Sophos 更新 2025年9月 – 防火墙、终端、电子邮件
在 2025 年 9 月,Sophos 再次发布了大量更新。本篇文章不是将所有内容罗列成一张长清单,而是按照 产品类别 进行整理。这样,每位管理员都能快速找到与自己环境相关的内容。毕竟,并不是每个人都在使用 Sophos 的交换机或接入点——如果你在用,那只能表示遗憾。
关键要点概览
凭证窃取依然是主要风险 – Sophos 借助 Passkeys 和 ITDR 来应对。终端更新显著降低了资源消耗,并引入了新的取证功能。在防火墙、交换机和接入点方面也有一些重要补充。电子邮件安全成为重点,新增了免费 DMARC 工具和 TLS 报告。此外,还有防火墙促销、新的视频内容,以及 ITSA 和合作伙伴早餐会等活动。
Sophos 终端安全
性能改进
这次更新可谓姗姗来迟:在 2025.2.x 版本中,Sophos 显著提升了终端性能。CPU 和内存占用率均有所下降——官方数据显示 RAM 降低最高可达 40%,CPU 负载降低最高可达 30%,具体取决于使用场景(Sophos News - Sophos Endpoint: Major performance enhancements)。这在 VDI 环境或老旧系统上尤为明显。近年来,许多客户抱怨 Sophos 终端过于吃资源,因此转向 Microsoft Defender——这些用户一旦流失,基本不会回头。Sophos 不仅需要在技术上追赶,还必须重建信任。
Sophos Endpoint 性能改进
此次更新采用分阶段推送;在混合环境中,应当先明确 Canary 测试组并进行性能测量,再大规模部署。Sophos 官方也将新版本积极定位为对抗竞争对手的武器,此前竞争对手凭借“更轻、更快”的口号获得优势。
旧系统支持
针对仍在使用老旧平台的企业,Sophos 推出了新命名的 Sophos Endpoint for Legacy Platforms。它支持官方已停止维护的系统,如 Windows 7 或 Windows 10(在支持结束后)。虽然不理想,但确实实用:在需要兼容遗留系统的招标项目中,Sophos 不会直接被排除。
取证 API
真正的亮点是新推出的取证 API。它允许远程获取完整的内存镜像并直接写入 Amazon S3 存储桶——包括 RAM 转储。这大幅节省了事件响应过程中的时间,因为无需再派人现场操作。通过 XDR/MDR 平台即可对这些转储进行分析。虽然仍然需要专用的内存取证工具,但现在的 数据获取 已经从人工出差变为脚本化操作。
域控制器与身份遥测
域控制器的遥测功能得到了扩展。像 PetitPotam 这样的攻击现在可以直接通过 Central 检测。从 2025.1 版本开始,Server Policy 中的“Monitor Domain Controller Events”选项默认启用并可直接使用。
此外,身份相关的遥测集成更紧密:借助 Microsoft Graph Security(在 XDR/MDR 中免费集成),可以关联登录事件、不可能旅行模式和异常令牌使用情况。在此基础上,可以在 Central 中定义 响应操作——包括会话失效处理和用户锁定。
Sophos 防火墙与网络安全
在网络领域,也有多个值得关注的新功能。通过 TAGIS 平台,现在可以使用 Active Threat Response (ATR) 控制 Sophos 防火墙。这意味着:在 XDR 或 MDR 运行过程中检测到的 IOCs、IP 或 FQDN 可以自动推送到防火墙。这样,终端与边界的协同更加紧密,IOC 事件可被直接阻断——无需分析师在不同控制台间频繁切换。
另一点重要更新:已使用 TAGIS/XDR 的客户可以无额外费用切换到 Sophos Endpoint。这为整合平台遥测数据提供了便利。
促销提示: 对于新的防火墙交易,Sophos 提供 最多 25 个终端许可。虽然带有营销性质,但确实有助于将终端信号纳入 ATR 决策,避免防火墙“盲飞”。更多防火墙功能详情,请参阅我的文章 Sophos Firewall v21.5 。
Sophos 交换机
交换机也迎来升级:从 MR 2.1 开始,可以在 Sophos Central 中直接配置 生成树协议 (STP/RSTP)。此前必须本地登录交换机手动配置 STP——与其他厂商相比,这是一个明显劣势。现在可以集中管理,按站点统一策略,并记录根桥。对于部署来说,这意味着:更少的配置错误、更少的孤立设置、以及更可预测的故障响应。
但需要指出:这并不是创新,而是 迟来的基础功能。其他厂商早已提供更高级的功能,如 BPDU 防护、FlexLink 或自动环路预防。对于企业或校园网络,Sophos 仍难与成熟厂商抗衡。
Sophos 接入点
对于 AP6 接入点,终于补齐了与旧 APX 模型的 可见性差距:应用/客户端可视化、热点 AP/SSID、峰值时段——这些指标现已提供。问题在于:这些功能理应 在发布时 就存在。
AP6 系列于 2023 年底上市,却花了一年时间才实现稳定运行。之后又过了 6 个月,才具备与前代相同的功能。在此期间,其他厂商开发了 新特性——更好的 QoS 自动化、射频优化、WPA3-Enterprise 体验、基于云的 RRM 热力图回测。而 Sophos 只是补齐了短板。如今,使用 AP6 的用户终于获得了 APX 早已具备的功能——但却浪费了宝贵时间。
在生产环境中,这显然是一个警告信号:在 Sophos 展现出真正领先能力之前,应避免使用其接入点。对于仅使用 Central 且对功能需求不高的环境,AP6 现在算是稳定。其他场景下,竞争对手依然是首选。更多详情请见我的文章 Sophos Access Points AP6 – 来自地狱的经历 。
Sophos 身份与 ITDR
本月的重点是 凭证窃取。利用“evilginx”等中间人代理的攻击表明,即使启用 MFA 也不再是万全之策。Sophos 建议转向 Passkeys,它不像传统 MFA 方法那样容易被拦截。换言之:MFA 依然必要,但只有 Passkeys 才能真正弥补 AitM 缺陷。
同时,Sophos Central 新增了检测可疑登录的功能——不可能旅行、来自多个国家/浏览器令牌的并行登录、BEC 前兆的可疑收件箱规则——并能立即响应。可将受损会话失效、锁定用户、删除恶意邮件规则。Sophos 还宣布将在 10 月推出 Identity Threat Detection and Response (ITDR)。该功能源自 SecureWorks 收购成果,将作为身份威胁检测模块集成到 Central,并弥补 XDR/MDR 在身份安全方面的空缺。
Sophos 电子邮件安全
电子邮件安全依然是核心议题。2025 年,德国 BSI 将其定为“电子邮件安全年”——Sophos 入选荣誉榜。对应推出了一款免费工具:https://tools.sophosdmarc.com/,可用于检测域的 DMARC 记录,适合 Pre-Sales 健康检查和客户审计。
此外,Sophos 提供 DMARC Manager 插件(支持 MSP)。推荐采用 分阶段强化:从 p=none 到 p=quarantine 再到 p=reject——前提是 SPF 和 DKIM 配置正确。TLS 报告进一步完善,显示通信加密比例及需要改进的合作伙伴。
对 XDR/MDR 团队来说,重要的是:即便邮件服务运行在 第三方厂商,也能接入 Email Monitoring Service (EMS)。这样,遥测和事件依然进入 Central,并与响应剧本集成。
内容、活动与合规
夏季淡季已过:德语 YouTube 频道和国际技术频道重新活跃——最新视频是 在 Microsoft Azure 部署 Sophos 防火墙。直播活动也将启动:重点是 合规网络研讨会(主题:勒索软件、保险、合规 – “R I C”)。与此同时,Sophos 正在筹备 10 月份的 it-sa 大会;可通过官网/新闻邮件获取门票。11 月将举行 合作伙伴早餐会,覆盖 DACH 地区至少 11 个地点,分为 商业主题 和 技术更新主题 两个部分。有兴趣的可同时参与。
总结
2025 年 9 月的更新表明,Sophos 主要在 身份保护、效率 和 电子邮件安全 方面发力。Passkeys 与 ITDR 针对凭证窃取提供了专门防护。Endpoint 2025.2.x 显著减轻了系统负担,而取证 API 为事件响应开辟了新途径。在网络层面,ATR 增强了防火墙与终端的联动,而交换机和接入点更多只是补齐功能。电子邮件安全方面则有即刻可用的实用工具。同时,从网络研讨会和活动来看,Sophos 也在推动合规与市场宣传——部分合理,部分迟来。
再见
Joe