Actualización de Sophos: Noticias del evento online para partners (SFOS 22 y más)

Introducción

Ayer (24.06.2025) Sophos organizó un evento online para partners en el que presentó los últimos avances y la dirección futura de la empresa. Esta entrada de blog destaca los anuncios e ideas más importantes compartidos durante el evento. Aunque muchas de las novedades presentadas —como la Firewall v21.5 — ya estaban disponibles o parcialmente conocidas desde hace semanas, Sophos aprovechó la ocasión para promocionarlas de nuevo de forma exhaustiva. Sin embargo, también se ofrecieron perspectivas interesantes sobre desarrollos futuros que analizamos en detalle. El desarrollo continuo y el enfoque en prevención, protección, detección y respuesta son pilares centrales de la estrategia de Sophos.

Sophos + Secureworks: Una integración estratégica para una seguridad integral

Un tema central del evento fue la actualización sobre la adquisición de Secureworks por parte de Sophos, completada en febrero. Esta unión pretende combinar las fortalezas de ambas empresas y crear un portafolio de seguridad aún más completo:

• Enfoque prevention-first: Sophos, conocida por su experiencia en protección de endpoints, subraya la importancia de la prevención. Cuanto antes se detiene una amenaza, menores son los costes y el esfuerzo para remediarla. Sophos presume de sus 15 años de liderazgo en el Gartner Magic Quadrant para seguridad de endpoints y bloquea automáticamente el 99 % de las amenazas. La integración de las capacidades XDR de Secureworks con el agente de endpoint de Sophos (como opción) aporta un valor añadido aún mayor.
• La mayor plataforma abierta nativa de IA: Sophos invierte en IA desde 2015 y la plataforma Sophos Central cuenta con más de 50 modelos de deep learning e IA. Cada día se procesan más de 900 TB de datos, lo que proporciona una enorme visibilidad y telemetría. La plataforma Taegis de Secureworks complementa esto con flujos de trabajo avanzados de operaciones de seguridad, informes personalizados, playbooks e integraciones.
• Adaptabilidad a sus necesidades: Sophos sigue una estrategia de apertura e integración. Las operaciones XDR y MDR pretenden ofrecer total transparencia sobre las inversiones existentes de los clientes en endpoints, firewalls, correo electrónico, cloud y otras soluciones de seguridad de terceros.
• Seguridad sincronizada: El objetivo es una remediación y respuesta rápidas frente a las amenazas. Los productos deben trabajar mejor en conjunto para reducir el tiempo de respuesta y detener eficazmente el comportamiento malicioso. Por desgracia, la Synchronized Security entre endpoint y firewall en lo referente a políticas web sigue sin estar madura tras años; sería de gran valor para los administradores.
• Máxima satisfacción del cliente: Sophos es el único proveedor que figura entre los cuatro primeros en las cuatro categorías de Gartner Customer’s Choice (Endpoint, MDR, XDR y Firewall). También lidera cinco categorías en G2. La evaluación MITRE ATT&CK 2024 (ronda 6) confirma la solidez de sus capacidades de protección y detección en endpoints.

Consolidación del portafolio y cronograma

Sophos ha tomado decisiones claras para consolidar su oferta:

• Protección de endpoints: El agente de endpoint de Sophos será el agente principal para todas las ofertas.
• XDR: Taegis XDR será la solución XDR principal e irá integrada en Sophos Central. Los clientes actuales de Sophos XDR migrarán a esta experiencia Taegis mejorada.
• MDR: Las dos ofertas MDR se combinarán, incorporando los mejores aspectos de ambas en nuevos niveles de servicio MDR.
• Capacidades SIEM: Taegis admite funciones SIEM que se pondrán a disposición de los clientes de Sophos en el futuro (principalmente gestión de registros y cumplimiento como complemento).

La adquisición se cerró el 3 de febrero. La integración avanza rápidamente:

• Agosto 2025: Integración completa del agente de endpoint de Sophos con la plataforma Taegis XDR. Los clientes actuales de Secureworks Taegis tendrán acceso al agente de endpoint de Sophos.
• Otoño 2025: Ampliación del portafolio de soluciones para ambos grupos de clientes. Los clientes de Secureworks obtendrán acceso a todas las tecnologías de Sophos, y los clientes de Sophos recibirán nuevas funciones como ITDR.
• Finales 2025 / principios 2026: Integración total de las plataformas; Taegis se integrará en Sophos Central.

Sophos Managed Risk: Gestionar vulnerabilidades de forma proactiva

Otro ámbito importante destacado fue el servicio Managed Risk, lanzado hace más de un año en asociación con Tenable. Se trata de una oferta de gestión de vulnerabilidades como servicio gestionado, proporcionada por expertos de Sophos en exposición y remediación de amenazas.

• Funciones clave:
  • Visibilidad: Detección completa de activos internos y externos para obtener una visión clara de la superficie de ataque digital.
  • Supervisión continua de riesgos: El equipo de Sophos identifica las exposiciones más críticas y ayuda a priorizar la remediación.
  • Priorización: Uso de la tecnología de priorización de vulnerabilidades respaldada por IA de Tenable, complementada con la experiencia de Sophos.
  • Notificaciones: Avisos proactivos cuando se descubren vulnerabilidades graves.
• Ampliación del servicio: El servicio Managed Risk se amplió con Internal Attack Surface Management (IASM). Esto complementa el existente External Attack Surface Management (EASM) y ofrece una visión completa de las vulnerabilidades tanto en activos externos como internos.
• Licenciamiento: Managed Risk es un complemento del servicio MDR (MDR Essentials o MDR Complete) y se licencia por número de usuarios y servidores, no por direcciones IP, garantizando coherencia con otras licencias de Sophos.

Sophos ITDR (Identity Threat Detection and Response)

Sophos ITDR se lanzará como un potente complemento para Sophos MDR y Sophos XDR en octubre de 2025. Obtenido mediante la adquisición de Secureworks, se centra en reducir los riesgos de identidad:

¿Qué es ITDR?

Identity Threat Detection and Response (ITDR) es una solución de seguridad enfocada específicamente en detectar y neutralizar ataques a identidades digitales de forma temprana y eficaz. A diferencia de la gestión clásica de identidades y accesos (IAM), ITDR analiza continuamente datos de identidad, comportamiento de los usuarios e información de amenazas para descubrir actividades sospechosas de inmediato.

Objetivos y funciones principales

• Protección contra amenazas de identidad
  Escaneo constante de servicios de identidad (p. ej. Microsoft Entra ID/Azure AD) en busca de vulnerabilidades y configuraciones incorrectas.

• Reducción de la superficie de ataque
  Monitorización de credenciales comprometidas y alertas cuando aparecen datos de acceso en la Dark Web u otras fuentes inseguras.

• Minimización del riesgo por credenciales robadas
  Detección y bloqueo de inicios de sesión o accesos inusuales que indiquen uso de credenciales robadas.

• Detección de actividades de usuario de riesgo
  Identificación de ataques avanzados basados en identidad, movimientos laterales en la red y elevaciones de privilegios no autorizadas, seguidas de contramedidas automatizadas.

En resumen, ITDR ofrece un escudo proactivo para las identidades, vigilando continuamente el estado de seguridad y reaccionando en tiempo real ante cualquier actividad sospechosa o maliciosa relacionada con las cuentas de usuario.
ITDR estará disponible como complemento de pago para todos los clientes de Sophos XDR y MDR y complementará fuertemente el portafolio de operaciones de seguridad de Sophos.

Sophos Incident Response y Advisory Services

Sophos ha consolidado y ampliado sus ofertas de respuesta ante incidentes:

• Respuesta ante incidentes de emergencia: El servicio Rapid Response de Sophos y las capacidades de Incident Response de Secureworks se unieron en un nuevo servicio unificado de emergencia. Se factura por horas y se alinea con las expectativas de las ciberaseguradoras. Ofrece identificación y neutralización rápidas de amenazas activas, soporte remoto e in situ, y servicios IR ampliados como forense digital y negociación de rescates. Para los clientes con MDR Complete, la respuesta ilimitada a incidentes ya está incluida.
• Advisory Services: El enfoque proactivo de reducción de riesgos se reforzó con Advisory Services adicionales basados en las capacidades de Secureworks, tales como pruebas de penetración externas, pruebas de penetración de red WLAN internas y evaluaciones de seguridad de aplicaciones web. Estos servicios buscan reducir riesgos proactivamente y mejorar la estrategia de seguridad en su conjunto.

Sophos Firewall: Una estrategia de trinidad

La Sophos Firewall se diferencia de muchas otras soluciones firewall por su enfoque holístico, basado en tres pilares centrales:

1. Mitigación: Se trata de reducir la superficie de ataque y minimizar el riesgo de un ataque. Sophos integra funciones como Zero Trust Network Access (ZTNA) e iniciativas “Secure by Design” para endurecer la infraestructura y evitar exposiciones innecesarias a Internet.
2. Protección: El ámbito clásico de defensa contra amenazas, donde Sophos Firewall bloquea ataques antes de que lleguen a la red. Incluye motores de amenazas de última generación que detectan y detienen actividades maliciosas de forma proactiva.
3. Detección y respuesta: Aquí radica la diferencia clave. Sophos Firewall no solo está diseñada para bloquear ataques, sino también para detectar e aislar automáticamente a atacantes activos dentro de la red. Esto se logra mediante “Synchronized Security” y “Active Threat Response”, que garantizan una reacción rápida y coordinada frente a las amenazas.

La mayoría de los firewalls se centran principalmente en la protección y descuidan mitigación y capacidades de detección y respuesta. Sophos lo ha reconocido e invierte en los tres ámbitos para proporcionar una protección integral que refuerce su infraestructura.

¿Qué hay de nuevo en Sophos Firewall v21.5? (El anticipo de v22)

La versión Sophos Firewall v21.5 , recientemente lanzada y disponible gratuitamente para todos los clientes de Sophos Firewall, ofrece una muestra impresionante de la dirección que tomará Sophos Firewall. Sus puntos destacados son:

• Integración de Network Detection and Response (NDR): Se trata de una función pionera en el sector y absolutamente novedosa. NDR Essentials se integra directamente en su Sophos Firewall —sin coste adicional y sin impacto en el rendimiento, ya que el análisis se realiza en la nube de Sophos. Incluye dos componentes clave:
  • Encrypted Payload Analysis (EPA): Esta tecnología puede identificar cargas maliciosas y tráfico de red sin necesidad de TLS man-in-the-middle. Convierte los primeros paquetes de la sesión en una imagen espiral que una IA analiza en busca de patrones maliciosos. Es una gran ventaja, especialmente para pymes que no pueden o no quieren realizar inspección TLS.
  • Detección de Domain Generation Algorithm (DGA): Esta función detecta dominios generados por algoritmos de malware, a menudo antes de que se registren o se usen. Permite cortar la comunicación maliciosa con servidores de los atacantes, incluso si los dominios aún son desconocidos.
• Soporte Single Sign-On (SSO) para Entra ID (Microsoft Azure AD): Función muy esperada que simplifica el inicio de sesión para clientes VPN de acceso remoto con Sophos Connect Client o portal VPN.
• Mejoras en servicios DNS: Nuevas herramientas de estado, solución de problemas y tutoriales para el servicio DNS facilitan su configuración y uso.
• Más principios “Secure by Design”: Funciones adicionales de endurecimiento y supervisión mejoran la seguridad del firewall.
• Mejoras en la facilidad de administración: Se implementaron numerosas mejoras basadas en las peticiones de los clientes para el manejo diario.

La integración NDR es un cambio radical. Sophos Firewall es el único proveedor que integra NDR directamente en el firewall y ofrece esta función sin coste adicional como parte del paquete Extreme Protection, subrayando su enfoque en una detección avanzada incluso en el perímetro de la red.

Mirada al futuro: Sophos Firewall v22

La versión 22 de Sophos Firewall, que se espera para finales de año, se basará en estas innovaciones y profundizará en tres temas clave:

1. Secure by Design:

   • Función Health Check: Una de las novedades de v22 es la nueva función “Health Check”. Revisará decenas de áreas de configuración de su firewall e identificará de inmediato los puntos de alto riesgo que no estén optimizados. Esto ayuda a los administradores a aplicar mejores prácticas de seguridad y a corregir vulnerabilidades de forma proactiva, incluso si se pasaron por alto en la configuración inicial.

     Ejemplo de los controles actualmente verificados

     Nº	Declaración de control	Gravedad	Estado
     1.1	La complejidad de contraseñas está configurada (habilitada por defecto)	Alta	Aprobado
     1.2	MFA para la cuenta admin está configurado	Riesgo medio	Aprobado
     1.3	Bloqueo, cierre de sesión y bloqueo de sesión admin tras intentos fallidos	Alta	Fallido
     1.4	Los servidores NTP están configurados correctamente	Riesgo bajo	Aprobado
     1.5a	HTTPS en WAN está desactivado	Alta	Aprobado
     1.5b	El portal de usuario en WAN está desactivado	Alta	Aprobado
     1.6	Se utiliza un certificado válido para acceder a la interfaz Webadmin	Alta	Aprobado
     2.1	SNMPv3 seleccionado para consultas y traps	Alta	Aprobado
     2.2	Notificaciones configuradas para enviar alertas de sistema y admin	Alta	Aprobado
     2.3	Hotfix está habilitado	Alta	Error
     3.1	Active Threat Response > X-Ops está habilitado y con acción definida	Alta	Aprobado
     3.2	Active Threat Response > NDR-E está habilitado y con acción definida	Alta	Aprobado
     3.3	Active Threat Response > MDR está habilitado y con acción definida	Alta	Aprobado
     3.4	La protección Zero-day está habilitada	Alta	Aprobado
     3.5	IPS habilitado y al menos una regla de firewall configurada	Alta	Aprobado
     3.6	Ninguna regla de firewall con “Any” en red y servicios	Alta	Aprobado
     3.7	Regla de firewall configurada con Security Heartbeat	Alta	Aprobado
     3.8	Inspección SSL/TLS habilitada en todas las políticas relevantes	Alta	Aprobado
     3.9	DoS y Spoof Protection habilitado con umbral	Alta	Aprobado
     3.10	Regla de firewall configurada con política basada en usuario	Alta	Aprobado

     Por desgracia, el hardware queda totalmente fuera. Problemas comunes como un SSD defectuoso o una base de datos dañada seguimos teniéndolos que rastrear de forma engorrosa por SSH en los logs. Falta una notificación por correo electrónico o un chequeo automático de salud del hardware. Además, la calidad general del hardware debe mejorar, ya que seguimos viendo muchas RMAs en ciertos modelos.

   • Arquitectura mejorada, detección automatizada, diseño seguro: V22 mejorará aún más la arquitectura para permitir una detección automatizada más eficaz y un diseño todavía más seguro.

2. Networking y escalabilidad:

   • Mejoras de rendimiento: El equipo de Sophos trabaja continuamente para mejorar el rendimiento de la firewall. V22 traerá mejoras significativas, sobre todo para entornos educativos grandes y redes distribuidas, aunque beneficiará a todos los clientes.
   • Hardware distribuido: Habrá más desarrollos en hardware distribuido para aumentar la escalabilidad y flexibilidad de las soluciones.

3. Gestión diaria:

   • Mejor experiencia de usuario: Sophos seguirá respondiendo a los comentarios de los clientes y optimizando la gestión diaria de los firewalls mediante mejoras en la interfaz y la usabilidad.
   • Supervisión de hardware, mejoras en MSA: Las mejoras en la monitorización del hardware y los servicios de gestión incrementarán aún más la eficiencia de la administración.

     La gestión de notificaciones en los firewalls podría mejorar. Cuando se muestra una tarea de mantenimiento, no se puede ocultar manualmente, lo que puede generar molestias innecesarias.

Hoja de ruta de Sophos Firewall dentro de plazo

Sophos presenta la Firewall v22 como la solución ideal para la nueva era de servicios de detección y respuesta, especialmente para clientes que utilizan Sophos XDR y MDR. Sus funciones únicas de supervisión proactiva y la capacidad de aplicar parches sin tiempos de inactividad refuerzan la innovación de Sophos.

Palabras finales

El evento online de ayer de Sophos volvió a dejar clara la orientación estratégica de la empresa: una seguridad integral y orientada a la prevención, complementada por mecanismos avanzados de detección y respuesta. La integración de Secureworks aporta ampliaciones significativas en XDR, MDR y detección de amenazas de identidad. La Sophos Firewall, especialmente con las innovaciones de v21.5 y los avances previstos en v22, se posiciona como una solución líder en seguridad de red que va mucho más allá de las funciones firewall tradicionales. Con la integración profunda de NDR y el enfoque en detección y respuesta proactivas, Sophos ofrece una defensa vanguardista contra las amenazas cibernéticas en constante evolución. Estamos convencidos de que estos desarrollos mejorarán considerablemente la postura de seguridad y protegerán aún mejor las redes. ¡Manténgase atento para más actualizaciones y análisis profundos de las nuevas funciones cuando v22 esté disponible!

El evento, como tantas veces, estuvo lamentablemente repleto de autobombo 🤮. Aun así, en la empresa donde trabajo hemos tenido muchos clientes insatisfechos, y justo el año pasado varios se pasaron de Sophos XG/XGS a otros fabricantes.
La política de precios de Sophos es extremadamente cuestionable. Desde hace más de ocho años hay promociones para nuevos clientes, mientras que los ya existentes suelen quedarse fuera. Esto genera descontento y la sensación de no ser valorados.
Las promociones para switches y puntos de acceso también son tristes y muestran que, al parecer, nadie quiere estos productos. Un cliente nos reenvió recientemente una promo en la que al comprar tres productos te regalan dos. Eso lo dice todo.
Otra anécdota divertida de la vida con Sophos: un cliente se quejó de que recibió un switch con fecha de fabricación de 2021, es decir, de hace cuatro años. Parece que Sophos pidió demasiadas unidades y nadie quiere estos productos, lo cual no nos sorprende visto el tipo de promos que hacen.
Aunque estos puntos quizá no se mencionen en un evento así, espero que las debilidades conocidas se reconozcan internamente y se aborden activamente.

¡Hasta pronto!
Joe