A group of four people with hiking equipment walking up a hill or mountain, taken from behind, during sunset on a cloudy day
Security Operations

Avances de Sophos en Secure by Design

Un año después, nos complace compartir los avances en nuestros compromisos de Secure by Design
Escrito por
Security Operations CISA featured Secure by Design

En 2024, nos convertimos en una de las primeras organizaciones en comprometerse con la iniciativa Secure by Design de la CISA. En línea con nuestros valores fundamentales de transparencia, Secure by Design ha sido una fuerza motriz en la evaluación y mejora continuas de nuestras prácticas de seguridad.

Recientemente hemos cumplido un año desde la publicación de nuestros compromisos de mejora y nos gustaría compartir públicamente los avances que hemos logrado en los siete pilares fundamentales del marco Secure by Design.

Estoy orgulloso de los avances que hemos logrado este año, pero, por supuesto, los planes cambian y aún no hemos alcanzado todos los objetivos. Por lo tanto, esperen más actualizaciones y, muy pronto, un nuevo conjunto de compromisos adicionales para el próximo año.

Nuestros compromisos: resumen del año

Autenticación multifactor (MFA)

Nuestro compromiso para 2024:

Nos comprometemos a lanzar la compatibilidad con claves de acceso en Sophos Central y a publicar estadísticas de adopción de este mecanismo MFA más seguro.

¿Cómo lo hemos hecho?

En noviembre de 2024, lanzamos la compatibilidad con claves de acceso para todos los clientes que utilizan Sophos Central. Este paso estratégico tenía como objetivo mejorar la seguridad de la autenticación mediante una experiencia de inicio de sesión sin contraseñas y resistente al phishing. Desde su lanzamiento en diciembre de 2024, hemos observado una fuerte adopción, ya que más del 20 % de todas las autenticaciones en Central utilizan ahora claves de acceso.

Además de lanzar la compatibilidad con claves de acceso, hemos dado un paso más y ahora impedimos el uso de mecanismos MFA heredados, como los SMS. Los usuarios de Central que dependen de estos mecanismos heredados deben registrarse en una contraseña de un solo uso basada en el tiempo (TOTP) o en una MFA basada en claves de acceso durante su próximo inicio de sesión.

Figura 1: Adopción de los mecanismos MFA de Sophos Central entre diciembre de 2024 y julio de 2025

Contraseñas predeterminadas

Nuestro compromiso para 2024:

Nos comprometemos a seguir rechazando las credenciales predeterminadas en todos los productos y servicios actuales y futuros.

¿Cómo lo hemos hecho?

Hemos mantenido este principio de diseño y seguiremos haciéndolo en el desarrollo de nuestros productos. Los productos de Sophos generan credenciales únicas y seguras, o bien requieren que los usuarios proporcionen contraseñas complejas durante la configuración, con el fin de reducir la probabilidad de acceso no autorizado.

Reducción de clases enteras de vulnerabilidades

Nuestro compromiso para 2024:

En Sophos Firewall v21 (SFOS v21), nos comprometemos a contenerizar los servicios clave relacionados con la gestión central para añadir límites de confianza adicionales y aislamiento de la carga de trabajo. Además, SFOS v22 incluirá un amplio rediseño de la arquitectura, que contenerizará mejor el plano de control de Sophos Firewall, reduciendo aún más la probabilidad y el impacto de las vulnerabilidades RCE.

¿Cómo lo hemos hecho?

Estamos adoptando un enfoque prioritario basado en el riesgo para las cargas de trabajo en contenedores y hemos proporcionado un mejor aislamiento de las cargas de trabajo en Sophos Firewall. Empezando por los servicios más importantes y expuestos, las versiones SFOS v21 y SFOS v21.5 incluían las primeras de estas mejoras. Compartiremos los detalles del progreso que estamos realizando con la reestructuración del plano de control de Sophos Firewall para SFOS v22 en un artículo posterior, ya que no se publicará hasta finales de 2025.

Parches de seguridad

Nuestro compromiso para 2024:

Ejecutar la última versión del firmware del firewall ofrece ventajas de seguridad adicionales, además de recibir las correcciones de seguridad de forma predeterminada. Teniendo esto en cuenta, nos comprometemos a lanzar una función antes de septiembre de 2025 que permita a los clientes programar automáticamente las actualizaciones del firmware de Sophos Firewall (SFOS).

¿Cómo lo hemos hecho?

Sophos tiene previsto incluir la posibilidad de programar automáticamente las actualizaciones de firmware con el lanzamiento de SFOS v22, que se producirá a finales de 2025. Ayudar a nuestros clientes a mantener actualizado el firmware de Sophos Firewall es una prioridad para nosotros, ya que así contribuimos a su seguridad. Actualmente, el 99,41 % de los firewalls de nuestros clientes se benefician de la recepción automática de hotfixes a nivel del sistema operativo a medida que se publican, gracias a la amplia adopción de nuestra función de implementación automática de hotfixes.

Política de divulgación de vulnerabilidades

Nuestros compromisos para 2024:

  1. Aumentar la transparencia y ampliar el conocimiento colectivo del sector mediante la publicación de entradas en el blog en las que se revisan los hallazgos y las lecciones aprendidas de nuestro programa de divulgación de vulnerabilidades.

  2. Aumentar la recompensa máxima disponible para los investigadores de seguridad.

¿Cómo lo hemos hecho?

Desde nuestra última publicación en junio de 2024, hemos seguido invirtiendo en nuestro programa público de recompensas por errores y en el excelente trabajo que los investigadores comparten con nosotros. Solo este año, hemos revisado más de 800 envíos de recompensas por errores para productos Sophos. Hemos recompensado con más de 500 000 USD a la comunidad de investigadores desde que iniciamos el programa en diciembre de 2017. En la actualidad, Sophos se encuentra entre los principales proveedores de Bugcrowd que ofrecen las recompensas más altas por cada hallazgo válido.

Para ayudar a incentivar y aumentar la probabilidad de encontrar vulnerabilidades críticas que puedan afectar a los productos de Sophos, este año hemos realizado algunas mejoras clave que se ajustan a nuestros compromisos:

  1. Hemos aumentado en 20 000 USD la recompensa máxima posible por nuestro producto Windows Intercept X; ahora los investigadores pueden ganar 80 000 USD por una notificación P1.

  2. Hemos añadido una nueva recompensa de hasta 50 000 USD por un hallazgo P1 en Central.

  3. Hemos ampliado el alcance de nuestro programa de recompensas por errores premium para incluir recompensas monetarias por vulnerabilidades válidas identificadas en Taegis y Redcloak, tras la adquisición de Secureworks por parte de Sophos a principios de 2025.

Tenemos previsto compartir las conclusiones y lecciones aprendidas del programa de recompensas por errores en una publicación posterior a lo largo de este año.

CVE

Nuestro compromiso para 2024:

Nos comprometemos a ampliar nuestros procesos internos para publicar de forma sistemática los CVE externos de todas las vulnerabilidades internas identificadas con un nivel de gravedad alto o crítico en nuestros productos.

¿Cómo lo hemos hecho?

Hemos cumplido este compromiso ampliando nuestros procesos internos para garantizar que cualquier vulnerabilidad identificada internamente y evaluada como de gravedad alta o crítica se prepare para su publicación externa en CVE. Aunque aún no se ha identificado ninguna vulnerabilidad que cumpla este umbral para su publicación, los procesos actualizados están plenamente implantados y listos para apoyar una divulgación coherente y transparente en el futuro.

La publicación transparente de CVE para problemas descubiertos internamente ayuda a nuestros clientes a comprender mejor la postura de seguridad de nuestros productos, respalda la toma de decisiones informadas y refleja nuestro compromiso con las prácticas recomendadas del sector.

Evidencia de intrusiones

Nuestro compromiso para 2024:

Nos comprometemos a proporcionar capacidades de integración adicionales en Sophos Central para simplificar la ingestión de registros de auditoría en terceros, con una implementación prevista antes de julio de 2025.

¿Cómo lo hemos hecho?

Aunque hemos logrado avances fundamentales hacia este objetivo, hemos tenido que ajustar el calendario para reflejar los importantes cambios organizativos y las nuevas oportunidades de productos derivados de nuestra adquisición de Secureworks a principios de 2025.

Seguimos plenamente comprometidos con este compromiso y continuaremos proporcionando información actualizada a medida que implementemos las mejoras.

Próximos pasos

Tras revisar nuestros avances con respecto a los compromisos que asumimos el año pasado, ahora nos centramos en el camino que tenemos por delante. En un futuro próximo, compartiremos los compromisos actualizados que asumiremos para el próximo año, basándonos en lo que hemos aprendido, en los avances logrados y en lo que aún nos queda por hacer. Nuestra misión sigue siendo la misma: reforzar continuamente la seguridad, la transparencia y la fiabilidad de nuestros productos, en consonancia con los principios de Secure by Design.

Acerca del autor

Ross McKerchar is the CISO of Sophos. Ross has a BSc in Computer Science from Edinburgh University and joined Sophos in 2007. During his years at Sophos, Ross established and built Sophos’ cybersecurity program through periods of high company growth, including multiple acquisitions and an IPO on the LSE.

At Sophos, the CISO team runs all aspect of Sophos' own security including Security Architecture, Trust and Compliance, Product Security, Red Teaming and Security Operations. Sitting in the Sophos technology group alongside Sophos Labs and our customer-facing MDR team, we are part of Sophos X-Ops joint task force.

Out of work Ross has a passion for the outdoors and, when he’s not spending time with his young family, loves to travel around the world rock climbing, trail running or surfing.

Leer artículos similares