Aggiornamenti Sophos Settembre 2025 – Firewall, Endpoint, E-Mail
Nel settembre 2025 Sophos ha presentato numerose novità. Invece di riassumere tutto in un lungo elenco, questo articolo è strutturato per aree di prodotto. In questo modo ogni amministratore trova rapidamente i punti rilevanti per il proprio ambiente. Dopotutto non tutti utilizzano necessariamente gli switch o gli access point di Sophos – e se lo fanno, le mie più sincere condoglianze.
Panoramica dei punti principali
Il furto di credenziali rimane il rischio principale – Sophos punta su Passkey e ITDR. Gli aggiornamenti degli endpoint riducono sensibilmente il consumo di risorse e abilitano nuove opzioni di analisi forense. Anche per Firewall, Switch e Access Point ci sono integrazioni importanti. La sicurezza e-mail è sempre più al centro dell’attenzione con uno strumento DMARC gratuito e il reporting TLS. Inoltre, sono state annunciate promozioni per i firewall, nuovi contenuti video ed eventi come l’ITSA e i Partner Business Breakfasts.
Sophos Endpoint Security
Miglioramenti delle prestazioni
Era davvero ora: con la versione 2025.2.x Sophos ha ottimizzato sensibilmente le prestazioni degli endpoint. L’utilizzo di CPU e RAM è stato ridotto – secondo Sophos fino al 40% in meno di RAM e 30% in meno di carico CPU, a seconda del caso d’uso (Sophos News - Sophos Endpoint: Major performance enhancements). Ciò si nota soprattutto negli ambienti VDI o su sistemi più datati. Molti clienti negli ultimi anni erano infastiditi dall’eccessivo consumo di risorse degli endpoint Sophos. Alcuni sono passati a Microsoft Defender – e quei clienti non torneranno più. Sophos deve quindi non solo recuperare terreno sul piano tecnico, ma anche riconquistare la fiducia perduta.
Miglioramenti prestazioni Sophos Endpoint
Il rollout è graduale; negli ambienti misti conviene definire con precisione il gruppo Canary ed effettuare misurazioni prima di procedere a una distribuzione su larga scala. Sophos stessa posiziona le nuove versioni in modo aggressivo contro la concorrenza, che finora aveva fatto leva sul claim “noi siamo più leggeri/più veloci”.
Supporto Legacy
Per le aziende che utilizzano ancora piattaforme datate, è disponibile il nuovo Sophos Endpoint for Legacy Platforms. Si rivolge ufficialmente a sistemi non più supportati come Windows 7 o Windows 10 dopo la fine del supporto di ottobre. Non è il massimo, ma è pratico: nelle gare d’appalto dove i sistemi legacy sono ancora una realtà, Sophos non viene esclusa subito.
API Forense
Un vero passo avanti è la nuova API forense. Consente di estrarre interi dump di memoria da remoto e scriverli direttamente in un bucket Amazon S3 – incluso il RAM dump. Ciò fa risparmiare tempo nel processo di incident response, poiché non è più necessario un intervento in loco. Tramite la piattaforma XDR/MDR questi dump possono essere analizzati. Gli strumenti di memory forensics restano indispensabili, ma l’acquisizione dei dati è ora uno script, non un viaggio di lavoro.
Domain Controller & Telemetria Identity
Inoltre, è stata ampliata la telemetria per i Domain Controller. Attacchi come PetitPotam possono ora essere rilevati direttamente tramite Central. A partire dalla versione 2025.1 dell’endpoint, l’opzione “Monitor Domain Controller Events” è inclusa di default nella Server Policy ed è immediatamente utilizzabile.
Anche la telemetria legata all’identità è integrata più a fondo: tramite Microsoft Graph Security (integrabile gratuitamente in XDR/MDR) è possibile correlare eventi di accesso, pattern di impossible travel e usi anomali dei token. Su questa base possono essere definite in Central delle Response Actions – fino a invalidare le sessioni e bloccare gli utenti.
Sophos Firewall & Network Security
Nel settore rete ci sono diverse novità interessanti. Tramite la piattaforma TAGIS è ora possibile controllare anche Sophos Firewall con l’Active Threat Response (ATR). Questo significa che IOC, IP o FQDN rilevati in ambiente XDR o MDR possono essere automaticamente trasferiti al firewall. In questo modo l’integrazione tra endpoint e perimetro è più stretta e gli eventi IOC possono essere bloccati direttamente – senza che un analista debba saltare freneticamente tra le console.
Importante anche: i clienti già su TAGIS/XDR possono passare a Sophos Endpoint senza costi aggiuntivi. Ciò riduce gli attriti se si vuole consolidare la telemetria della piattaforma.
Nota promo: Per i nuovi contratti firewall, Sophos mette a disposizione fino a 25 licenze Endpoint. È marketing, certo – ma utile dal punto di vista operativo per integrare i segnali degli endpoint nelle decisioni ATR e non lasciare il perimetro “alla cieca”. Maggiori dettagli sulle funzionalità firewall nel mio articolo Sophos Firewall v21.5 .
Sophos Switches
Anche gli switch hanno ricevuto un upgrade: a partire da MR 2.1, il Spanning Tree Protocol (STP/RSTP) è configurabile direttamente da Sophos Central. In precedenza bisognava accedere localmente agli switch e impostare manualmente STP – un chiaro svantaggio rispetto ad altri produttori. Ora è possibile farlo centralmente, con policy coerenti per sito e root bridge documentata. Per i rollout significa: meno errori di digitazione, meno configurazioni isolate e un comportamento più riproducibile in caso di guasti.
Ma: non si tratta di un salto innovativo, bensì di una funzione di base tardiva. Mentre Sophos recupera terreno, altri vendor offrono già funzionalità estese come BPDU Guard, FlexLink o prevenzione automatica dei loop. Per ambienti enterprise o campus il confronto con i produttori consolidati resta obbligatorio.
Sophos Access Points
Per gli Access Point AP6 è stato colmato l’ultimo gap di utilizzo/visibilità rispetto ai vecchi modelli APX: visibilità di applicazioni/client, top AP/SSID, orari di picco – le metriche ora ci sono. Il problema: queste funzioni avrebbero dovuto esserci fin dal lancio.
La serie AP6 è arrivata sul mercato a fine 2023 e ha impiegato quasi un anno per diventare stabile. Poi sono serviti altri sei mesi perché i dispositivi raggiungessero la stessa funzionalità dei predecessori. Nel frattempo altri produttori hanno sviluppato nuove funzioni – automazioni QoS più efficaci, ottimizzazioni RF, comfort WPA3-Enterprise, Cloud-RRM con heatmap backtesting. Sophos invece ha chiuso i ritardi. Chi sceglie AP6 oggi ottiene finalmente ciò che APX offriva da tempo – ma nel frattempo ha perso tempo prezioso.
Per ambienti produttivi questo è un chiaro segnale di allarme: meglio evitare gli Access Point finché Sophos non dimostra di saper fare di più che colmare i ritardi. Per gli ambienti solo Central, che necessitano di poche leve funzionali, gli AP6 sono ora stabili. Per tutti gli altri la concorrenza resta la prima scelta. Maggiori dettagli nel mio articolo Access Point Sophos AP6 – dall’inferno .
Sophos Identity & ITDR
Un focus di settembre è il tema del furto di credenziali. Attacchi tramite proxy Adversary-in-the-Middle come “evilginx” mostrano che anche la MFA non è più una garanzia. Sophos raccomanda la migrazione ai Passkey, che a differenza dei metodi MFA classici non possono essere intercettati. È quindi chiaro: la MFA resta obbligatoria, ma solo i Passkey chiudono davvero il gap AitM.
In aggiunta, Sophos Central offre nuove possibilità per rilevare automaticamente accessi sospetti – impossible travel, login paralleli da più Paesi/browser token, regole sospette nelle inbox come precursori di BEC – e reagire subito. Le sessioni compromesse possono essere invalidate, gli utenti bloccati, le regole manipolative eliminate. Per ottobre Sophos annuncia inoltre l’Identity Threat Detection and Response (ITDR). Proveniente dall’acquisizione di SecureWorks, ITDR sarà integrato in Central come sistema di rilevamento incentrato sull’identità e completerà XDR/MDR proprio in questa area.
Sophos E-Mail Security
La sicurezza e-mail rimane un tema centrale. Nel 2025 il BSI ha dichiarato l’“anno della sicurezza e-mail” – Sophos è presente nella Hall of Fame. In linea con ciò, è disponibile uno strumento di analisi gratuito: su https://tools.sophosdmarc.com/ è possibile controllare i record DMARC di un dominio. È utile per rapidi health check in pre-sales e per audit dei clienti esistenti.
Inoltre, è disponibile il DMARC Manager come add-on (anche MSP-ready). È sensato un hardening graduale: da p=none a p=quarantine fino a p=reject – ma solo quando SPF e DKIM sono correttamente configurati. Il TLS-Reporting completa il quadro mostrando quale parte della comunicazione è effettivamente cifrata e quali partner necessitano ancora di interventi.
Importante per i team XDR/MDR: anche se le e-mail sono gestite da un fornitore esterno, è possibile attivare il Email Monitoring Service (EMS). In questo modo la telemetria e gli eventi finiscono comunque in Central – proprio lì dove i playbook di risposta sono già pronti.
Contenuti, Eventi & Compliance
La pausa estiva è finita: sul canale YouTube in lingua tedesca e su quello tecnico internazionale è annunciata nuova attività – è già online un video sul deployment di Sophos Firewall in Microsoft Azure. Ripartono anche i formati live: particolarmente rilevante un webinar sulla compliance (driver: Ransomware, Insurance, Compliance – “R I C”). In parallelo, proseguono i preparativi per l’it-sa di ottobre; i biglietti sono disponibili sul sito/newsletter Sophos. A novembre seguiranno i Partner Business Breakfasts in almeno undici città DACH, separati in Business Track e Technical Update Track. Chi vuole vedere entrambi: è ovviamente possibile.
Conclusioni
Gli aggiornamenti di settembre 2025 mostrano che Sophos affina soprattutto nelle aree di protezione dell’identità, efficienza e igiene e-mail. Con Passkey e ITDR il furto di credenziali viene affrontato in modo mirato. L’endpoint 2025.2.x alleggerisce sensibilmente i sistemi, mentre le API forensi aprono nuove strade nell’incident response. Nel settore rete l’ATR rafforza l’integrazione tra firewall ed endpoint, mentre switch e access point si distinguono più per funzioni tardive che innovative. Per la sicurezza e-mail ci sono strumenti semplici che creano valore immediato. Allo stesso tempo il webinar mostra che Sophos spinge avanti anche compliance, eventi e marketing – in parte utili, in parte in ritardo.
Personalmente, però, attendo soprattutto il SFOS v22, che uscirà all’inizio di dicembre. Mi aspetto novità decisamente più interessanti, in grado di oscurare gli aggiornamenti attuali.
a presto
Joe