Sophos 更新：合作伙伴线上活动新闻（SFOS 22 及更多）

引言

昨天（2025 年 6 月 24 日），Sophos 为合作伙伴举办了一场线上活动，介绍了公司的最新进展与未来方向。本篇博客聚焦于活动期间公布的关键公告与洞见。虽然其中许多新功能——例如 Sophos Firewall v21.5 ——已在数周前上线或部分公开，Sophos 仍借此机会进行全面推广。同时，我们也得以一窥即将推出的令人期待的新功能。持续改进，以及对预防、保护、检测与响应的聚焦，是 Sophos 战略的核心支柱。

Sophos + Secureworks：打造全面安全的战略整合

活动的核心议题之一，是 Sophos 于今年 2 月完成的 Secureworks 收购进展更新。此次合并旨在整合双方优势，构建更完善的安全产品组合：

• Prevention-First（预防优先）策略： 作为终端防护专家，Sophos 强调预防的重要性。威胁被越早阻断，修复成本和工作量就越低。Sophos 已在 Gartner 终端安全魔力象限中保持 15 年领导地位，能自动阻止 99% 的威胁。将 Secureworks 的 XDR 能力整合进 Sophos 终端代理（可选）可进一步提升价值。
• 最大的原生 AI 开放平台： 自 2015 年起，Sophos 持续投入 AI 研发。Sophos Central 平台拥有 50 多个深度学习与 AI 模型，每日处理逾 900 TB 数据，带来广泛可见性与遥测。Secureworks Taegis 平台则补充了高级安全运营流程、自定义报告、剧本与集成。
• 灵活契合您的需求： Sophos 奉行开放与集成策略。XDR 与 MDR 运营可对客户在第三方终端、Firewall、邮件、云和其他安全方案上的既有投资提供全面可见性。
• 同步安全（Synchronized Security）： 目标是快速修复与响应威胁，让产品更紧密协作以缩短响应时间并有效阻止恶意行为。遗憾的是，终端与 Firewall 之间在 Web 策略层面的同步安全多年后仍未成熟，这原本能为管理员带来极大价值。
• 最高客户满意度： Sophos 是唯一在 Gartner 四大 Customer’s Choice 类别（Endpoint、MDR、XDR、Firewall）全部跻身前四的厂商，并在 G2 五大类别中领跑。2024 年 MITRE ATT&CK（第 6 轮）评测也印证了其终端防护与检测实力。

产品组合整合与时间表

Sophos 已就产品组合整合给出明确决策：

• 终端防护： Sophos 终端代理将成为所有方案的核心代理。
• XDR： Taegis XDR 将作为主力 XDR 方案并集成进 Sophos Central；现有 Sophos XDR 客户将迁移至全新 Taegis 体验。
• MDR： 两款 MDR 服务将合并，取两者之所长形成新的组合层级。
• SIEM 能力： Taegis 支持的 SIEM 功能（主要是日志管理与合规附加组件）未来也将提供给 Sophos 客户。

收购于 2 月 3 日完成，整合进展迅速：

• 2025 年 8 月： Sophos 终端代理与 Taegis XDR 完全整合；现有 Taegis 客户将获得 Sophos 终端代理访问权限。
• 2025 年秋季： 双方客户群的解决方案组合同步扩展。Secureworks 客户将可使用所有 Sophos 技术，Sophos 客户则将获得 ITDR 等新功能。
• 2025 年底至 2026 年初： 平台完全整合，Taegis 并入 Sophos Central。

Sophos Managed Risk：主动管理漏洞

另一重点是与 Tenable 合作推出逾一年的 Managed Risk 服务。该托管服务由 Sophos 漏洞暴露与修复专家提供的漏洞管理方案。

• 核心功能：
  • 可见性： 全面发现内部与外部资产，清晰呈现数字攻击面。
  • 持续风险监控： Sophos 团队识别关键暴露点并协助优先修复。
  • 优先级排序： 结合 Tenable 的 AI 驱动漏洞优先级技术与 Sophos 专业能力。
  • 通知： 发现高危漏洞时主动告警。
• 服务扩展： Managed Risk 新增 内部攻击面管理（IASM），与已有的外部 ASM 互补，实现对外内资产漏洞的全面视图。
• 授权模式： 作为 MDR（Essentials 或 Complete）的附加组件，按用户与服务器数计费，而非 IP 地址，确保与其他 Sophos 许可保持一致。

Sophos ITDR（身份威胁检测与响应）

Sophos ITDR 将于 2025 年 10 月 作为 Sophos MDR 与 XDR 的强大新附加组件面世，源自对 Secureworks 的收购，聚焦降低身份风险：

什么是 ITDR？

Identity Threat Detection and Response（身份威胁检测与响应，ITDR） 专注于及早发现并有效阻止针对数字身份的攻击。与传统身份与访问管理（IAM）不同，ITDR 持续分析身份数据、用户行为和威胁情报，实时侦测可疑活动。

主要目标与功能

• 防护身份威胁
  持续扫描身份服务（如 Microsoft Entra ID/Azure AD），查找漏洞与错误配置。

• 缩小攻击面
  监控泄露凭据，若发现账号出现在暗网或不安全来源即告警。

• 降低凭据被盗风险
  发现并阻断异常登录或访问尝试，防止盗用凭据。

• 检测高风险用户活动
  识别高级身份攻击、横向移动及未经授权的权限提升，并自动采取措施。

简言之：ITDR 通过持续监控安全态势并对围绕用户账户的任何可疑或恶意活动实时响应，为身份提供主动防护。
ITDR 将作为付费附加组件提供给所有 Sophos XDR 与 MDR 客户，显著增强 Sophos 安全运营组合。

Sophos Incident Response 与咨询服务

Sophos 整合并扩展了其事件响应服务：

• Emergency Incident Response: 将 Sophos Rapid Response 服务与 Secureworks IR 能力合并为统一的紧急服务，按小时计费，满足网络保险商要求。该服务可快速识别并清除活跃威胁，提供远程与现场支持，并涵盖数字取证、勒索谈判等扩展 IR 职能。MDR Complete 客户已包含不限次数 IR。
• Advisory Services: 基于 Secureworks 能力新增前瞻性咨询服务，包括外部渗透测试、内部 WLAN 渗透测试及 Web 应用安全评估，旨在主动降低风险、提升整体安全策略。

Sophos Firewall：三位一体战略

Sophos Firewall 与多数同类产品不同，采用侧重三大支柱的整体安全理念：

1. 缓解（Mitigation）： 通过 Zero Trust Network Access（ZTNA）及“Secure by Design”计划等功能，减少攻击面并加固基础设施，避免不必要的互联网暴露。
2. 防护（Protection）： 经典威胁阻断，Sophos Firewall 在威胁抵达网络前即将其拦截，依托先进引擎主动识别、阻止恶意活动。
3. 检测与响应（Detection and Response）： 真正的差异所在。Sophos Firewall 不仅抵御攻击，还能自动发现并隔离网络中的活跃攻击者，由“同步安全”与“主动威胁响应”确保快速协调响应。

多数防火墙只聚焦防护，忽视缓解与检测响应。Sophos 认识到这一点，因而在三方面均投入重金，为您的基础设施提供全面且更具韧性的防御。

Sophos Firewall v21.5 有何新意？（v22 预览）

新近发布的 Sophos Firewall v21.5 向所有 Sophos Firewall 客户免费开放，展示了产品发展方向的亮点：

• 集成 Network Detection and Response（NDR）： 行业首创。NDR Essentials 直接集成于 Firewall，无额外费用，也不影响性能，因分析在 Sophos Cloud 完成，包含两大组件：
  • Encrypted Payload Analysis（EPA）： 无需 TLS MITM 解密即可识别恶意载荷与网络流量。将会话前几个包转换为图形螺旋图，由 AI 引擎检测恶意模式，特别适合无法或不愿启用 TLS 检查的中小企业。
  • Domain Generation Algorithm（DGA）检测： 在域名注册或使用之前就能识别恶意算法生成的域名，阻断与黑客服务器通信，即便域名尚未知名。
• 支持 Entra ID（Microsoft Azure AD）的 Single Sign-On（SSO）： 备受期待的功能，大幅简化远程访问 VPN 用户的登录体验（Sophos Connect 或 VPN 门户）。
• 改进 DNS 服务： 新增状态、故障排除和教程工具，简化设置与使用。
• 更多“Secure by Design”原则： 额外的加固与监控功能强化 Firewall 安全性。
• 管理易用性提升： 大量日常管理改进，均基于客户反馈。

NDR 集成堪称变革性突破。目前仅 Sophos Firewall 将 NDR 直接集成且在 Extreme Protection 套餐中免费提供，彰显 Sophos 对于边界高级威胁检测的专注。

展望未来：Sophos Firewall v22

预计年底发布的 Sophos Firewall v22 将在现有创新基础上深化三大主题：

1. Secure By Design

   • Health Check 功能： v22 的明星功能，可检查数十个配置领域，立即指出高风险不当配置，帮助管理员落实最佳实践，主动修复潜在漏洞，即使在最初设置时被忽视。

     当前检查项示例

     编号	控制项说明	严重级别	状态
     1.1	Password complexity is set (enabled by default)	High	Pass
     1.2	MFA for admin account is set	Medium risk	Pass
     1.3	Admin session “lock”, “logout” and “block” is configured for failed attempts	High	Failed
     1.4	NTP server are configured appropriately	Low risk	Pass
     1.5a	HTTPS on WAN is disabled	High	Pass
     1.5b	User portal on WAN is disabled	High	Pass
     1.6	Valid certificate is used to access Webadmin interface	High	Pass
     2.1	SNMPv3 is selected for queries and traps	High	Pass
     2.2	Notification is configured to send system and admin alerts	High	Pass
     2.3	Hotfix is enabled	High	Error
     3.1	Active threat response > X-Ops is enabled and action set	High	Pass
     3.2	Active threat response > NDR-E is enabled and action set	High	Pass
     3.3	Active threat response > MDR is enabled and action set	High	Pass
     3.4	Zero-day protection is enabled	High	Pass
     3.5	IPS is enabled and one or more firewall rule is configured	High	Pass
     3.6	No firewall rule with “Any” as criteria for Network and Services	High	Pass
     3.7	Firewall rule configured with Security Heartbeat	High	Pass
     3.8	SSL / TLS inspection is enabled on all relevant policies	High	Pass
     3.9	DoS & Spoof Protection is enabled with threshold	High	Pass
     3.10	Firewall rule configured with user-based policy	High	Pass

     • 遗憾的是，硬件仍被完全忽视。常见问题如 SSD 故障或数据库损坏，仍需登录 SSH 查看日志才能排查。至今没有邮件通知或自动硬件健康检查。同时，某些型号的硬件质量仍有待提升，我们仍频繁遇到 RMA。

   • 架构增强、自动化检测、Secure Desecure： v22 将进一步优化架构，实现更高效的自动检测和更安全的设计。

2. 网络与可扩展性

   • 性能提升： Sophos 团队持续优化性能。v22 将显著加速，尤其对大型教育及分布式网络环境受益最大，同时惠及所有客户。
   • 分布式硬件： 将在分布式硬件领域推出更多新进展，提升方案的可扩展性与灵活性。

3. 日常管理

   • 更佳用户体验： Sophos 将继续采纳客户反馈，通过改进 UI 与易用性，简化日常管理。
   • 硬件监控、MSA 增强： 改进硬件监控与管理服务，进一步提高 Firewall 管理效率。

     • Firewall 的通知管理仍有改进空间：当出现维护提示时无法自行隐藏，可能造成不必要的干扰。

Sophos Firewall 路线图按计划推进

Sophos 将 Firewall v22 定位为检测与响应服务新时代的理想方案，特别适用于使用 Sophos XDR 与 MDR 的客户。其在主动监控上的独特功能以及无停机打补丁的能力充分展示了 Sophos 的创新实力。

结语

昨日的 Sophos 线上活动再次阐明了公司的战略方向：以预防为核心、辅以先进检测与响应机制的全面安全。Secureworks 的整合为 XDR、MDR 与 ITDR 带来了显著扩展。Sophos Firewall 凭借 v21.5 的创新及 v22 的展望，正成为超越传统 Firewall 功能的领先网络安全解决方案。通过深度整合 NDR 并聚焦主动检测与响应，Sophos 为不断演进的网络威胁提供了面向未来的防御。我们相信这些进展将显著提升安全态势，保护网络更加牢固。敬请关注更多更新及 v22 上线后的深入解析！

和往常一样，活动充斥着自我吹嘘 🤮。然而，在我所在公司，许多客户并不满意，过去一年里，已有大量客户从 Sophos XG/XGS 转向其他厂商。
Sophos 的定价政策极具争议。八年来，新客户总能享受优惠，而老客户常常被忽视，令人心生怨气，觉得不被重视。
针对交换机和 AP 的促销同样乏善可陈，似乎无人问津。近期一位客户转来一项促销：买三送二，可见端倪。
另一个好笑的日常：有客户抱怨收到一台生产日期为 2021 年的交换机——已有四年历史。看来 Sophos 库存过多却无人购买，结合促销力度，也就不足为奇。
尽管这些问题不会在类似活动中被提及，但我仍希望 Sophos 内部已看到这些弱点并积极改进。

再见
Joe