Aggiornamento Sophos: Novità dall’evento online per i partner (SFOS 22 e altro)

Introduzione

Ieri (24.06.2025) Sophos ha organizzato un evento online per i partner, durante il quale sono stati presentati gli sviluppi più recenti e l’orientamento futuro dell’azienda. Questo post evidenzia i principali annunci e approfondimenti condivisi durante l’evento. Sebbene molte delle novità presentate, come ad esempio la Firewall v21.5 , fossero già disponibili da alcune settimane o fossero note in parte, Sophos ha colto l’occasione per promuoverle nuovamente in modo completo. Ci sono stati comunque spunti interessanti sulle evoluzioni future, che analizzeremo più in dettaglio. Lo sviluppo continuo e il focus su prevenzione, protezione, rilevamento e risposta rimangono pilastri centrali della strategia Sophos.

Sophos + Secureworks: un’integrazione strategica per una sicurezza completa

Un tema centrale dell’evento è stato l’aggiornamento sull’acquisizione di Secureworks da parte di Sophos, completata a febbraio. Questa fusione mira a unire i punti di forza di entrambe le aziende per creare un portafoglio di sicurezza ancora più completo:

• Approccio “Prevention-First”: Sophos, nota per la sua esperienza nella protezione degli endpoint, sottolinea l’importanza della prevenzione. Prima si blocca una minaccia, minori sono i costi e lo sforzo per la remediation. Sophos è orgogliosa di occupare da 15 anni una posizione di leadership nel Magic Quadrant di Gartner per la sicurezza endpoint e blocca automaticamente il 99 % delle minacce. L’integrazione delle funzionalità XDR di Secureworks con l’agente endpoint Sophos (come opzione) crea un valore aggiunto ancora maggiore.
• La più grande piattaforma aperta nativa di IA: Dal 2015 Sophos investe nell’intelligenza artificiale e la piattaforma Sophos Central dispone di oltre 50 modelli di Deep Learning e IA. Vengono elaborati più di 900 terabyte di dati al giorno, offrendo un’enorme visibilità e telemetria. La piattaforma Taegis di Secureworks integra il tutto con workflow avanzati di security operations, report personalizzati, playbook e integrazioni.
• Adattabilità alle tue esigenze: Sophos segue una strategia di apertura e integrazione. Le operazioni XDR e MDR intendono garantire piena trasparenza sugli investimenti esistenti dei clienti in endpoint, firewall, email, cloud e altre soluzioni di sicurezza di terze parti.
• Sicurezza sincronizzata: L’obiettivo è una remediation rapida e una risposta efficace alle minacce. I prodotti devono collaborare meglio per ridurre i tempi di risposta e bloccare il comportamento dannoso in modo efficace. Purtroppo, la Synchronized Security tra endpoint e firewall per le politiche web non è ancora realmente matura, nonostante gli anni di sviluppo; sarebbe un grande valore aggiunto per gli amministratori.
• Massima soddisfazione dei clienti: Sophos è l’unico fornitore che rientra nella top 4 di tutte e quattro le categorie “Customer’s Choice” di Gartner (Endpoint, MDR, XDR e Firewall). Anche su G2, Sophos è leader in cinque categorie. La valutazione MITRE ATT&CK 2024 (Round 6) conferma la solidità delle capacità di protezione e rilevamento degli endpoint.

Consolidamento del portafoglio e roadmap

Sophos ha preso decisioni chiare sul consolidamento del portafoglio:

• Protezione endpoint: L’agente endpoint Sophos sarà l’agente principale per tutte le offerte.
• XDR: La soluzione Taegis XDR diventerà la principale soluzione XDR ed entrerà in Sophos Central. I clienti XDR esistenti di Sophos verranno migrati a questa esperienza Taegis migliorata.
• MDR: Le due offerte MDR verranno unite, combinando i migliori aspetti di entrambe in nuovi livelli di servizio MDR.
• Funzionalità SIEM: Taegis supporta funzioni SIEM che in futuro saranno offerte ai clienti Sophos (principalmente log management e compliance come add-on).

L’acquisizione è stata completata il 3 febbraio. L’integrazione procede rapidamente:

• Agosto 2025: Integrazione completa dell’agente endpoint Sophos con la piattaforma Taegis XDR. I clienti Taegis esistenti avranno accesso all’agente Sophos.
• Autunno 2025: Ampliamento del portafoglio per entrambi i gruppi di clienti. I clienti Secureworks avranno accesso a tutte le tecnologie Sophos e i clienti Sophos otterranno nuove funzioni come ITDR.
• Fine 2025/Inizio 2026: Integrazione completa delle piattaforme, con Taegis che confluirà in Sophos Central.

Sophos Managed Risk: gestione proattiva delle vulnerabilità

Un altro ambito rilevante è il servizio Managed Risk, introdotto oltre un anno fa in partnership con Tenable. Si tratta di una gestione delle vulnerabilità come servizio gestito, erogata dagli esperti Sophos di esposizione e remediation delle minacce.

• Funzioni principali:
  • Visibilità: Rilevamento completo degli asset interni ed esterni per avere un quadro chiaro della superficie di attacco digitale.
  • Monitoraggio continuo del rischio: Il team Sophos identifica le esposizioni più critiche e aiuta a prioritizzare le azioni correttive.
  • Prioritizzazione: Tecnologia di prioritizzazione delle vulnerabilità basata su IA di Tenable, integrata dall’esperienza Sophos.
  • Notifiche: Avvisi proattivi in caso di individuazione di vulnerabilità gravi.
• Espansione del servizio: Il Managed Risk è stato esteso con l’Internal Attack Surface Management (IASM), che integra l’External Attack Surface Management (EASM) esistente, offrendo una visione completa delle vulnerabilità sugli asset esterni e interni.
• Licenza: Managed Risk è un add-on del servizio MDR (MDR Essentials o MDR Complete) e non viene licenziato per indirizzi IP, ma in base al numero di utenti e server, garantendo coerenza con le altre licenze Sophos.

Sophos ITDR (Identity Threat Detection and Response)

Sophos ITDR sarà disponibile come potente add-on per Sophos MDR e Sophos XDR nell’ottobre 2025. Ottenuto tramite l’acquisizione di Secureworks, si concentra sulla riduzione dei rischi legati alle identità:

Che cos’è l’ITDR?

Identity Threat Detection and Response (ITDR) è una soluzione di sicurezza che mira specificamente a riconoscere e contrastare precocemente gli attacchi alle identità digitali. A differenza della gestione classica IAM, l’ITDR analizza continuamente i dati di identità, il comportamento degli utenti e le informazioni sulle minacce per individuare immediatamente attività sospette.

Obiettivi principali e funzioni

• Protezione dalle minacce alle identità
  Scansione costante dei servizi di identità (es. Microsoft Entra ID/Azure AD) alla ricerca di vulnerabilità e configurazioni errate.

• Riduzione della superficie di attacco
  Monitoraggio delle credenziali compromesse e avvisi quando le credenziali appaiono nel Dark Web o in altre fonti non sicure.

• Minimizzazione del rischio di credenziali rubate
  Rilevamento e blocco di tentativi di accesso anomali che indicano l’uso di credenziali sottratte.

• Rilevamento di attività utente rischiose
  Individuazione di attacchi avanzati basati sull’identità, movimenti laterali nella rete e escalation di privilegi non autorizzate, seguite da contromisure automatiche.

In breve: l’ITDR offre uno scudo proattivo per le identità, monitorando costantemente lo stato di sicurezza e reagendo in tempo reale a qualsiasi attività sospetta o dannosa relativa agli account utente. ITDR sarà disponibile come add-on a pagamento per tutti i clienti Sophos XDR e MDR e arricchirà notevolmente il portafoglio di Security Operations di Sophos.

Sophos Incident Response e Advisory Services

Sophos ha consolidato ed esteso le sue offerte di Incident Response:

• Emergency Incident Response: Il servizio Rapid Response di Sophos e le capacità di Incident Response di Secureworks sono state fuse in un nuovo servizio di emergenza consolidato. Viene fatturato a ore ed è allineato alle aspettative delle compagnie di cyber-assicurazione. Offre identificazione e neutralizzazione rapide delle minacce attive, supporto remoto e on-site, oltre a servizi IR avanzati come forense digitale e negoziazioni di riscatto. Per i clienti con MDR Complete è già coperta una risposta agli incidenti illimitata.
• Advisory Services: L’approccio proattivo alla riduzione dei rischi è stato ampliato con ulteriori Advisory Services basati sulle capacità di Secureworks, tra cui penetration test esterni, penetration test di rete WLAN interni e valutazioni di sicurezza delle applicazioni web. Questi servizi mirano a ridurre proattivamente i rischi e a migliorare la strategia di sicurezza complessiva.

Sophos Firewall: una strategia “trinitaria”

Sophos Firewall si differenzia da molte altre soluzioni firewall per il suo approccio olistico, che si basa su tre pilastri centrali:

1. Mitigazione: Ridurre la superficie di attacco e il rischio di un attacco. Sophos integra funzioni come Zero Trust Network Access (ZTNA) e l’iniziativa “Secure by Design” per rafforzare l’infrastruttura ed evitare esposizioni inutili a Internet.
2. Protezione: Il classico ambito di difesa dalle minacce, in cui Sophos Firewall blocca gli attacchi prima che raggiungano la rete. Includono motori di rilevamento avanzati che identificano e fermano proattivamente le attività dannose.
3. Rilevamento e risposta: Il vero punto di differenza. Sophos Firewall non si limita a respingere gli attacchi, ma rileva e isola automaticamente gli aggressori attivi all’interno della rete. Ciò è reso possibile da “Synchronized Security” e “Active Threat Response”, che garantiscono una risposta rapida e coordinata alle minacce.

La maggior parte dei firewall si concentra principalmente sulla protezione, trascurando mitigazione e capacità di rilevamento e risposta. Sophos ha riconosciuto la lacuna e investe massicciamente in tutti e tre gli ambiti, offrendo una protezione completa che rende l’infrastruttura più resiliente.

Novità in Sophos Firewall v21.5 (l’assaggio di v22)

La versione recentemente pubblicata Sophos Firewall v21.5 , disponibile gratuitamente per tutti i clienti Sophos Firewall, offre già una notevole anteprima della direzione che Sophos Firewall sta seguendo. I punti salienti:

• Integrazione di Network Detection and Response (NDR): Una funzione prima nel settore. NDR Essentials è integrato direttamente nella tua Sophos Firewall, senza costi aggiuntivi e senza impatto sulle prestazioni, poiché l’analisi avviene nel cloud Sophos. Offre due componenti chiave:
  • Encrypted Payload Analysis (EPA): Questa tecnologia può identificare payload malware e traffico di rete senza la necessità di decrittazione TLS “Man-in-the-Middle”. Converte i primi pacchetti di sessione in un’immagine a spirale che una rete neurale analizza alla ricerca di modelli dannosi. Un grande vantaggio, soprattutto per le PMI che non possono o non vogliono eseguire l’ispezione TLS.
  • Rilevamento Domain Generation Algorithm (DGA): Rileva domini generati da algoritmi malware, spesso prima che vengano registrati o utilizzati. Ciò consente di interrompere la comunicazione dannosa con i server degli hacker anche se i domini sono ancora sconosciuti.
• Supporto Single Sign-On (SSO) per Entra ID (Microsoft Azure AD): Una funzione a lungo attesa che semplifica notevolmente l’accesso VPN per i clienti Remote Access con Sophos Connect Client o portale VPN.
• Servizi DNS migliorati: Nuovi strumenti di stato, troubleshooting e tutorial che facilitano la configurazione e l’uso del servizio DNS.
• Ulteriori principi “Secure by Design”: Funzioni aggiuntive di hardening e monitoraggio migliorano la sicurezza del firewall.
• Miglioramenti alla gestione quotidiana: Numerosi miglioramenti basati sui feedback dei clienti.

L’integrazione NDR è rivoluzionaria. Sophos Firewall è l’unico fornitore che integra l’NDR direttamente nel firewall, offrendo la funzione senza sovrapprezzo come parte dell’Extreme Protection Bundle. Ciò sottolinea l’impegno di Sophos verso un rilevamento delle minacce avanzato e completo, anche al perimetro della rete.

Uno sguardo al futuro: Sophos Firewall v22

La versione 22 di Sophos Firewall, attesa per la fine dell’anno, si baserà su queste innovazioni e approfondirà tre temi chiave:

1. Secure By Design:

   • Funzione Health Check: Uno dei punti di forza di v22 è la nuova funzione “Health Check”, che analizzerà decine di aree di configurazione del firewall e identificherà immediatamente le aree ad alto rischio non ottimizzate. Ciò aiuta gli amministratori a garantire le migliori pratiche di sicurezza e a correggere in modo proattivo potenziali vulnerabilità, anche se trascurate durante la configurazione iniziale.

     Esempio estratto dei controlli attualmente verificati

     Nr.	Dichiarazione di controllo	Gravità	Stato
     1.1	La complessità delle password è impostata (attiva per impostazione predefinita)	Alta	Superato
     1.2	MFA per l’account admin è impostato	Rischio medio	Superato
     1.3	Blocco, logout e blocco della sessione admin configurati per tentativi falliti	Alta	Non superato
     1.4	I server NTP sono configurati correttamente	Rischio basso	Superato
     1.5a	HTTPS sulla WAN è disabilitato	Alta	Superato
     1.5b	Il portale utente sulla WAN è disabilitato	Alta	Superato
     1.6	Viene utilizzato un certificato valido per accedere all’interfaccia Webadmin	Alta	Superato
     2.1	SNMPv3 è selezionato per query e trap	Alta	Superato
     2.2	La notifica è configurata per inviare avvisi di sistema e admin	Alta	Superato
     2.3	Hotfix è attivato	Alta	Errore
     3.1	Active Threat Response > X-Ops è attivo e l’azione è impostata	Alta	Superato
     3.2	Active Threat Response > NDR-E è attivo e l’azione è impostata	Alta	Superato
     3.3	Active Threat Response > MDR è attivo e l’azione è impostata	Alta	Superato
     3.4	La protezione Zero-day è attiva	Alta	Superato
     3.5	IPS è attivo ed è configurata almeno una regola firewall	Alta	Superato
     3.6	Nessuna regola firewall con “Any” come criterio per Rete e Servizi	Alta	Superato
     3.7	Regola firewall configurata con Security Heartbeat	Alta	Superato
     3.8	L’ispezione SSL/TLS è attiva su tutte le policy rilevanti	Alta	Superato
     3.9	Protezione DoS & Spoof abilitata con soglia	Alta	Superato
     3.10	Regola firewall configurata con policy basata su utente	Alta	Superato

     Purtroppo l’hardware resta totalmente escluso. Problemi comuni come un SSD guasto o un database danneggiato devono ancora essere individuati nei log via SSH. Manca una notifica email o un controllo automatico dello stato hardware. Anche la qualità hardware generale va migliorata: per alcuni modelli registriamo ancora numerosi RMA.

   • Architettura migliorata, rilevamento automatizzato, sicurezza-by-design: La v22 perfezionerà ulteriormente l’architettura per consentire un rilevamento automatizzato più efficace e un design ancora più sicuro.

2. Networking e scalabilità:

   • Aumento delle prestazioni: Il team Sophos lavora costantemente per migliorare le prestazioni del firewall. La v22 apporterà significativi miglioramenti prestazionali, in particolare per ambienti educativi di grandi dimensioni e reti distribuite, ma con benefici per tutti i clienti.
   • Hardware distribuito: Sono in arrivo ulteriori sviluppi nel campo dell’hardware distribuito per aumentare scalabilità e flessibilità.

3. Gestione quotidiana:

   • Esperienza utente migliorata: Sophos continuerà ad ascoltare i clienti e a ottimizzare la gestione quotidiana dei firewall tramite miglioramenti dell’interfaccia e dell’usabilità.
   • Monitoraggio hardware, miglioramenti MSA: Miglioramenti nel monitoraggio hardware e nei servizi di gestione aumenteranno ulteriormente l’efficienza nell’amministrazione del firewall.

     La gestione delle notifiche sui firewall potrebbe essere migliorata: se viene segnalata una manutenzione, non è possibile nasconderla manualmente, con conseguenti interruzioni inutili.

Roadmap Sophos Firewall nei tempi previsti

Sophos presenta la Firewall v22 come la soluzione ideale per la nuova era dei servizi di Detection and Response, in particolare per i clienti che utilizzano Sophos XDR e MDR. Le funzioni uniche di monitoraggio proattivo e la capacità di applicare patch senza tempi di inattività evidenziano l’innovazione di Sophos.

Parole finali

L’evento online di ieri ha ribadito l’orientamento strategico di Sophos: una sicurezza completa e incentrata sulla prevenzione, integrata da meccanismi avanzati di rilevamento e risposta. L’integrazione di Secureworks porta significativi ampliamenti in ambito XDR, MDR e Identity Threat Detection. La Sophos Firewall, soprattutto con le novità della v21.5 e le anticipazioni sulla v22, si posiziona come soluzione di punta per la sicurezza di rete, andando ben oltre le tradizionali funzionalità firewall. Grazie alla profonda integrazione del NDR e al focus su rilevamento e risposta proattivi, Sophos offre una difesa all’avanguardia contro le minacce informatiche in continua evoluzione. Siamo convinti che questi sviluppi miglioreranno notevolmente la postura di sicurezza e proteggeranno ancora meglio le reti. Restate sintonizzati per ulteriori aggiornamenti e approfondimenti sulle nuove funzioni non appena la v22 sarà disponibile!

Come spesso accade, l’evento è stato purtroppo carico di auto-celebrazioni 🤮. Nella nostra azienda, però, molti clienti sono insoddisfatti e, soprattutto nell’ultimo anno, diversi sono passati da Sophos XG/XGS ad altri produttori.
La politica dei prezzi di Sophos è estremamente discutibile: da oltre otto anni ci sono promozioni continue per i nuovi clienti, mentre quelli esistenti rimangono spesso a mani vuote. Ciò genera malcontento e la sensazione di non essere apprezzati.
Anche le promozioni per switch e access point sono deludenti e mostrano che questi prodotti sembrano non interessare a nessuno. Un cliente ci ha recentemente inoltrato una promozione in cui, acquistando tre prodotti, te ne regalano due. È tutto dire.
Un’altra divertente aneddoto dal mondo Sophos: un cliente si è lamentato perché ha ricevuto uno switch con data di produzione 2021, quindi di quattro anni fa. Sembra che Sophos abbia ordinato troppo e nessuno voglia questi prodotti, cosa che, date le promozioni, non ci sorprende.
Anche se questi punti non vengono menzionati in un evento del genere, spero che le criticità note siano riconosciute internamente e affrontate attivamente.

a presto
Joe