non si tratta di un’iniziativa una tantum creata dal CISA, ma di un modo di pensare e di un quadro di riferimento molto importante che dovrebbe essere integrato nella progettazione e nell’architettura delle soluzioni di sicurezza. Saremo lieti di ricevere un feedback costruttivo su come stiamo affrontando i sette pilastri.

I nostri propositi in materia di Secure by Design

Autenticazione a più fattori (MFA)

Sophos Central, la nostra console di sicurezza unificata, applica l’MFA per impostazione predefinita. I clienti possono anche utilizzare la propria MFA tramite l’autenticazione centralizzata. Entrambe le opzioni sono disponibili senza costi aggiuntivi.

La maggior parte dei nostri prodotti è gestita esclusivamente da Sophos Central. Nei casi in cui i nostri prodotti di rete consentono la gestione diretta, le interfacce amministrative supportano anche l’MFA, ma incoraggiamo fortemente i clienti a gestire i dispositivi tramite Sophos Central per evitare di esporre inutilmente le interfacce di gestione.

Inoltre, i nostri dati indicano che i clienti sono più a rischio quando espongono le interfacce di gestione a Internet. Per questo motivo, abbiamo intrapreso uno sforzo costante per ridurre questa esposizione. Ad esempio, sulla nostra piattaforma Sophos Firewall, disattiviamo attivamente i portali di amministrazione rivolti a Internet non utilizzati. Negli ultimi 18 mesi, questo ha ridotto del 21,5% le interfacce amministrative esposte a Internet nella nostra base di clienti e ci proponiamo di migliorare ulteriormente questo risultato.

Il nostro impegno:

Nei prossimi 12 mesi, ci proponiamo di rilasciare il supporto per le passkey in Sophos Central e di pubblicare le statistiche di adozione di questo più efficace meccanismo di MFA.

Password predefinite

Sophos Firewall garantisce implementazioni sicure fin dal primo avvio, richiedendo agli utenti di creare password forti al momento della configurazione del dispositivo. Senza il completamento di questo passaggio, la configurazione e l’utilizzo dei dispositivi di rete per lo scopo previsto sono impossibili. Per proteggere ulteriormente i contenuti segreti e le chiavi memorizzate sul dispositivo, gli amministratori devono fornire una seconda credenziale che viene utilizzata per cifrare i dati sensibili su Sophos Firewall.

Sfruttando le funzionalità di gestione di Sophos Central, è ora possibile implementare completamente Sophos Firewall utilizzando la funzionalità Zero Touch supportata da TPM.

Il nostro impegno:

Ci impegniamo a continuare a non accettare le credenziali predefinite in tutti i prodotti e servizi attuali e futuri.

Riduzione di intere classi di vulnerabilità

Sophos fa largo uso di moderni linguaggi e framework memory-safe, progettati per prevenire sistematicamente i più comuni bug della OWASP Top 10, come XSS e SQLi. Sophos Central è scritto esclusivamente in linguaggi memory safe.

Per tutti i CVE critici identificati nei prodotti Sophos, il nostro obiettivo è quello di eliminare sistematicamente il problema sottostante, invece di risolvere esclusivamente la vulnerabilità identificata. Ad esempio, nel 2020, quando Sophos ha rivelato una CVE dovuta a un componente legacy che non parametrizzava adeguatamente le query SQL, Sophos ha avviato un’iniziativa su larga scala per identificare e rimuovere tutte le query SQL legacy non parametrizzate in tutto il prodotto.

In SFOS v20, Sophos ha riscritto il portale di provisioning VPN di Sophos Firewall, un servizio critico rivolto a Internet, per migliorare la sicurezza della memoria e prevenire le vulnerabilità causate da buffer overflow. Sophos ha rilasciato SFOS v20 nel novembre 2023.

Il nostro impegno:

Nella versione SFOS v21, ci impegniamo a containerizzare i servizi chiave relativi alla gestione centrale per aggiungere ulteriori confini di fiducia e isolamento del carico di lavoro. Inoltre, SFOS v22 includerà un’ampia riprogettazione dell’architettura, che conterrà meglio il piano di controllo di Sophos Firewall, riducendo ulteriormente la probabilità e l’impatto delle vulnerabilità RCE.

Patch di sicurezza

I clienti ricevono automaticamente gli aggiornamenti di sicurezza per tutti i servizi Sophos SaaS, compreso Sophos Central, senza alcun intervento manuale. Anche Sophos Firewall e Sophos Endpoint ricevono e installano automaticamente le patch di sicurezza non appena vengono rilasciate, come parte della loro configurazione predefinita.

Sebbene i clienti di Sophos Firewall possano disabilitare manualmente questa funzione se necessario, il 99,26% dei nostri clienti la mantiene abilitata, a dimostrazione della loro fiducia nei nostri rigorosi test di rilascio.

Il nostro impegno:

L’esecuzione dell’ultima versione del firmware del firewall offre ulteriori vantaggi in termini di sicurezza, oltre alla ricezione di hotfix predefiniti. Per questo motivo ci impegniamo a rilasciare entro settembre 2025 una funzione che consenta ai clienti di programmare automaticamente gli aggiornamenti del firmware di Sophos Firewall.

Politica di divulgazione delle vulnerabilità

Riteniamo che Sophos gestisca un programma di divulgazione responsabile leader nel settore e abbiamo avuto la fortuna di beneficiare del supporto dei ricercatori di sicurezza per molti anni. Dal 2018, abbiamo rilasciato ricompense per oltre 1.200 vulnerabilità e pagato quasi 500.000 dollari alla comunità. La nostra politica di divulgazione responsabile include disposizioni di sicurezza per garantire che i ricercatori possano collaborare con noi senza rischiare azioni legali. Paghiamo fino a 50.000 dollari per le vulnerabilità identificate nei prodotti Sophos e aumentiamo regolarmente i pagamenti per sostenere i nostri ricercatori.

Per maggiori dettagli sul nostro programma Bug Bounty, si veda il CISO di Sophos, Ross McKerchar, e il CEO di Bugcrowd, Dave Gerry, che discutono del programma Sophos.

Il nostro impegno:

Ci impegniamo a fare in modo che entro un anno Sophos:

  1. aumenti la trasparenza e contribuisca alla conoscenza collettiva del settore pubblicando post sul blog che esaminino le nostre scoperte e le lezioni apprese dal nostro programma di divulgazione delle vulnerabilità.
  2. incrementi la ricompensa massima disponibile per i ricercatori di sicurezza.

CVE

I problemi rilevanti per la sicurezza sono una priorità assoluta per Sophos e vengono affrontati con costanza. Esistono solidi processi che ci consentono di pubblicare i CVE nei prodotti on-premises quando una vulnerabilità viene identificata da una fonte esterna (ad esempio ricercatori di sicurezza, esercitazioni di red team, ecc.) Tuttavia, abbiamo identificato alcuni casi storici in cui alle scoperte interne non è stato assegnato un CVE.

Attualmente non pubblichiamo CVE per i nostri prodotti SaaS ospitati. Riteniamo che questa sia una prassi standard del settore, ma riconosciamo e partecipiamo alla discussione in corso su questo argomento.

Il nostro impegno:

Ci impegniamo a estendere i nostri processi interni per pubblicare in modo coerente i CVE esterni per tutte le vulnerabilità interne identificate di gravità elevata o critica nei nostri prodotti.

Prove di intrusioni

I prodotti e i servizi Sophos offrono funzionalità di logging e auditing senza costi aggiuntivi, consentendo ai clienti di effettuare interventi di incident response.

Il nostro impegno:

Ci impegniamo a fornire ulteriori funzionalità di integrazione in Sophos Central per semplificare l’ingestione dei log di audit da parte di terzi, con un obiettivo di implementazione entro luglio 2025.

I prossimi passi

Mentre continuiamo a progredire nel nostro percorso, ci auguriamo di condividere regolarmente gli aggiornamenti relativi ai nostri impegni. Vi invitiamo a seguire i prossimi aggiornamenti.