Το 2024, γίναμε ένας από τους πρώτους οργανισμούς που δεσμεύτηκαν στην πρωτοβουλία Secure by Design της CISA. Σε συμφωνία με τις βασικές αξίες του οργανισμού μας σχετικά με τη διαφάνεια, το Secure by Design έχει αποτελέσει καθοδηγητική δύναμη καθώς αξιολογούμε και βελτιώνουμε αδιάκοπα τις πρακτικές μας στον τομέα της ασφάλειας.

Πρόσφατα συμπληρώσαμε ένα χρόνο από τη δημοσίευση των δεσμεύσεών της εταιρείας μας για βελτίωση και θα θέλαμε να μοιραστούμε δημοσίως την πρόοδο που έχουμε σημειώσει σε σχέση με τους επτά βασικούς πυλώνες του πλαισίου «Secure by Design».

Είμαστε περήφανοι για την πρόοδο που έχουμε σημειώσει φέτος, αλλά πολλές φορές όπως είναι φυσικό, τα σχέδια αλλάζουν και ακόμη δεν έχουν υλοποιηθεί πλήρως όλοι οι στόχοι που είχαν τεθεί. Επομένως, μπορείτε να περιμένετε περαιτέρω ενημερώσεις και πολύ σύντομα, ένα νέο σύνολο πρόσθετων δεσμεύσεων με ορίζοντα το επόμενο έτος.

Οι δεσμεύσεις μας: Ανασκόπηση της χρονιάς

Πολυπαραγοντική αυθεντικοποίηση (MFA)

 

Η δέσμευσή μας για το 2024:

«Δεσμευόμαστε να παρέχουμε υποστήριξη για κλειδιά πρόσβασης στο Sophos Central και να δημοσιεύσουμε στατιστικά στοιχεία για την υιοθέτηση αυτού του ισχυρότερου μηχανισμού πολυπαραγοντικού ελέγχου ταυτότητας (MFA)».

Πως τα πήγαμε;

Τον Νοέμβριο του 2024 λανσάραμε τη δυνατότητα υποστήριξης κλειδιών πρόσβασης (passkeys) για όλους τους πελάτες που χρησιμοποιούν το Sophos Central. Αυτό το στρατηγικό βήμα είχε ως στόχο την ενίσχυση της ασφάλειας της αυθεντικοποίησης μέσω μιας εμπειρίας σύνδεσης που είναι ανθεκτική στο ηλεκτρονικό ψάρεμα (phishing) και δεν απαιτεί κωδικό πρόσβασης. Από το ξεκίνημα της υποστήριξης τον Δεκέμβριο του 2024, διαπιστώσαμε ισχυρή υϊοθέτηση από τους πελάτες, με πάνω από το 20% όλων των αυθεντικοποιήσεων στο Sophos Central να χρησιμοποιούν πλέον κλειδιά πρόσβασης.

Εκτός από την έναρξη της υποστήριξης κλειδιών πρόσβασης, προχωρήσαμε ένα βήμα παραπέρα και τώρα αποτρέπουμε τη χρήση παλαιότερων μηχανισμών πολυπαραγοντικής αυθεντικοποίησης (MFA) όπως είναι για παράδειγμα τα μηνύματα SMS. Οι χρήστες του Sophos Central που βασίζονται σε αυτούς τους παλαιότερους μηχανισμούς πρέπει να εγγραφούν είτε σε ένα Time-based One-Time Password (TOTP) είτε σε έναn μηχανισμό αυθεντικοποίησης (MFA) που βασίζεται σε κλειδιά πρόσβασης κατά την επόμενη σύνδεσή τους.

Εικόνα 1: Η υϊοθέτηση των μηχανισμών MFA στο Sophos Central μεταξύ Δεκεμβρίου 2024 και Ιουλίου 2025

Προεπιλεγμένοι κωδικοί πρόσβασης 

Η δέσμευσή μας για το 2024:

«Δεσμευόμαστε να διατηρήσουμε την απαγόρευση χρήσης προεπιλεγμένων διαπιστευτηρίων σε όλα τα τρέχοντα και μελλοντικά προϊόντα και υπηρεσίες μας».

Πως τα πήγαμε;

Διατηρήσαμε αυτήν την αρχή σχεδιασμού και θα συνεχίσουμε να την εφαρμόζουμε στην ανάπτυξη των μελλοντικών προϊόντων μας. Τα προϊόντα της Sophos δημιουργούν ισχυρά μοναδικά διαπιστευτήρια ή απαιτούν από τους χρήστες να παρέχουν σύνθετους κωδικούς πρόσβασης κατά την εγκατάσταση, προκειμένου να μειωθεί η πιθανότητα της μη εξουσιοδοτημένης πρόσβασης.

Μείωση ολόκληρων κατηγοριών ευπαθειών 

Η δέσμευσή μας για το 2024:

«Δεσμευόμαστε να ενσωματώσουμε στο Sophos Firewall v21 (SFOS v21) βασικές υπηρεσίες που σχετίζονται με τη διαχείριση στο Sophos Central προκειμένου να προσθέσουμε επιπλέον όρια εμπιστοσύνης και «κοντεϊνεροποιησης» των φόρτων εργασίας. Επιπλέον, το SFOS v22 θα περιλαμβάνει εκτενή ανασχεδιασμό της αρχιτεκτονικής, που θα ενσωματώνει αποτελεσματικότερα την κονσόλα ελέγχου του Sophos Firewall για την περαιτέρω μείωση της πιθανότητας εμφάνισης και του αντικτύπου ευπαθειών RCE». 

Πως τα πήγαμε;

Η Sophos έχει υϊοθετήσει μία προσέγγιση που βασίζεται στην ιεράρχηση του κινδύνου όσον αφορά τους «κοντεϊνεροποιημένους» φόρτους εργασίας για να προσφέρει ανώτερη απομόνωση των φόρτων εργασίας στο Sophos Firewall. Ξεκινώντας από τις σημαντικότερες και περισσότερο εκτεθειμένες υπηρεσίες, οι εκδόσεις SFOS v21 και SFOS v21.5 ήταν οι πρώτες που ενσωμάτωναν τις συγκεκριμένες βελτιώσεις. Η Sophos πρόκειται να μοιραστεί περισσότερες λεπτομέρειες σχετικά με την πρόοδο που έχει σημειώσει με την αναδιαμόρφωση της αρχιτεκτονικής του επιπέδου ελέγχου του Sophos Firewall για το SFOS v22 σε κάποιο μελλοντικό άρθρο καθώς δεν πρόκειται να διατεθεί πριν από το 2025.

Επιδιορθώσεις ασφαλείας 

Η δέσμευσή μας για το 2024:

«Η χρήση της πιο πρόσφατης έκδοσης του υλικολογισμικού (firmware) του τείχους προστασίας προσφέρει επιπλέον οφέλη ασφαλείας πέρα από τη λήψη επιδιορθώσεων ασφαλείας από προεπιλογή. Λαμβάνοντας το παραπάνω υπόψη, η Sophos δεσμεύεται να διαθέσει έως τον Σεπτέμβριο του 2025 ένα νέο χαρακτηριστικό που θα επιτρέπει στους πελάτες να προγραμματίζουν αυτόματα τις ενημερώσεις υλικολογισμικού του Sophos Firewall (SFOS)».

Πως τα πήγαμε;

Η Sophos σχεδιάζει να συμπεριλάβει τη δυνατότητα αυτόματου προγραμματισμού ενημερώσεων υλικολογισμικού με την κυκλοφορία του SFOS v22 όταν διατεθεί προς το τέλος της χρονιάς. Η βοήθεια που μπορούμε να προσφέρουμε στους πελάτες μας για να διατηρούν πάντα ενημερωμένο το υλικολογισμικό του Sophos Firewall αποτελεί προτεραιότητα για εμάς καθώς έτσι τους διατηρούμε ασφαλείς. Επί του παρόντος, το 99,41% των τειχών προστασίας των πελατών μας επωφελείται ήδη από την αυτόματη λήψη επειγουσών επιδιορθώσεων (hotfixes) σε επίπεδο λειτουργικού συστήματος καθώς διατίθενται, χάρη στην ευρεία υιοθέτηση της λειτουργίας αυτόματης εγκατάστασης/εφαρμογής επειγουσών επιδιορθώσεων.

Πολιτική γνωστοποίησης ευπαθειών 

Οι δεσμεύσεις μας για το 2024:

1. «Αύξηση της διαφάνειας και ενίσχυση της συλλογικής γνώσης του κλάδου μέσω της δημοσίευσης αναρτήσεων ιστολογίου που παραθέτουν τα ευρήματα και τα διδάγματα που αποκομίσαμε από το πρόγραμμα γνωστοποίησης ευπαθειών».

2. «Αύξηση της μέγιστης ανταμοιβής για τους ερευνητές ασφάλειας». 

Πως τα πήγαμε;

Από την τελευταία μας ανάρτηση σχετικά, τον Ιούνιο του 2024, η Sophos εξακολούθησε να επενδύει στο δημόσιο πρόγραμμα επιβράβευσης για την εύρεση ευπαθειών και σφαλμάτων (bug bounty) της και στο εξαιρετικό έργο που κάνουν και μοιράζονται μαζί της ερευνητές από κάθε γωνιά του πλανήτη. Μόνο φέτος, εξετάσαμε περισσότερες από 800 υποβολές εύρεσης ευπαθειών/σφαλμάτων για προϊόντα της Sophos. Από την έναρξη του προγράμματος, τον Δεκέμβριο του 2017, η εταιρεία έχει επίσης απονείμει περισσότερα από $500.000 στην κοινότητα των ερευνητών ασφαλείας. Σήμερα, η Sophos κατατάσσεται μεταξύ των προμηθευτών που προσφέρουν τις υψηλότερες ανταμοιβές ανά έγκυρο εύρημα στα προγράμματα ανταμοιβής για την εύρεση ευπαθειών/σφαλμάτων.

Για να ενθαρρύνουμε και να αυξήσουμε την πιθανότητα εντοπισμού κρίσιμων ευπαθειών που θα μπορούσαν να επηρεάσουν τα προϊόντα της Sophos, φέτος πραγματοποιήσαμε μερικές σημαντικές βελτιώσεις που συνάδουν με τις δεσμεύσεις μας:

1. Αυξήσαμε την μέγιστη δυνατή ανταμοιβή για το προϊόν Intercept X (Windows) κατά $20.000. Οι ερευνητές μπορούν πλέον να κερδίσουν έως και $80.000 για τη υποβολή μίας κρίσιμης σημασίας ευπάθειας (P1)
2. Προσθέσαμε επίσης μια νέα ανταμοιβή που φτάνει τα $50.000 την ανακάλυψη μίας κρίσιμης σημασίας ευπάθειας (P1) στο Sophos Central
3. Επεκτείναμε το εύρος του προγράμματος «bug bounty» ώστε να περιλαμβάνει χρηματικές ανταμοιβές για έγκυρες ευπάθειες που εντοπίζονται στα Taegis και Redcloak μετά και την εξαγορά της Secureworks από τη Sophos στις αρχές του 2025

Δημιουργήσαμε μια νέα ειδική ενότητα «Root Cause Analysis (RCA)» στο Sophos Trust Center, όπου δημοσιεύουμε αναλύσεις RCA από πρόσφατα περιστατικά. Επιπλέον, σχεδιάζουμε να μοιραστούμε πληροφορίες και διδάγματα που αποκομίσαμε από το πρόγραμμα bug bounty σε μια επόμενη ανάρτηση μας αργότερα μέσα στο έτος.

CVEs 

Η δέσμευσή μας για το 2024:

«Δεσμευόμαστε να επεκτείνουμε τις εσωτερικές μας διαδικασίες ώστε να δημοσιεύουμε συστηματικά εξωτερικές κοινές ευπάθειες κυβερνοασφαλείας (CVEs) για όλες τις εσωτερικές ευπάθειες υψηλής ή κρίσιμης σημασίας ή σοβαρότητας που εντοπίζονται στα προϊόντα μας».

Πως τα πήγαμε;

Τηρήσαμε αυτή τη δέσμευση επεκτείνοντας τις εσωτερικές μας διαδικασίες για να διασφαλίσουμε ότι κάθε ευπάθεια που εντοπίζεται εσωτερικά και αξιολογείται ως υψηλής ή κρίσιμης σημασίας προετοιμάζεται για εξωτερική δημοσίευση ως CVE. Αν και δεν έχουν ακόμη εντοπιστεί ευπάθειες που να πληρούν τις παραπάνω προϋποθέσεις ή όρια για δημοσίευση, οι ενημερωμένες διαδικασίες μας βρίσκονται σε πλήρη ισχύ και έτοιμες να υποστηρίξουν τη συνεπή και διαφανή αποκάλυψη μελλοντικά.

Η διαφανής δημοσίευση CVE για ζητήματα που έχουν εντοπιστεί εσωτερικά βοηθά τους πελάτες μας να κατανοήσουν καλύτερα την κατάσταση ασφάλειας των προϊόντων της Sophos, υποστηρίζει τη λήψη τεκμηριωμένων αποφάσεων και αντικατοπτρίζει τη δέσμευσή της εταιρείας στις βέλτιστες πρακτικές του κλάδου.

Αποδεικτικά στοιχεία εισβολών 

Η δέσμευσή μας για το 2024:

«Δεσμευόμαστε να παρέχουμε πρόσθετες δυνατότητες ολοκλήρωσης/ενσωμάτωσης στο Sophos Central για την απλοποίηση της εισαγωγής αρχείων ελέγχου σε τρίτους, με στόχο την υλοποίηση πριν από τον Ιούλιο του 2025».

Πως τα πήγαμε;

Παρόλο που σημειώσαμε θεμελιώδη πρόοδο ως προς την επίτευξη του συγκεκριμένου στόχου, αναγκαστήκαμε να προσαρμόσουμε το χρονοδιάγραμμα ώστε να αντανακλά τις σημαντικές οργανωτικές αλλαγές και τις νέες ευκαιρίες προϊόντων που προέκυψαν από την εξαγορά της Secureworks στις αρχές του 2025.

Παραμένουμε πλήρως προσηλωμένοι σε αυτή τη δέσμευση και θα συνεχίσουμε να παρέχουμε ενημερώσεις καθώς υλοποιούμε και λανσάρουμε βελτιώσεις.

Επόμενα βήματα

Αφού εξετάσαμε την πρόοδό μας σε σχέση με τις δεσμεύσεις που αναλάβαμε πέρυσι, είμαστε σε θέση τώρα να εστιάσουμε στο μέλλον. Σύντομα, θα μοιραστούμε τις ενημερωμένες δεσμεύσεις που αναλαμβάνουμε για το επόμενο έτος, βασιζόμενοι σε όσα έχουμε μάθει μέχρι σήμερα, στα σημεία που έχουμε προχωρήσει και σε εκείνα τα σημεία που έχουμε ακόμη δουλειά να κάνουμε. Η αποστολή μας παραμένει η ίδια: να ενισχύουμε διαρκώς την ασφάλεια, τη διαφάνεια και την αξιοπιστία των προϊόντων μας σύμφωνα με τις αρχές του πλαισίου «Secure by Design».

Πηγή: Sophos