Temos o prazer de compartilhar abertamente nossos compromissos e o progresso que estamos fazendo em cada um dos sete pilares principais da segurança de produtos na estrutura Secure by Design.
Com soluções tecnológicas incorporadas em quase todos os elementos das nossas atividades pessoais e empresariais, é essencial que todo o software – qualquer que seja a sua função – seja concebido tendo a segurança cibernética como um requisito fundamental. Sem incorporar a segurança como um primeiro princípio, não poderemos alcançar o objetivo de um ecossistema digital confiável.
Para acelerar a adoção de uma abordagem orientada para a segurança, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) lançou um compromisso Secure by Design em 8 de maio de 2024. A Sophos tem orgulho de estar entre as primeiras organizações a se comprometerem com o compromisso, que concentra-se em sete pilares principais de tecnologia e segurança de produtos:
- Autenticação multifator
- Senhas padrão
- Reduzindo classes inteiras de vulnerabilidade
- Patches de segurança
- Política de divulgação de vulnerabilidades
- CVEs
- Evidência de invasões
Assinar este compromisso é:
- Um compromisso com os princípios de design seguro;
- Um compromisso com a transparência da segurança cibernética e a melhoria contínua;
- Um reconhecimento de que todos os fornecedores devem assumir total responsabilidade por garantir a segurança e a integridade das tecnologias que projetam, constroem e vendem.
Temos o prazer de partilhar publicamente o nosso estado atual e os nossos compromissos relativamente a cada um dos sete pilares da estrutura Secure by Design e comprometemo-nos a fornecer atualizações regulares sobre o nosso progresso nesse sentido.
Alinhado à filosofia Sophos
Como CISO, Ross McKerchar lidera uma equipe multifuncional que inclui especialistas em arquitetura de segurança e segurança de aplicativos que trabalham em estreita colaboração com nossas equipes de engenharia para projetar e construir nossas soluções.
Trabalhamos juntos para garantir a integridade contínua e em constante evolução de nossas soluções para futuros clientes e para as 600.000 organizações que já dependem delas.
Entendemos que a confiança deve ser conquistada e verificada, e é por isso que a transparência é uma pedra angular de longa data da filosofia da Sophos.
A cibersegurança é um desafio devido à natureza inerente do que é necessário para se defender contra atacantes ativos, e reconhecemos que a verdadeira transparência significa partilhar ambas as áreas de desenvolvimento, bem como de sucessos. Neste artigo, e em outros que virão, reconhecemos que há trabalho a ser feito em todo o setor e dentro de nossa própria organização. Esta não é uma iniciativa única criada pela CISA – é uma forma de pensar e uma estrutura muito necessária que deve ser incorporada no design e na arquitetura das soluções de segurança. Agradecemos comentários construtivos sobre como estamos abordando os sete pilares.
Nossos compromissos Secure by Design
Autenticação multifator (MFA)
O Sophos Central, o console de segurança unificado, aplica MFA por padrão. Os clientes também podem utilizar seu próprio MFA por meio de autenticação federada. Ambas as opções estão disponíveis sem custo adicional.
A maioria dos nossos produtos é gerenciada exclusivamente pelo Sophos Central. Onde nossos produtos de rede permitem gerenciamento direto, as interfaces administrativas também suportam MFA, mas encorajamos fortemente os clientes a gerenciar dispositivos via Sophos Central para evitar exposição desnecessária de interfaces de gerenciamento.
Além disso, nossos dados identificam que os clientes correm maior risco quando expõem interfaces de gerenciamento à Internet. Em nome dos nossos clientes, empreendemos um esforço sustentado para reduzir esta exposição. Por exemplo, expiramos ativamente portais de administração voltados para a Internet não utilizados em nossa plataforma Sophos Firewall. Nos últimos 18 meses, isso reduziu em 21,5% as interfaces administrativas expostas à Internet em toda a nossa base de clientes, e pretendemos melhorar ainda mais isso.
Juramento:
Nos próximos 12 meses, comprometemo-nos a disponibilizar o suporte a chaves de acesso no Sophos Central e a publicar estatísticas de adoção deste mecanismo de MFA mais forte
Senhas padrão
O Sophos Firewall garante implantações seguras desde a primeira inicialização, exigindo que os usuários criem senhas fortes na configuração do dispositivo. Sem concluir esta etapa, é impossível configurar e usar os dispositivos de rede para a finalidade pretendida. Para proteger ainda mais os segredos e chaves armazenados no dispositivo, os administradores devem fornecer uma credencial secundária que sera usada para criptografar dados confidenciais no Sophos Firewall.
Aproveitando os recursos de gerenciamento do Sophos Central, implantações completas do Sophos Firewall agora são possíveis usando a funcionalidade Zero Touch apoiada pelo TPM.
Juramento:
Comprometemo-nos a continuar a proibir credenciais padrão em todos os produtos e serviços atuais e futuros.
Reduzindo classes inteiras de vulnerabilidade
A Sophos faz uso extensivo de linguagens e estruturas modernas com segurança de memória, projetadas para prevenir sistematicamente os 10 principais bugs comuns do OWASP, como XSS e SQLi. O Sophos Central é escrito exclusivamente em linguagens seguras para memória.
Para todos os CVEs críticos identificados nos produtos Sophos, pretendemos eliminar sistematicamente o problema subjacente em vez de apenas corrigir a vulnerabilidade identificada. Por exemplo, em 2020, quando a Sophos divulgou um CVE devido a um componente legado que não parametrizava adequadamente as consultas SQL, a Sophos executou uma iniciativa em grande escala para identificar e remover todas as consultas SQL legadas não parametrizadas em todo o produto.
No SFOS v20, a Sophos reescreveu o portal de provisionamento Sophos Firewall VPN, um serviço crítico de segurança voltado para a Internet, em uma iniciativa para melhorar a segurança da memória e proteger contra vulnerabilidades causadas por buffer overflows. A Sophos lançou o SFOS v20 em novembro de 2023.
Juramento:
Na versão v21 do SFOS, comprometemo-nos a contentorizar os principais serviços relacionados com a gestão central para adicionar limites de confiança adicionais e isolamento de carga de trabalho. Além disso, o SFOS v22 incluirá uma extensa reformulação da arquitetura, que irá melhor contentorizar o plano de controle do Sophos Firewall, reduzindo ainda mais a probabilidade e o impacto das vulnerabilidades RCE.
Patches de segurança
Os clientes recebem automaticamente atualizações de segurança para todos os serviços SaaS da Sophos, incluindo o Sophos Central, sem necessidade de intervenção manual. O Sophos Firewall e o Sophos Endpoint também recebem e instalam automaticamente patches de segurança à medida que são lançados como parte de sua configuração padrão.
Embora os clientes do Sophos Firewall possam desativar manualmente esse recurso, se necessário, 99,26% dos nossos clientes mantêm esse recurso ativado, demonstrando sua confiança em nossos rigorosos testes de lançamento.
Juramento:
A execução da versão mais recente do firmware do firewall oferece benefícios de segurança adicionais além do recebimento de hotfixes de segurança por padrão. Com isso em mente, comprometemo-nos a lançar um recurso até setembro de 2025 que permite aos clientes agendar automaticamente atualizações de firmware do Sophos Firewall.
Política de divulgação de vulnerabilidades
Acreditamos que a Sophos administra um programa de divulgação responsável líder do setor e tem tido a sorte de se beneficiar do apoio de pesquisadores de segurança há muitos anos. Desde 2018, emitimos recompensas para mais de 1.200 vulnerabilidades e pagamos quase US$ 500.000 à comunidade. Nossa política de divulgação responsável inclui disposições de porto seguro para garantir que os pesquisadores possam interagir conosco sem risco de ação legal. Pagamos até US$ 50.000 por vulnerabilidades identificadas nos produtos Sophos e aumentamos regularmente os pagamentos para apoiar nossos pesquisadores.
Para obter mais detalhes sobre nosso programa Bug Bounty, consulte o CISO da Sophos, Ross McKerchar, e o CEO da Bugcrowd, Dave Gerry, discutindo o programa Sophos .
Juramento:
Prometemos que dentro de um ano a Sophos irá:
- Aumente a transparência e aumente o conhecimento coletivo do setor publicando postagens de blog que analisam nossas descobertas e lições aprendidas com nosso programa de divulgação de vulnerabilidades.
- Aumente a recompensa máxima disponível para pesquisadores de segurança.
CVEs
Os defeitos relevantes para a segurança são uma prioridade máxima para a Sophos e são abordados de forma consistente. Existem processos sólidos que nos permitem publicar CVEs em produtos locais quando uma vulnerabilidade é identificada por uma fonte externa (por exemplo, pesquisadores de segurança, exercícios de equipe vermelha, etc.). No entanto, identificamos alguns casos históricos em que as constatações internas não receberam um CVE.
Atualmente, não publicamos CVEs para nossos produtos SaaS hospedados. Acreditamos que esta seja uma prática padrão da indústria, mas reconhecemos e estamos participando da discussão contínua da indústria sobre este tópico.
Juramento:
Comprometemo-nos a ampliar nossos processos internos para publicar consistentemente CVEs externos para todas as vulnerabilidades internas identificadas de gravidade alta ou crítica em nossos produtos.
Evidência de invasões
Os produtos e serviços Sophos fornecem recursos de registro e auditoria sem custo adicional, permitindo que os clientes respondam a incidentes.
Juramento:
Comprometemo-nos a fornecer recursos de integração adicionais no Sophos Central para simplificar a ingestão de logs de auditoria por terceiros, com implementação prevista antes de julho de 2025.
Próximos passos
À medida que continuamos a progredir em nossa jornada, esperamos compartilhar atualizações regulares sobre nossas promessas. Por favor, fique atento para futuras atualizações.