Sophos Updates Setembro 2025 – Firewall, Endpoint, E-Mail
Em setembro de 2025, a Sophos apresentou novamente várias novidades. Em vez de reunir tudo numa lista longa, este artigo está dividido por áreas de produto. Assim, cada administrador encontra rapidamente os pontos relevantes para o seu ambiente. Afinal, nem todos usam os switches ou access points da Sophos – e, se usam, então os meus sinceros pêsames.
Visão geral dos principais pontos
O roubo de credenciais continua a ser o principal risco – a Sophos aposta em Passkeys e ITDR. As atualizações do Endpoint reduzem claramente o consumo de recursos e permitem novas opções de forense. Também no Firewall, Switches e Access Points há complementos importantes. A segurança de e-mail ganha destaque com uma ferramenta DMARC gratuita e relatórios TLS. Além disso, há promoções para Firewalls, novos conteúdos em vídeo e eventos como a ITSA e os Partner Business Breakfasts.
Sophos Endpoint Security
Melhorias de performance
Já estava mais do que na hora: com a versão 2025.2.x a Sophos otimizou visivelmente a performance do Endpoint. O consumo de CPU e RAM foi reduzido – segundo a Sophos até 40% menos RAM e 30% menos carga de CPU, dependendo do caso de uso (Sophos News - Sophos Endpoint: Major performance enhancements). Nota-se especialmente em ambientes VDI ou em sistemas mais antigos. Muitos clientes ficaram irritados nos últimos anos porque os endpoints da Sophos consumiam demasiados recursos. Alguns migraram para o Microsoft Defender – e esses clientes não voltam. A Sophos precisa não apenas recuperar tecnicamente, mas também reconquistar a confiança perdida.
Melhorias de performance do Sophos Endpoint
O rollout é feito em fases; em ambientes mistos é importante definir bem o grupo Canary e realizar medições antes de expandir. A própria Sophos posiciona as novas versões de forma agressiva contra a concorrência, que até então marcava pontos com alegações de “somos mais leves/rápidos”.
Suporte Legacy
Para empresas que ainda utilizam plataformas antigas, existe o novo Sophos Endpoint for Legacy Platforms. Ele cobre oficialmente sistemas já descontinuados como Windows 7 ou Windows 10 após o fim do suporte de outubro. Não é bonito, mas é prático: em licitações onde os legados são realidade, a Sophos não é imediatamente descartada.
API de Forense
Um verdadeiro avanço é a nova API de forense. Com ela é possível extrair imagens completas de memória remotamente e gravar diretamente num bucket S3 da Amazon – incluindo dump de RAM. Isso economiza tempo no processo de incident response, pois não é mais necessário deslocamento físico. Os dumps podem ser analisados através da plataforma XDR/MDR. Ferramentas separadas de memória forense continuam obrigatórias, mas a coleta de dados agora é script em vez de viagem.
Domain Controller & Telemetria de Identidade
A telemetria para Domain Controllers também foi ampliada. Ataques como PetitPotam agora podem ser detectados diretamente pelo Central. A partir da versão 2025.1 do Endpoint, a opção “Monitor Domain Controller Events” está incluída por padrão na política de servidor e pode ser usada de imediato.
Também a telemetria ligada à identidade foi mais integrada: através do Microsoft Graph Security (gratuitamente integrado em XDR/MDR) é possível correlacionar eventos de login, padrões de viagem impossível e usos anômalos de tokens. Com base nisso podem ser definidas ações de resposta no Central – até invalidação de sessão e bloqueio de usuário.
Sophos Firewall & Network Security
Na área de rede há várias novidades interessantes. Através da plataforma TAGIS agora é possível controlar também o Sophos Firewall com Active Threat Response (ATR). Isso significa: IOCs, IPs ou FQDNs identificados em operação XDR ou MDR podem ser automaticamente repassados ao firewall. Assim, a integração entre endpoint e perímetro fica mais estreita e os eventos IOC podem ser bloqueados diretamente – sem que um analista precise alternar entre consoles.
Também importante: clientes que já utilizam TAGIS/XDR podem mudar para o Sophos Endpoint sem custos adicionais. Isso reduz atritos quando se deseja consolidar a telemetria da plataforma.
Nota de promoção: para novos negócios de Firewall, a Sophos oferece até 25 licenças de Endpoint. É marketing, claro – mas operacionalmente útil para integrar sinais de Endpoint nas decisões ATR e não deixar o perímetro cego. Mais detalhes sobre os recursos do Firewall podem ser encontrados no meu artigo Sophos Firewall v21.5 .
Sophos Switches
Os switches também receberam um upgrade: a partir do MR 2.1 o Spanning Tree Protocol (STP/RSTP) pode ser configurado diretamente no Sophos Central. Antes era necessário acessar localmente os switches e configurar o STP manualmente – uma clara desvantagem em relação a outros fabricantes. Agora pode ser feito de forma centralizada, com políticas consistentes por site e root-bridge documentada. Para rollouts isso significa: menos erros de digitação, menos configurações isoladas e comportamento mais reproduzível em falhas.
Mas: isso não é um salto de inovação, e sim uma função básica atrasada. Enquanto a Sophos corre atrás, outros fornecedores já oferecem funções avançadas como BPDU-Guards, FlexLink ou prevenção automática de loops. Para ambientes enterprise ou campus, a comparação com fabricantes estabelecidos continua obrigatória.
Sophos Access Points
Nos Access Points AP6 foi fechado o último gap de visibilidade/uso em relação aos antigos modelos APX: visibilidade de aplicações/clientes, principais APs/SSIDs, horários de pico – as métricas agora estão presentes. O problema: esses recursos deveriam ter estado disponíveis desde o lançamento.
A série AP6 chegou ao mercado no final de 2023 e precisou de quase um ano para funcionar de forma estável. Depois seguiram mais seis meses até os dispositivos terem o mesmo conjunto de funções dos antecessores. Nesse período outros fabricantes desenvolveram novos recursos – melhor automação de QoS, otimizações de RF, conforto WPA3-Enterprise, Cloud-RRM com backtesting de heatmap. Já a Sophos correu atrás do atraso. Quem aposta em AP6 recebe hoje finalmente o que já tinha com APX – mas perdeu tempo valioso no processo.
Para ambientes produtivos isso é um claro sinal de alerta: evite os Access Points enquanto a Sophos não mostrar que pode ir além de recuperar atraso. Para ambientes apenas com Central, que precisam de poucos recursos, os AP6 agora estão estáveis. Para todos os outros a concorrência continua sendo a primeira escolha. Mais detalhes no meu artigo Sophos Access Points AP6 – Um pesadelo .
Sophos Identity & ITDR
O foco em setembro está no tema roubo de credenciais. Ataques por meio de proxies Adversary-in-the-Middle como “evilginx” mostram que nem mesmo o MFA é mais garantia. A Sophos recomenda a migração para Passkeys, que ao contrário dos métodos MFA clássicos não podem ser interceptados. Assim fica claro: MFA continua obrigatório, mas apenas os Passkeys fecham de fato a lacuna AitM.
Como complemento, o Sophos Central oferece novas formas de detectar automaticamente logins suspeitos – viagem impossível, logins paralelos de vários países/tokens de navegador, regras suspeitas de caixa de entrada como pré-etapa de BEC – e reagir de imediato. Sessões comprometidas podem ser invalidadas, usuários bloqueados, regras manipulativas de e-mail são removidas. Para outubro a Sophos também anunciou o Identity Threat Detection and Response (ITDR). Vindo da aquisição da SecureWorks, o ITDR será integrado ao Central como detecção de situação focada em identidade e complementará o XDR/MDR exatamente nesta lacuna.
Sophos E-Mail Security
A segurança de e-mail continua sendo um tema central. Em 2025, o BSI declarou o “Ano da Segurança de E-Mail” – a Sophos está listada na Hall of Fame. Em sintonia, há uma ferramenta de análise gratuita: em https://tools.sophosdmarc.com/ é possível verificar os registros DMARC de um domínio. Útil para health-checks rápidos em pré-venda e para auditorias de clientes existentes.
Além disso, o DMARC Manager está disponível como add-on (também compatível com MSP). O ideal é um endurecimento em etapas: de p=none para p=quarantine até p=reject – mas apenas quando SPF e DKIM estiverem configurados corretamente. Relatórios TLS completam o cenário, mostrando qual parte da comunicação está de fato criptografada e quais parceiros ainda precisam de ajustes.
Importante para equipes XDR/MDR: mesmo que os e-mails sejam processados por um fornecedor externo, é possível ativar o Email Monitoring Service (EMS). Assim, telemetria e eventos chegam ao Central – exatamente onde os playbooks de resposta já estão prontos.
Conteúdo, Eventos & Compliance
A calmaria do verão acabou: no canal YouTube em alemão e no canal técnico internacional há novamente atividades anunciadas – o mais recente é um vídeo sobre Deploy da Sophos Firewall no Microsoft Azure. Formatos ao vivo também estão a começar: especialmente relevante é um webinar de compliance (motores: Ransomware, Insurance, Compliance – “R I C”). Paralelamente, estão em curso os preparativos para a it-sa em outubro; os bilhetes estão disponíveis no site/newsletter da Sophos. Em novembro seguem os Partner Business Breakfasts em pelo menos onze locais na região DACH, separados em Business-Track e Technical-Update-Track. Quem quiser ver ambos: pode, claro.
Palavras finais
As atualizações de setembro de 2025 mostram que a Sophos reforça principalmente as áreas de proteção de identidade, eficiência e higiene de e-mail. Com Passkeys e ITDR o roubo de credenciais é enfrentado diretamente. O Endpoint 2025.2.x alivia os sistemas de forma notável, enquanto as APIs de forense abrem novos caminhos no incident response. Na rede, o ATR garante uma ligação mais forte entre Firewall e Endpoint, enquanto Switches e Access Points se destacam mais por recursos atrasados. Para a segurança de e-mail existem ferramentas simples que já trazem valor imediato. Ao mesmo tempo, o webinar mostra que a Sophos também leva adiante compliance, eventos e marketing – em parte de forma útil, em parte atrasada.
até breve
Joe