Sophos Update: новости онлайн-мероприятия для партнеров (SFOS 22 и другое)

Введение

Вчера (24.06.2025) компания Sophos провела онлайн-мероприятие для партнеров, на котором представила последние разработки и будущее направление деятельности. Этот блог-пост освещает ключевые объявления и инсайты, прозвучавшие во время события. Многие из представленных новинок, такие как Sophos Firewall v21.5 , уже несколько недель доступны или частично известны, и Sophos воспользовалась случаем, чтобы вновь широко их представить. Тем не менее были и захватывающие сведения о грядущих разработках, которые мы рассмотрим подробнее. Постоянное развитие и фокус на предотвращении, защите, обнаружении и реагировании остаются центральными столпами стратегии Sophos.

Sophos + Secureworks: стратегическая интеграция для всесторонней безопасности

Одной из главных тем мероприятия стало обновление по поводу завершения в феврале сделки по приобретению Secureworks компанией Sophos. Объединение должно усилить позиции обеих компаний и создать ещё более полный портфель средств защиты:

• Подход Prevention-First. Sophos, известная экспертизой в защите конечных устройств, подчёркивает важность предотвращения. Чем раньше остановлена угроза, тем меньше затраты и усилия на устранение. Sophos уже 15 лет лидирует в Gartner Magic Quadrant по безопасности конечных точек и автоматически блокирует 99 % угроз. Интеграция возможностей XDR Secureworks в агент Sophos Endpoint (как вариант) повышает ценность решения.
• Крупнейшая открытая платформа, нативно использующая ИИ. С 2015 года Sophos инвестирует в искусственный интеллект, и платформа Sophos Central содержит более 50 моделей глубокого обучения и ИИ. Ежедневно обрабатывается свыше 900 ТБ данных, что обеспечивает огромную видимость и телеметрию. Платформа Taegis от Secureworks дополняет это расширенными операционными рабочими потоками безопасности, настраиваемыми отчётами, плейбуками и интеграциями.
• Гибкость под ваши потребности. Стратегия Sophos основана на открытости и интеграции. Операции XDR и MDR должны обеспечивать полную прозрачность существующих инвестиций клиентов в сторонние конечные точки, фаерволы, почту, облачные и другие решения.
• Синхронизированная безопасность. Цель — быстрая ремедиация и реакция на угрозы. Продукты должны теснее взаимодействовать, чтобы сокращать время ответа и эффективно останавливать вредоносную активность. К сожалению, даже спустя годы Synchronized Security между конечной точкой и фаерволом по веб-политикам всё ещё недостаточно зрелая, хотя это был бы большой плюс для админов.
• Максимальная удовлетворённость клиентов. Sophos — единственный вендор, входящий в топ-4 четырёх категорий Gartner Customer’s Choice (Endpoint, MDR, XDR и Firewall). На G2 Sophos также лидирует в пяти категориях. Оценка MITRE ATT&CK 2024 (раунд 6) подтверждает силу защиты и возможностей обнаружения на конечных точках.

Консолидация портфеля и дорожная карта

Sophos приняла чёткие решения по оптимизации портфеля:

• Защита конечных устройств. Агент Sophos Endpoint станет основным агентом для всех предложений.
• XDR. Решением по умолчанию будет Taegis XDR, интегрированное в Sophos Central. Существующие клиенты Sophos XDR перейдут на улучшенный опыт Taegis.
• MDR. Две службы MDR объединяются; лучшие стороны обеих войдут в новые комбинированные уровни MDR.
• Функции SIEM. Taegis поддерживает возможности SIEM, которые в будущем будут доступны клиентам Sophos (в основном управление журналами и соответствие требованиям как дополнение).

Сделка завершена 3 февраля. Интеграция идёт быстро:

• Август 2025. Полная интеграция агента Sophos Endpoint с платформой Taegis XDR. Клиенты Taegis получат доступ к агенту Sophos Endpoint.
• Осень 2025. Расширение портфеля решений для обеих клиентских баз. Клиенты Secureworks получат доступ ко всем технологиям Sophos, а клиенты Sophos — к новым функциям, например ITDR.
• Конец 2025 — начало 2026. Полное объединение платформ, Taegis будет интегрирован в Sophos Central.

Sophos Managed Risk: проактивное управление уязвимостями

Ещё одна важная тема — сервис Managed Risk, запущенный более года назад в партнёрстве с Tenable. Это управляемое предложение по менеджменту уязвимостей, предоставляемое экспертами Sophos по выявлению и устранению угроз.

• Ключевые функции:
  • Видимость. Полное обнаружение внутренних и внешних активов для чёткого понимания цифровой поверхности атаки.
  • Непрерывный мониторинг рисков. Команда Sophos выявляет критичные точки и помогает приоритизировать устранение.
  • Приоритизация. Использование технологии приоритизации уязвимостей Tenable на базе ИИ плюс экспертиза Sophos.
  • Уведомления. Проактивные оповещения при обнаружении серьёзных уязвимостей.
• Расширение сервиса: В Managed Risk добавлен Internal Attack Surface Management (IASM), дополнивший существующий External ASM и обеспечивший полный обзор уязвимостей как внешних, так и внутренних активов.
• Лицензирование: Managed Risk — это дополнение к MDR (MDR Essentials или MDR Complete) и лицензируется не по IP-адресам, а по количеству пользователей и серверов, что согласуется с другими лицензиями Sophos.

Sophos ITDR (Identity Threat Detection and Response)

Sophos ITDR станет мощным новым дополнением к Sophos MDR и Sophos XDR в октябре 2025 года. Технология получена благодаря покупке Secureworks и направлена на снижение рисков, связанных с идентичностями:

Что такое ITDR?

Identity Threat Detection and Response (ITDR) — это решение безопасности, специально ориентированное на раннее обнаружение и эффективное отражение атак на цифровые идентичности. В отличие от традиционного управления идентичностями и доступом (IAM) ITDR непрерывно анализирует данные идентичностей, поведение пользователей и сведения об угрозах, мгновенно выявляя подозрительную активность.

Основные цели и функции

• Защита от угроз идентичности
  Постоянное сканирование сервисов идентичности (например Microsoft Entra ID / Azure AD) на наличие уязвимостей и неправильных настроек.

• Сокращение площади атаки
  Мониторинг компрометированных учётных данных и оповещение, если логины появляются в дарквебе или других ненадёжных источниках.

• Минимизация риска похищенных учётных данных
  Обнаружение и блокировка необычных попыток входа или доступа, указывающих на использование украденных credential-ов.

• Обнаружение рискованной активности пользователей
  Выявление продвинутых атак, основанных на идентичностях, латерального перемещения в сети и несанкционированного повышения привилегий, с последующими автоматическими контрмерами.

Вкратце: ITDR создаёт проактивный щит для идентичностей, непрерывно наблюдая за состоянием безопасности и реагируя в реальном времени на любую подозрительную или вредоносную активность вокруг учётных записей.
ITDR будет доступно как платное дополнение для всех клиентов Sophos XDR и MDR, существенно усилив портфель Security Operations от Sophos.

Sophos Incident Response и Advisory Services

Sophos объединила и расширила свои предложения Incident Response:

• Emergency Incident Response. Сервис Rapid Response от Sophos и возможности Incident Response Secureworks объединены в новую консолидацию услуг экстренного реагирования. Оплата почасовая, соответствующая ожиданиям кибер-страховщиков. Предусмотрены быстрое выявление и нейтрализация активных угроз, поддержка удалённо и на месте, а также расширенные услуги, такие как цифровая криминалистика и переговоры с вымогателями. Для клиентов MDR Complete неограниченный Incident Response уже включён.
• Advisory Services. Проактивное снижение рисков дополнено новыми консультационными услугами на основе возможностей Secureworks: внешние пен-тесты, внутренние WLAN-тесты и оценки безопасности веб-приложений. Эти услуги нацелены на проактивное сокращение рисков и улучшение общей стратегии безопасности.

Sophos Firewall: стратегия трёх единств

Sophos Firewall отличается от многих других решений целостным подходом, основанным на трёх ключевых столпах:

1. Смягчение (Mitigation). Сокращение площади атаки и минимизация риска взлома. Sophos внедряет функции Zero Trust Network Access (ZTNA) и инициативу Secure by Design, чтобы укрепить инфраструктуру и избежать лишней экспозиции в интернет.
2. Защита (Protection). Классическая область предотвращения угроз: Sophos Firewall блокирует атаки до того, как они достигают сети, используя передовые движки угроз, которые проактивно выявляют и останавливают вредоносную активность.
3. Обнаружение и реакция (Detection and Response). Ключевое отличие: Sophos Firewall не просто отражает атаки, но и автоматически обнаруживает активных злоумышленников внутри сети и изолирует их. Это обеспечивается Synchronized Security и Active Threat Response, которые гарантируют быструю и скоординированную реакцию.

Большинство фаерволов сосредоточены в основном на защите, упуская смягчение и возможности обнаружения и реагирования. Sophos это осознала и инвестирует во все три области, обеспечивая комплексную защиту и повышая устойчивость инфраструктуры.

Что нового в Sophos Firewall v21.5? (предвкусие v22)

Недавно выпущенная Sophos Firewall v21.5 , доступная всем клиентам бесплатно, уже даёт впечатляющее представление о будущем направлении Sophos Firewall. Основные моменты:

• Интеграция Network Detection and Response (NDR). Первая в отрасли функция. NDR Essentials встроен прямо в вашу Sophos Firewall — без доплаты и без влияния на производительность, так как анализ выполняется в облаке Sophos. Два ключевых компонента:
  • Encrypted Payload Analysis (EPA). Определяет malware-пейлоуды и сетевой трафик без необходимости TLS MITM-расшифровки. Первые пакеты сессии преобразуются в графическое спиральное изображение, которое ИИ анализирует на вредоносные шаблоны. Огромное преимущество, особенно для малого и среднего бизнеса, где TLS-инспекция невозможна или нежелательна.
  • Domain Generation Algorithm (DGA) Detection. Обнаруживает домены, созданные вредоносными алгоритмами, нередко ещё до их регистрации или использования, предотвращая связь с серверами злоумышленников даже при неизвестных доменах.
• Поддержка Single Sign-On (SSO) для Entra ID (Microsoft Azure AD). Долгожданная функция, значительно упрощающая авторизацию для клиентов VPN Remote Access через Sophos Connect или портал VPN.
• Улучшенные DNS-сервисы. Новые инструменты статуса, устранения неполадок и руководства упрощают настройку и использование DNS.
• Дополнительные принципы Secure by Design. Новые функции усиления и мониторинга повышают безопасность фаервола.
• Повышение удобства управления. Реализованы многочисленные улучшения ежедневного администрирования, основанные на пожеланиях клиентов.

Интеграция NDR — настоящий game changer. Sophos — единственный вендор, встроивший NDR прямо в фаервол и предоставляющий его без доплаты в составе пакета Extreme Protection, что подчёркивает стремление Sophos к передовому обнаружению на сетевой периферии.

Взгляд в будущее: Sophos Firewall v22

Версия 22, ожидаемая к концу года, продолжит развивать эти инновации и углубит три ключевые темы:

1. Secure By Design.

   • Функция Health Check. Одна из главных новинок v22. Она проверит десятки разделов конфигурации фаервола и моментально выделит зоны высокого риска, настроенные не оптимально. Это поможет администраторам внедрить лучшие практики и проактивно устранить уязвимости, даже если они были пропущены при изначальной настройке.

     Пример текущих проверяемых контролей

     №	Контроль	Серьёзность	Статус
     1.1	Включена сложность паролей (по умолчанию)	Высокая	Пройден
     1.2	Настроена MFA для учётки администратора	Средний риск	Пройден
     1.3	Настроен lock/logout/block сеанса администратора при неудачных попытках	Высокая	Не пройден
     1.4	Корректно настроены NTP-серверы	Низкий риск	Пройден
     1.5a	HTTPS на WAN отключён	Высокая	Пройден
     1.5b	Портал пользователя на WAN отключён	Высокая	Пройден
     1.6	Используется действительный сертификат для доступа к Webadmin	Высокая	Пройден
     2.1	Для SNMP выбрана версия v3	Высокая	Пройден
     2.2	Настроены уведомления о системных и админ-событиях	Высокая	Пройден
     2.3	Hotfix включён	Высокая	Ошибка
     3.1	Active Threat Response > X-Ops включён и задано действие	Высокая	Пройден
     3.2	Active Threat Response > NDR-E включён и задано действие	Высокая	Пройден
     3.3	Active Threat Response > MDR включён и задано действие	Высокая	Пройден
     3.4	Включена защита от нулевого дня	Высокая	Пройден
     3.5	Включён IPS и настроено хотя бы одно правило	Высокая	Пройден
     3.6	Нет правил с «Any» для сети и сервисов	Высокая	Пройден
     3.7	Настроено правило с Security Heartbeat	Высокая	Пройден
     3.8	Включена SSL/TLS-инспекция во всех релевантных политиках	Высокая	Пройден
     3.9	Включена защита DoS & Spoof с порогами	Высокая	Пройден
     3.10	Настроено правило с политикой по пользователю	Высокая	Пройден

     • К сожалению, аппаратная часть полностью обходится стороной. Частые проблемы, такие как отказ SSD или повреждённая БД, мы всё ещё вынуждены искать в логах через SSH. Нет ни email-оповещений, ни автоматической проверки состояния аппаратуры. Общее качество «железа» также требует улучшений: по некоторым моделям остаётся много RMA.

   • Улучшенная архитектура, автоматическое обнаружение, Secure Desecure. V22 дополнительно укрепит архитектуру для более эффективного автоматизированного обнаружения и ещё более безопасного дизайна.

2. Сети и масштабируемость.

   • Повышение производительности. Команда Sophos непрерывно улучшает скорость работы фаервола. V22 принесёт значительный прирост, особенно для крупных образовательных и распределённых сетей, что выгодно всем клиентам.
   • Распределённое оборудование. Дальнейшие разработки в области распределённого hardware повысят масштабируемость и гибкость решений.

3. Повседневное управление.

   • Улучшенный пользовательский опыт. Sophos продолжит учитывать обратную связь клиентов, оптимизируя ежедневное администрирование через улучшения интерфейса и удобства.
   • Мониторинг аппаратуры, улучшения MSA. Расширенный мониторинг оборудования и сервисы управления ещё больше повысят эффективность эксплуатации.

     • Управление уведомлениями на фаерволах можно улучшить: когда отображается сообщение о техобслуживании, его нельзя скрыть самостоятельно, что вызывает лишние помехи.

Дорожная карта Sophos Firewall по графику

Sophos позиционирует Firewall v22 как идеальное решение для новой эры сервисов обнаружения и реагирования, особенно для клиентов Sophos XDR и MDR. Уникальные функции проактивного мониторинга и возможность применять патчи без простоя подчёркивают инновационность Sophos.

Последние слова

Вчерашнее онлайн-мероприятие Sophos снова продемонстрировало стратегический курс компании: комплексная безопасность, ориентированная на предотвращение, дополняемая продвинутыми механизмами обнаружения и реакции. Интеграция Secureworks приносит значимые расширения в XDR, MDR и ITDR. Sophos Firewall, особенно с инновациями v21.5 и планами на v22, занимает лидирующие позиции в сетевой безопасности, выходя далеко за рамки традиционных функций фаервола. Глубокая интеграция NDR и упор на проактивное обнаружение и реакцию обеспечивают передовую защиту от постоянно развивающихся кибер-угроз. Мы уверены, что эти новшества значительно повысят уровень безопасности и ещё лучше защитят сети. Следите за обновлениями и подробным обзором новых функций сразу после выхода v22!

Как часто бывает, событие оказалось переполнено самовосхвалением 🤮. Тем не менее у нас в компании много недовольных клиентов, и только за прошлый год многие перешли с Sophos XG/XGS к другим производителям.
Ценовая политика Sophos вызывает большие вопросы. Уже более восьми лет регулярно проводятся акции для новых клиентов, тогда как существующие остаются ни с чем. Это вызывает недовольство и ощущение недооценённости.
Акции на коммутаторы и точки доступа тоже удручают и показывают, что эти продукты мало кому интересны. Один клиент недавно прислал нам промо-акцию «купи три, два в подарок». Это о многом говорит.
Ещё одна забавная история из жизни с Sophos: клиент пожаловался, что получил коммутатор с датой производства 2021 года — то есть ему уже около четырёх лет. Похоже, Sophos закупила слишком много, и никто не хочет эти устройства, чему мы не удивляемся, учитывая акции.
Хотя такие моменты и не поднимаются на подобных мероприятиях, надеюсь, известные слабые места внутри компании признаны и активно исправляются.

до скорого
Joe