Nel 2024 siamo stati tra le prime organizzazioni ad aderire all’iniziativa Secure by Design promossa da CISA. In linea con i nostri valori fondamentali legati alla trasparenza, Secure by Design è stato una forza guida nel valutare e migliorare costantemente le nostre pratiche di sicurezza.
Di recente abbiamo superato il primo anniversario della pubblicazione dei nostri impegni per il miglioramento e desideriamo condividere pubblicamente i progressi compiuti rispetto ai sette pilastri fondamentali del framework Secure by Design.
Sono orgoglioso dei risultati ottenuti quest’anno, ma ovviamente i piani evolvono e non tutti gli obiettivi sono ancora stati pienamente raggiunti. Prevediamo quindi ulteriori aggiornamenti e, a breve, pubblicheremo anche una nuova serie di impegni per l’anno a venire.
I nostri impegni: un anno in sintesi
Autenticazione a più fattori (MFA)
Il nostro impegno per il 2024:
“Ci impegniamo a introdurre il supporto alle passkey in Sophos Central e a pubblicare le statistiche di adozione di questo meccanismo MFA più sicuro.”
Risultati ottenuti:
A novembre 2024 abbiamo introdotto il supporto alle passkey per tutti i clienti che utilizzano Sophos Central. Questo passo strategico ha migliorato la sicurezza dell’autenticazione offrendo un’esperienza di accesso senza password e resistente al phishing. Dalla sua introduzione, avvenuta a dicembre 2024, abbiamo registrato un’adozione significativa: oltre il 20% di tutte le autenticazioni su Central ora utilizza le passkey.
Oltre a lanciare il supporto alle passkey, abbiamo fatto un ulteriore passo avanti disabilitando l’uso dei vecchi meccanismi MFA come gli SMS. Gli utenti di Central che utilizzano questi metodi obsoleti sono ora tenuti a passare a un MFA basato su TOTP (Time-based One-Time Password) o su passkey al prossimo accesso.
Figura 1: Adozione dei meccanismi MFA in Sophos Central tra dicembre 2024 e luglio 2025
Password predefinite
Il nostro impegno per il 2024:
“Ci impegniamo a continuare a vietare le credenziali predefinite in tutti i prodotti e servizi attuali e futuri.”
Risultati ottenuti:
Abbiamo mantenuto questo principio progettuale e continueremo a farlo nello sviluppo dei nostri prodotti. I prodotti Sophos generano credenziali forti e uniche oppure richiedono agli utenti di impostare password complesse durante la configurazione, per ridurre il rischio di accessi non autorizzati.
Riduzione di intere classi di vulnerabilità
Il nostro impegno per il 2024:
“In Sophos Firewall v21 (SFOS v21), ci impegniamo a containerizzare i servizi chiave relativi alla gestione via Central per aggiungere ulteriori barriere di fiducia e isolamento dei carichi di lavoro. Inoltre, SFOS v22 includerà un ampio redesign architetturale che containerizzerà meglio il piano di controllo del firewall Sophos, riducendo ulteriormente la probabilità e l’impatto di vulnerabilità RCE.”
Risultati ottenuti:
Abbiamo adottato un approccio prioritario basato sul rischio per i carichi di lavoro containerizzati e abbiamo migliorato l’isolamento nei firewall Sophos. A partire dai servizi più esposti, le versioni SFOS v21 e v21.5 hanno introdotto i primi miglioramenti. Condivideremo maggiori dettagli sull’avanzamento della ristrutturazione del piano di controllo con SFOS v22 in un prossimo articolo, la cui pubblicazione è prevista più avanti nel 2025.
Patch di sicurezza
Il nostro impegno per il 2024:
“Gestire l’ultima versione firmware del firewall offre benefici di sicurezza aggiuntivi oltre alla ricezione delle patch di sicurezza di default. Per questo, ci impegniamo a rilasciare, entro settembre 2025, una funzionalità che consenta ai clienti di programmare automaticamente gli aggiornamenti del firmware Sophos Firewall (SFOS).”
Risultati ottenuti:
Sophos prevede di introdurre la possibilità di programmare automaticamente gli aggiornamenti del firmware con il rilascio di SFOS v22, previsto per la seconda metà del 2025. Aiutare i clienti a mantenere aggiornato il firmware del firewall è una nostra priorità. Attualmente, il 99,41% dei firewall dei clienti riceve automaticamente le patch a livello OS grazie all’ampia adozione della nostra funzionalità di aggiornamento automatico delle hotfix.
Politica di divulgazione delle vulnerabilità
I nostri impegni per il 2024:
- “Aumentare la trasparenza e arricchire le conoscenze del settore pubblicando post sul blog che analizzino i risultati e le lezioni apprese dal nostro programma di divulgazione delle vulnerabilità.”
- “Aumentare la ricompensa massima disponibile per i ricercatori di sicurezza.”
Risultati ottenuti:
Dal nostro ultimo aggiornamento di giugno 2024, abbiamo continuato a investire nel nostro programma pubblico di bug bounty e nel prezioso lavoro condiviso dai ricercatori. Solo quest’anno abbiamo analizzato oltre 800 segnalazioni relative ai prodotti Sophos. Dall’inizio del programma (dicembre 2017), abbiamo distribuito oltre 500.000 dollari USA in premi alla comunità dei ricercatori. Oggi, Sophos è tra i primi vendor su Bugcrowd per premi offerti per ogni segnalazione valida.
In linea con i nostri impegni, abbiamo implementato diversi miglioramenti per incentivare la scoperta di vulnerabilità critiche:
- Abbiamo aumentato di 20.000 dollari la ricompensa massima per segnalazioni P1 su Intercept X per Windows, che ora arriva fino a 80.000 dollari.
- Abbiamo introdotto una nuova ricompensa fino a 50.000 dollari per una segnalazione P1 su Central.
- Abbiamo esteso il nostro programma premium includendo premi per vulnerabilità valide identificate nei prodotti Taegis e Redcloak, in seguito all’acquisizione di Secureworks all’inizio del 2025.
Condivideremo ulteriori insight e insegnamenti dal programma bug bounty in un prossimo post entro fine anno.
CVEs (Common Vulnerabilities and Exposures)
Il nostro impegno per il 2024:
“Ci impegniamo ad ampliare i nostri processi interni per pubblicare in modo coerente CVE esterni per tutte le vulnerabilità interne identificate con gravità alta o critica nei nostri prodotti.”
Risultati ottenuti:
Abbiamo rispettato questo impegno estendendo i nostri processi interni affinché ogni vulnerabilità identificata e classificata come grave o critica sia preparata per la pubblicazione esterna come CVE. Sebbene non siano ancora state identificate vulnerabilità che soddisfano questi criteri, i processi aggiornati sono già pienamente operativi e pronti per garantire divulgazioni coerenti e trasparenti.
La pubblicazione trasparente dei CVE per problemi scoperti internamente aiuta i nostri clienti a comprendere meglio il livello di sicurezza dei nostri prodotti, a prendere decisioni consapevoli e riflette il nostro impegno verso le best practice del settore.
Tracciamento delle intrusioni
Il nostro impegno per il 2024:
“Ci impegniamo a fornire ulteriori funzionalità di integrazione in Sophos Central per semplificare l’importazione dei log di audit da parte di terzi, con implementazione prevista entro luglio 2025.”
Risultati ottenuti:
Sebbene abbiamo compiuto progressi fondamentali verso questo obiettivo, abbiamo dovuto rivedere la tempistica per riflettere i significativi cambiamenti organizzativi e le nuove opportunità di prodotto derivanti dall’acquisizione di Secureworks a inizio 2025.
Rimaniamo pienamente impegnati a mantenere questa promessa e continueremo a fornire aggiornamenti con l’evolversi delle implementazioni.
I prossimi passi
Dopo aver esaminato i progressi rispetto agli impegni presi lo scorso anno, siamo ora concentrati sul futuro. A breve condivideremo i nuovi impegni per l’anno prossimo — costruendo su quanto abbiamo appreso, sui traguardi raggiunti e sulle aree in cui c’è ancora lavoro da fare.
La nostra missione resta invariata: rafforzare costantemente la sicurezza, la trasparenza e l’affidabilità dei nostri prodotti, in linea con i principi di Secure by Design.
