Обновления Sophos сентябрь 2025 – Firewall, Endpoint, E-Mail
В сентябре 2025 Sophos представила ряд новинок. Вместо длинного списка этот пост разделён по продуктовым направлениям, чтобы каждый администратор быстро находил нужное. Не каждый использует коммутаторы или точки доступа Sophos – а если и да, то примите мои соболезнования.
Основные моменты
Кража учётных данных остаётся главным риском – Sophos делает ставку на Passkeys и ITDR. Обновления Endpoint заметно снижают потребление ресурсов и открывают новые возможности для форензики. В области Firewall, коммутаторов и точек доступа появились важные дополнения. Защита электронной почты выходит на первый план с бесплатным инструментом DMARC и TLS-отчётностью. Дополнительно – промоакции для Firewalls, новые видеоматериалы и мероприятия вроде ITSA и Partner Business Breakfasts.
Sophos Endpoint Security
Улучшение производительности
Наконец-то: в версии 2025.2.x Sophos ощутимо оптимизировала производительность Endpoint. Потребление CPU и RAM снижено – по данным Sophos, до 40 % меньше RAM и 30 % меньше нагрузки на CPU, в зависимости от сценария (Sophos News - Sophos Endpoint: Major performance enhancements). Это особенно заметно в VDI-средах или на старых системах. Многие клиенты жаловались в последние годы, что Sophos Endpoint слишком требователен. Некоторые перешли на Microsoft Defender – и эти клиенты уже не вернутся. Sophos придётся не только догонять технически, но и возвращать утраченное доверие.
Улучшения производительности Sophos Endpoint
Релиз разворачивается поэтапно; в смешанных средах стоит аккуратно определить Canary-группу и провести замеры до массового внедрения. Sophos сама активно позиционирует новые версии против конкурентов, которые раньше выигрывали лозунгами «мы легче/быстрее».
Поддержка устаревших систем
Для компаний, использующих старые платформы, появилось новое Sophos Endpoint for Legacy Platforms. Оно рассчитано на официально снятые с поддержки системы вроде Windows 7 или Windows 10 после окончания поддержки в октябре. Не идеально, но полезно: при тендерах с «наследием» Sophos теперь не исключается автоматически.
Форензическая API
Существенный шаг – новая Forensics API. Теперь можно удалённо собирать полные дампы памяти и выгружать их прямо в Amazon-S3-бакет – включая RAM-Dump. Это экономит время при Incident Response, исключая необходимость выезда на место. Анализ возможен в XDR/MDR. Отдельные инструменты Memory-Forensics по-прежнему нужны, но теперь сбор данных – это скрипт, а не командировка.
Domain Controller и телеметрия Identity
Расширена телеметрия для контроллеров домена. Атаки вроде PetitPotam теперь обнаруживаются прямо через Central. Начиная с Endpoint 2025.1, опция «Monitor Domain Controller Events» включена в Server Policy по умолчанию.
Кроме того, сильнее интегрирована идентификационная телеметрия: через Microsoft Graph Security (бесплатно доступен в XDR/MDR) можно коррелировать события входа, Impossible Travel и аномальное использование токенов. На их основе в Central задаются Response Actions – вплоть до инвалидации сессий и блокировки пользователей.
Sophos Firewall & Network Security
В сетевой части – несколько новинок. Через платформу TAGIS теперь можно управлять Sophos Firewall с помощью Active Threat Response (ATR). Это значит: IOC, IP или FQDN, обнаруженные XDR/MDR, автоматически передаются на Firewall. Таким образом связь между Endpoint и периметром становится теснее, и IOC-блокировки происходят без участия аналитика.
Важный момент: клиенты на TAGIS/XDR могут без доплаты перейти на Sophos Endpoint. Это снижает трения при консолидации телеметрии.
Промо: При новых сделках на Firewall Sophos предоставляет до 25 лицензий Endpoint. Маркетинг, конечно, но полезно – Endpoint-сигналы участвуют в решениях ATR, и периметр не остаётся «слепым». Подробнее о функциях Firewall в моём посте Sophos Firewall v21.5 .
Sophos Switches
Коммутаторы тоже обновились: с MR 2.1 Spanning Tree Protocol (STP/RSTP) настраивается прямо в Sophos Central. Раньше требовался локальный вход и ручная настройка STP – явное отставание. Теперь всё централизовано: единые политики, зафиксированная Root-Bridge, меньше ошибок. Для развёртываний – меньше опечаток, меньше «островных» конфигураций, предсказуемость при сбоях.
Но это не инновация, а запоздалая базовая функция. Конкуренты давно предлагают расширенные возможности вроде BPDU-Guards, FlexLink или автоматической Loop-Prevention. В Enterprise- и Campus-средах сравнение с лидерами рынка неизбежно.
Sophos Access Points
Для точек доступа AP6 закрыт последний разрыв по видимости/использованию по сравнению с APX: теперь есть Application/Client-видимость, статистика SSID, пики нагрузки. Проблема в том, что эти функции должны были быть сразу при запуске.
Серия AP6 вышла в конце 2023 и почти год работала нестабильно. Потом понадобилось ещё полгода, чтобы подтянуть функционал APX. За это время конкуренты выпустили новые возможности – улучшенный QoS, RF-оптимизацию, WPA3-Enterprise, Cloud-RRM с Heatmap. Sophos лишь догоняла. Сегодня AP6 наконец-то на уровне APX – но ценное время потеряно.
Для рабочих сред это сигнал: обходите AP стороной, пока Sophos не покажет, что умеет не только догонять. Для Central-only-сред, где не нужны расширенные функции, AP6 теперь стабильны. Для всех остальных конкуренты предпочтительнее. Подробнее – в моём посте Точки доступа Sophos AP6 – из ада .
Sophos Identity & ITDR
Главный фокус – Credential Theft. Атаки через Adversary-in-the-Middle-прокси вроде «evilginx» показывают, что даже MFA не даёт гарантии. Sophos рекомендует переход на Passkeys, которые в отличие от MFA нельзя перехватить. MFA остаётся обязательным, но только Passkeys закрывают дыру AitM.
Дополнительно Sophos Central теперь выявляет подозрительные входы – Impossible Travel, параллельные логины из разных стран/браузеров, подозрительные правила Inbox как признак BEC – и сразу реагирует. Сессии можно завершить, пользователей заблокировать, вредоносные правила удалить. В октябре Sophos представит Identity Threat Detection and Response (ITDR). Этот модуль, пришедший из SecureWorks, интегрируется в Central и дополняет XDR/MDR.
Sophos E-Mail Security
Защита почты остаётся ключевой темой. В 2025 BSI объявил «годом безопасности электронной почты» – Sophos включена в Hall of Fame. Под это есть бесплатный инструмент: на https://tools.sophosdmarc.com/ можно проверить DMARC-записи домена. Подходит для быстрых Health-Checks в Pre-Sales и аудитов клиентов.
Кроме того, доступен DMARC Manager как Add-on (подходит для MSP). Рекомендуется пошаговое ужесточение: от p=none к p=quarantine и p=reject – но только при корректных SPF и DKIM. TLS-Reporting дополняет картину, показывая, какая доля трафика зашифрована и какие партнёры ещё отстают.
Важно для XDR/MDR: даже если почта у стороннего провайдера, можно подключить Email Monitoring Service (EMS). Тогда телеметрия и события всё равно попадут в Central – где вас ждут Playbooks.
Контент, мероприятия и соответствие требованиям
Лето закончилось: на немецком YouTube-канале и международном Tech-канале снова планируются активности – новое видео по Sophos Firewall Deployment в Microsoft Azure. Стартуют и живые форматы: особенно важно Compliance-вебинар (драйверы: Ransomware, Insurance, Compliance – «R I C»). Параллельно готовится участие в it-sa в октябре; билеты доступны через сайт/рассылку Sophos. В ноябре пройдут Partner Business Breakfasts минимум в 11 городах DACH, отдельно для Business-Track и Technical-Update-Track. Хочешь оба – пожалуйста.
Заключение
Обновления сентября 2025 показывают, что Sophos усиливает акцент на защите идентичности, эффективности и почтовой гигиене. Passkeys и ITDR закрывают угрозу Credential Theft. Endpoint 2025.2.x ощутимо снижает нагрузку, а Forensics API открывает новые возможности Incident Response. В сети ATR связывает Firewall и Endpoint, тогда как коммутаторы и точки доступа выделяются лишь запоздалыми функциями. В почте появились простые, но полезные инструменты. Вебинары подтверждают: Sophos двигает вперёд и Compliance, и мероприятия, и маркетинг – где-то своевременно, где-то запоздало.
до скорого
Joe