Sophos Update: Partner Online-Event News (SFOS 22 und mehr)

Einführung

Gestern (24.06.2025) veranstaltete Sophos ein Online-Event für Partner, bei dem die neuesten Entwicklungen und die zukünftige Ausrichtung des Unternehmens präsentiert wurden. Dieser Blogpost beleuchtet die wichtigsten Ankündigungen und Einblicke, die während des Events geteilt wurden. Während viele der vorgestellten Neuerungen, wie beispielsweise die Sophos Firewall v21.5 ., bereits seit einigen Wochen verfügbar sind oder in Teilen bekannt waren, nutzte Sophos die Gelegenheit, diese nochmals umfassend zu bewerben. Dennoch gab es auch spannende Einblicke in kommende Entwicklungen, die wir hier genauer beleuchten werden. Die kontinuierliche Weiterentwicklung und der Fokus auf Prävention, Schutz, Erkennung und Reaktion sind dabei zentrale Säulen der Sophos-Strategie.

Sophos + Secureworks: Eine strategische Integration für umfassende Sicherheit

Ein zentrales Thema des Events war das Update zur Akquisition von Secureworks durch Sophos, die im Februar abgeschlossen wurde. Diese Zusammenführung soll die Stärken beider Unternehmen bündeln und ein noch umfassenderes Sicherheitsportfolio schaffen:

• Prevention-First-Ansatz: Sophos, bekannt für seine Expertise im Endpunktschutz, betont die Bedeutung der Prävention. Je früher eine Bedrohung gestoppt wird, desto geringer sind die Kosten und der Aufwand für die Behebung. Sophos ist stolz auf seine 15-jährige Führungsposition im Gartner Magic Quadrant für Endpunktsicherheit und blockiert automatisch 99 % der Bedrohungen. Die Integration der Secureworks XDR-Fähigkeiten mit dem Sophos Endpunktagenten (als eine Option) schafft eine noch stärkere Wertschöpfung.
• Die größte KI-native offene Plattform: Sophos investiert seit 2015 in KI, und die Sophos Central-Plattform verfügt über mehr als 50 Deep Learning- und KI-Modelle. Täglich werden über 900 Terabyte Daten verarbeitet, was eine enorme Visibilität und Telemetrie ermöglicht. Die Secureworks Taegis-Plattform ergänzt dies durch erweiterte Sicherheitsoperations-Workflows, benutzerdefinierte Berichte, Playbooks und Integrationen.
• Anpassungsfähigkeit an Ihre Bedürfnisse: Sophos verfolgt eine Strategie der Offenheit und Integration. Die XDR- und MDR-Operationen sollen vollständige Transparenz über die bestehenden Investitionen der Kunden in Drittanbieter-Endpunkte, Firewalls, E-Mails, Cloud- und andere Sicherheitslösungen bieten.
• Synchronisierte Sicherheit: Das Ziel ist eine schnelle Behebung und Reaktion auf Bedrohungen. Produkte sollen besser zusammenarbeiten, um die Reaktionszeit zu verkürzen und bösartiges Verhalten effektiv zu stoppen.Leider ist die Synchronized Security zwischen Endpunkt und Firewall in Bezug auf Webrichtlinien auch nach Jahren noch nicht richtig ausgereift. Dies wäre ein großer Mehrwert für Administratoren.
• Höchste Kundenzufriedenheit: Sophos ist der einzige Anbieter, der in allen vier Gartner Customer’s Choice-Kategorien (Endpoint, MDR, XDR und Firewall) zu den Top 4 gehört. Auch auf G2 ist Sophos führend in fünf Kategorien. Die MITRE ATT&CK-Evaluierung 2024 (Runde 6) bestätigt die Stärke der Endpunktschutz- und Erkennungsfähigkeiten.

Portfolio-Konsolidierung und Zeitleiste

Sophos hat klare Entscheidungen zur Konsolidierung des Portfolios getroffen:

• Endpunktschutz: Der Sophos Endpunktagent wird der primäre Agent für alle Angebote.
• XDR: Die Taegis XDR-Lösung wird die primäre XDR-Lösung sein und in Sophos Central integriert. Bestehende Sophos XDR-Kunden werden auf diese verbesserte Taegis-Erfahrung migriert.
• MDR: Die beiden MDR-Angebote werden zusammengeführt, wobei die besten Aspekte beider Lösungen in neue, kombinierte MDR-Dienststufen einfließen.
• SIEM-Fähigkeiten: Taegis unterstützt SIEM-Funktionen, die Sophos-Kunden in Zukunft zur Verfügung gestellt werden sollen (primär Log-Management und Compliance als Add-on).

Die Akquisition wurde am 3. Februar abgeschlossen. Die Integration schreitet schnell voran:

• August 2025: Volle Integration des Sophos Endpunktagenten mit der Taegis XDR-Plattform. Bestehende Secureworks Taegis-Kunden erhalten Zugriff auf den Sophos Endpunktagenten.
• Herbst 2025: Erweiterung des Lösungsportfolios für beide Kundengruppen. Secureworks-Kunden erhalten Zugriff auf alle Sophos-Technologien, und Sophos-Kunden erhalten neue Funktionen wie ITDR.
• Ende 2025/Anfang 2026: Volle Integration der Plattformen, Taegis wird in Sophos Central integriert.

Sophos Managed Risk: Schwachstellen proaktiv verwalten

Ein weiterer wichtiger Bereich, der hervorgehoben wurde, ist der Managed Risk-Service, der vor über einem Jahr in Partnerschaft mit Tenable eingeführt wurde. Dies ist ein Schwachstellenmanagement-Angebot als Managed Service, das von Sophos-Experten für Bedrohungs-Exposition und -Behebung bereitgestellt wird.

• Kernfunktionen:
  • Sichtbarkeit: Umfassende Erkennung interner und externer Assets für ein klares Bild der digitalen Angriffsfläche.
  • Kontinuierliche Risikoüberwachung: Das Sophos-Team identifiziert die wichtigsten Expositionen und hilft bei der Priorisierung der Behebungsmaßnahmen.
  • Priorisierung: Nutzung der KI-gestützten Schwachstellenpriorisierungstechnologie von Tenable, ergänzt durch die Expertise von Sophos.
  • Benachrichtigungen: Proaktive Benachrichtigung bei Entdeckung schwerwiegender Schwachstellen.
• Erweiterung des Dienstes: Der Managed Risk-Service wurde um das Internal Attack Surface Management (IASM) erweitert. Dies ergänzt das bereits vorhandene External Attack Surface Management (EASM) und bietet eine umfassende Sicht auf Schwachstellen sowohl in externen als auch internen Assets.
• Lizenzierung: Managed Risk ist ein Add-on zum MDR-Service (MDR Essentials oder MDR Complete) und wird nicht nach IP-Adressen, sondern nach der Anzahl der Benutzer und Server lizenziert, was die Konsistenz mit anderen Sophos-Lizenzen gewährleistet.

Sophos ITDR (Identity Threat Detection and Response)

Sophos ITDR wird als leistungsstarkes neues Add-on für Sophos MDR und Sophos XDR im Oktober 2025 verfügbar sein. Es wurde durch die Secureworks-Akquisition gewonnen und konzentriert sich auf die Reduzierung von Identitätsrisiken:

Was ist ITDR?

Identity Threat Detection and Response (ITDR) ist eine Sicherheitslösung, die sich speziell darauf konzentriert, Angriffe auf digitale Identitäten frühzeitig zu erkennen und wirksam abzuwehren. Im Gegensatz zur klassischen Identity- and Access-Management-(IAM-)Verwaltung analysiert ITDR kontinuierlich Identitätsdaten, Nutzerverhalten und Bedrohungsinformationen, um verdächtige Aktivitäten sofort aufzudecken.

Hauptziele und Funktionen

• Schutz vor Identitätsbedrohungen
  Ständiges Scannen von Identitätsdiensten (z. B. Microsoft Entra ID/Azure AD) auf Schwachstellen und Fehlkonfigurationen.

• Reduzierung der Angriffsfläche
  Überwachung auf kompromittierte Anmeldeinformationen sowie Alarmierung, wenn Zugangsdaten im Dark Web oder anderen unsicheren Quellen auftauchen.

• Minimierung des Risikos gestohlener Anmeldeinformationen
  Erkennung und Blockierung ungewöhnlicher Anmelde- oder Zugriffsversuche, die auf gestohlene Credentials hindeuten.

• Erkennung riskanter Benutzeraktivitäten
  Aufdecken fortgeschrittener identitätsbasierter Attacken, lateralem Bewegen im Netzwerk und nicht autorisierter Privilegieneskalationen, gefolgt von automatisierten Gegenmaßnahmen.

Kurz gesagt: ITDR bietet einen proaktiven Schutzschild für Identitäten, indem es die Sicherheitslage kontinuierlich überwacht und auf jede verdächtige oder bösartige Aktivität rund um Benutzerkonten in Echtzeit reagiert. ITDR wird als kostenpflichtiges Add-on für alle Sophos XDR- und MDR-Kunden verfügbar sein und wird das Security Operations Portfolio von Sophos stark ergänzen.

Sophos Incident Response und Advisory Services

Sophos hat seine Incident Response-Angebote konsolidiert und erweitert:

• Emergency Incident Response: Der Rapid Response-Service von Sophos und die Incident Response-Fähigkeiten von Secureworks wurden zu einem neuen, konsolidierten Notfall-Service zusammengeführt. Dieser wird stundenweise abgerechnet und ist auf die Erwartungen von Cyberversicherern abgestimmt. Er bietet schnelle Identifizierung und Neutralisierung aktiver Bedrohungen, Remote- und Vor-Ort-Unterstützung sowie erweiterte IR-Dienste wie digitale Forensik und Lösegeldverhandlungen. Für Kunden mit MDR Complete ist ein unbegrenzter Incident Response bereits abgedeckt.
• Advisory Services: Der proaktive Ansatz zur Risikominderung wurde durch zusätzliche Advisory Services erweitert, die auf den Secureworks-Fähigkeiten basieren. Dazu gehören externe Penetrationstests, interne WLAN-Netzwerk-Penetrationstests und Webanwendungs-Sicherheitsbewertungen. Diese Dienste zielen darauf ab, Risiken proaktiv zu reduzieren und die Sicherheitsstrategie insgesamt zu verbessern.

Sophos Firewall: Eine Strategie der Dreifaltigkeit

Die Sophos Firewall unterscheidet sich von vielen anderen Firewall-Lösungen durch ihren ganzheitlichen Ansatz, der sich auf drei zentrale Säulen stützt:

1. Minderung (Mitigation): Hier geht es darum, die Angriffsfläche zu reduzieren und das Risiko eines Angriffs zu minimieren. Sophos integriert Funktionen wie Zero Trust Network Access (ZTNA) und die “Secure by Design”-Initiative, um die Infrastruktur zu härten und unnötige Expositionen gegenüber dem Internet zu vermeiden.
2. Schutz (Protection): Dies ist der klassische Bereich der Bedrohungsabwehr, in dem Sophos Firewall Angriffe blockiert, bevor sie überhaupt das Netzwerk erreichen können. Dazu gehören modernste Bedrohungs-Engines, die proaktiv schädliche Aktivitäten erkennen und stoppen.
3. Erkennung und Reaktion (Detection and Response): Der entscheidende Unterschied liegt hier. Die Sophos Firewall ist nicht nur darauf ausgelegt, Angriffe abzuwehren, sondern auch, aktive Angreifer innerhalb des Netzwerks automatisch zu erkennen und zu isolieren. Dies wird durch “Synchronized Security” und “Active Threat Response” ermöglicht, die eine schnelle und koordinierte Reaktion auf Bedrohungen gewährleisten.

Die meisten Firewalls konzentrieren sich hauptsächlich auf den Schutz, vernachlässigen jedoch die Minderung sowie die Erkennungs- und Reaktionsfähigkeiten. Sophos hat dies erkannt und investiert massiv in alle drei Bereiche, um einen umfassenden Schutz zu bieten, der Ihre Infrastruktur widerstandsfähiger macht.

Was ist neu in Sophos Firewall v21.5? (Der Vorgeschmack auf v22)

Die kürzlich veröffentlichte Version Sophos Firewall v21.5 , die allen Sophos Firewall-Kunden kostenlos zur Verfügung steht, bietet bereits einen beeindruckenden Einblick in die Richtung, in die sich die Sophos Firewall entwickelt. Die Highlights sind:

• Integration von Network Detection and Response (NDR): Dies ist eine branchenweit erste Funktion und ein absolutes Novum. NDR Essentials wird direkt in Ihre Sophos Firewall integriert – ohne zusätzliche Kosten und ohne Auswirkungen auf die Firewall-Leistung, da die Analyse in der Sophos Cloud erfolgt. Es bietet zwei Schlüsselkomponenten:
  • Encrypted Payload Analysis (EPA): Diese Technologie kann Malware-Payloads und Netzwerkverkehr identifizieren, ohne dass eine TLS-Man-in-the-Middle-Entschlüsselung erforderlich ist. Sie konvertiert die ersten Sitzungspakete in ein grafisches Spiralbild, das dann von einer KI-Engine auf schädliche Muster untersucht wird. Dies ist ein enormer Vorteil, insbesondere für kleinere und mittelständische Unternehmen, die keine TLS-Inspektion durchführen können oder wollen.
  • Domain Generation Algorithm (DGA) Detection: Diese Funktion erkennt Domänen, die von Malware-Algorithmen generiert werden, oft noch bevor sie registriert oder verwendet werden. Dies ermöglicht es, bösartige Kommunikation mit Hacker-Servern zu unterbinden, selbst wenn die Domänen noch unbekannt sind.
• Single Sign-On (SSO) Unterstützung für Entra ID (Microsoft Azure AD): Eine lang erwartete Funktion, die die Anmeldung für Remote Access VPN-Kunden mit Sophos Connect Client oder VPN-Portal erheblich vereinfacht.
• Verbesserte DNS-Dienste: Neue Status-, Fehlerbehebungs- und Tutorial-Tools für den DNS-Dienst erleichtern die Einrichtung und Nutzung.
• Weitere “Secure by Design”-Prinzipien: Zusätzliche Härtungs- und Überwachungsfunktionen verbessern die Sicherheit der Firewall.
• Verbesserungen der Verwaltungsfreundlichkeit: Zahlreiche Verbesserungen im täglichen Management, die auf Kundenwünschen basieren, wurden implementiert.

Die NDR-Integration ist ein Game Changer. Sophos Firewall ist der einzige Anbieter, der NDR direkt in die Firewall integriert und diese Funktion ohne Aufpreis als Teil des Extreme Protection Bundles anbietet. Dies unterstreicht den Fokus von Sophos auf eine umfassende und fortschrittliche Bedrohungserkennung, selbst am Netzwerkrand.

Ein Blick in die Zukunft: Sophos Firewall v22

Die Version 22 der Sophos Firewall, die Ende des Jahres erwartet wird, wird auf diesen Innovationen aufbauen und drei Schlüsselthemen vertiefen:

1. Secure By Design:

   • Health Check Feature: Ein Highlight von v22 ist die neue “Health Check”-Funktion. Diese wird Dutzende von Konfigurationsbereichen Ihrer Firewall überprüfen und sofort Bereiche mit hohem Risiko identifizieren, die nicht optimal konfiguriert sind. Dies hilft Administratoren, bewährte Sicherheitspraktiken zu gewährleisten und potenzielle Schwachstellen proaktiv zu beheben, selbst wenn sie bei der ursprünglichen Einrichtung übersehen wurden.

     Beispielauszug der aktuell geprüften Controls

     Nr.	Control-Statement	Severity	Status
     1.1	Password complexity is set (enabled by default)	High	Pass
     1.2	MFA for admin account is set	Medium risk	Pass
     1.3	Admin session “lock”, “logout” and “block” is configured for failed attempts	High	Failed
     1.4	NTP server are configured appropriately	Low risk	Pass
     1.5a	HTTPS on WAN is disabled	High	Pass
     1.5b	User portal on WAN is disabled	High	Pass
     1.6	Valid certificate is used to access Webadmin interface	High	Pass
     2.1	SNMPv3 is selected for queries and traps	High	Pass
     2.2	Notification is configured to send system and admin alerts	High	Pass
     2.3	Hotfix is enabled	High	Error
     3.1	Active threat response > X-Ops is enabled and action set	High	Pass
     3.2	Active threat response > NDR-E is enabled and action set	High	Pass
     3.3	Active threat response > MDR is enabled and action set	High	Pass
     3.4	Zero-day protection is enabled	High	Pass
     3.5	IPS is enabled and one or more firewall rule is configured	High	Pass
     3.6	No firewall rule with “Any” as criteria for Network and Services	High	Pass
     3.7	Firewall rule configured with Security Heartbeat	High	Pass
     3.8	SSL / TLS inspection is enabled on all relevant policies	High	Pass
     3.9	DoS & Spoof Protection is enabled with threshold	High	Pass
     3.10	Firewall rule configured with user-based policy	High	Pass

     • Leider bleibt die Hardware hier völlig außen vor. Häufige Probleme wie eine defekte SSD oder eine beschädigte Datenbank müssen wir nach wie vor umständlich per SSH in den Logs nachverfolgen. Eine E-Mail-Benachrichtigung oder ein automatischer Hardware-Health-Check fehlt weiterhin. Auch die allgemeine Hardware-Qualität muss verbessert werden, da wir bei bestimmten Modellen noch immer sehr viele RMAs erleben.

   • Enhanced Architecture, Automated Detection, Secure Desecure: V22 wird die Architektur weiter verbessern, um eine noch effektivere automatisierte Erkennung zu ermöglichen und ein noch sichereres Design zu gewährleisten.

2. Networking and Scalability:

   • Performance Enhancements: Das Sophos-Team arbeitet kontinuierlich daran, die Leistung der Firewall zu verbessern. V22 wird erhebliche Leistungsverbesserungen mit sich bringen, insbesondere für größere Bildungs- und verteilte Netzwerkumgebungen. Dies kommt aber allen Kunden zugute, unabhängig von der Größe ihrer Umgebung.
   • Distributed Hardware: Es wird weitere Entwicklungen im Bereich der verteilten Hardware geben, um die Skalierbarkeit und Flexibilität der Lösungen zu erhöhen.

3. Day-to-Day Management:

   • Improved User Experience: Sophos wird weiterhin auf das Feedback der Kunden eingehen und die tägliche Verwaltung der Firewalls durch Verbesserungen der Benutzeroberfläche und der Benutzerfreundlichkeit optimieren.
   • Hardware Monitoring, MSA Enhancements: Verbesserungen in der Hardware-Überwachung und den Management-Services werden die Effizienz der Firewall-Verwaltung weiter steigern.

     • Das Benachrichtigungsmanagement auf den Firewalls könnte verbessert werden. Wenn eine Wartung angezeigt wird, kann man diese nicht selbst ausblenden, was zu unnötigen Störungen führen kann.

Sophos Firewall Roadmap im Zeitplan

Sophos positioniert die Firewall v22 als die ideale Lösung für die neue Ära der Detection and Response Services, insbesondere für Kunden, die Sophos XDR und MDR nutzen. Die einzigartigen Funktionen im Bereich der proaktiven Überwachung und die Fähigkeit, Patches ohne Ausfallzeiten anzuwenden, unterstreichen die Innovationskraft von Sophos.

Letzte Worte

Der gestrige Online-Event von Sophos hat einmal mehr die strategische Ausrichtung des Unternehmens verdeutlicht: eine umfassende, präventionsorientierte Sicherheit, die durch fortschrittliche Erkennungs- und Reaktionsmechanismen ergänzt wird. Die Integration von Secureworks bringt signifikante Erweiterungen im Bereich XDR, MDR und Identity Threat Detection. Die Sophos Firewall, insbesondere mit den Innovationen in v21.5 und den Ausblicken auf v22, positioniert sich als eine führende Lösung für Netzwerksicherheit, die weit über traditionelle Firewall-Funktionen hinausgeht. Durch die tiefgehende Integration von NDR und den Fokus auf proaktive Erkennung und Reaktion bietet Sophos eine zukunftsweisende Verteidigung gegen die sich ständig weiterentwickelnden Cyberbedrohungen. Wir sind davon überzeugt, dass diese Entwicklungen die Sicherheitslage erheblich verbessern und Netzwerke noch besser schützen werden. Bleiben Sie dran für weitere Updates und tiefere Einblicke in die neuen Funktionen, sobald v22 verfügbar ist!

Der Event, wie so oft, war leider mit viel Eigenlob überschüttet 🤮. Trotzdem hatten wir in der Firma, in der ich arbeite, viele unzufriedene Kunden, und gerade im letzten Jahr sind viele Kunden von Sophos XG/XGS zu anderen Herstellern gewechselt.
Die Preispolitik von Sophos ist extrem fragwürdig. Seit über acht Jahren gibt es immer wieder Neukunden-Promos, während Bestandskunden oft leer ausgehen. Das sorgt für Unmut und das Gefühl, nicht wertgeschätzt zu werden.
Auch die Promos für Switches und Access Points sind traurig und zeigen, dass diese Produkte offenbar niemand möchte. Ein Kunde hat uns kürzlich eine Promo weitergeleitet, bei der man beim Kauf von drei Produkten zwei geschenkt bekommt. Das spricht Bände.
Eine weitere witzige Anekdote aus dem Leben mit Sophos: Ein Kunde hat sich zuletzt beschwert, dass er einen Switch mit Herstellungsdatum 2021 erhalten hat – also gute vier Jahre alt. Es scheint, als hätte Sophos zu viel bestellt und niemand möchte diese Produkte, was uns angesichts der Promos nicht wundert. Auch wenn diese Punkte in einem solchen Event möglicherweise nicht thematisiert werden, hoffe ich, dass die bekannten Schwachstellen intern erkannt sind und aktiv bearbeitet werden.

bis bald Joe