گزارش پیشرفت سوفوس در حوزه امن‌سازی محصولات

شرکت سوفوس (Sophos)، یکی از پیشگامان امنیت سایبری در جهان، در اولین سالگرد پیوستن به ابتکار CISA Secure by Design، گزارشی از دستاوردها و اقدامات خود در مسیر تحقق تعهدات امنیتی منتشر کرد. این برنامه، بر پایه شفافیت، طراحی امن و ارتقای اعتماد کاربران بنا شده و سوفوس آن را به‌عنوان چارچوب اصلی در توسعه محصولات خود برگزیده است.

مهم‌ترین دستاوردها و پیشرفت‌ها

 

تقویت احراز هویت چندمرحله‌ای (MFA)

در نوامبر 2024، پشتیبانی از Passkey به‌طور کامل در Sophos Central اعمال شد تا تجربه ورود ایمن در برابر فیشینگ فراهم شود. از زمان عرضه تاکنون، بیش از 20 درصد از کل ورودها به Central از طریق Passkey انجام می‌شود. علاوه بر این، روش‌های ضعیف مانند احراز هویت مبتنی بر پیامک به‌طور کامل کنار گذاشته شده‌اند.

حذف رمزهای عبور پیش‌فرض

تمامی محصولات و سرویس‌های سوفوس با اصل طراحی امن همسو شده و دیگر هیچ رمز عبور پیش‌فرضی استفاده نمی‌شود. محصولات جدید یا رمزهای قوی تولید می‌کنند یا کاربران را ملزم به تعریف رمز پیچیده در زمان راه‌اندازی می‌کنند.

کاهش ریسک آسیب‌پذیری‌های مهم

در نسخه‌های Sophos Firewall v21 و v21.5، سرویس‌های کلیدی به‌صورت کانتینری ایزوله شدند و در نسخه v22 که در آینده‌ای نزدیک منتشر خواهد شد، ساختار فایروال با معماری جدید بازطراحی می‌شود تا خطر آسیب‌پذیری‌های اجرای کد از راه دور (RCE) به حداقل برسد.

به‌روزرسانی‌های امنیتی خودکار

سوفوس در SFOS v22، قابلیت زمان‌بندی خودکار به‌روزرسانی فریمور را ارائه خواهد کرد. در حال حاضر نیز 99.41 درصد از فایروال‌های مشتریان به‌طور خودکار وصله‌های امنیتی سیستم‌عامل را دریافت می‌کنند.

سیاست کشف آسیب‌پذیری و برنامه پاداش شناسایی باگ (Bug Bounty)

طی سال گذشته بیش از 800 گزارش آسیب‌پذیری از سوی محققان بررسی شده و در مجموع بیش از 500 هزار دلار به جامعه تحقیقاتی پرداخت شده است. سقف پاداش برای محصول Intercept X تا 80 هزار دلار و برای Sophos Central تا 50 هزار دلار افزایش یافته است. همچنین دامنه باگ‌بانتی با اضافه شدن محصولات Taegis و Redcloak گسترده‌تر شده است.

انتشار CVE برای آسیب‌پذیری‌های بحرانی

فرآیند داخلی سوفوس به‌گونه‌ای بازطراحی شده که تمامی آسیب‌پذیری‌های با شدت بالا یا بحرانی شناسایی‌شده به‌طور شفاف در قالب CVE عمومی منتشر شوند. این اقدام سبب افزایش شفافیت و کمک به تصمیم‌گیری آگاهانه مشتریان می‌شود.

شفافیت در ارائه شواهد نفوذ

سوفوس، در حال توسعه قابلیت‌های جدید برای ادغام ساده‌تر لاگ‌ها در Sophos Central است تا سازمان‌ها بتوانند داده‌های امنیتی را راحت‌تر در ابزارهای شخص ثالث وارد کنند. اگرچه تغییرات سازمانی ناشی از خرید سکیور ورکز (Secureworks) زمان‌بندی این پروژه را تغییر داده، اما این تعهد همچنان پابرجاست.

چشم‌انداز آینده

سوفوس تأکید کرده که اگرچه بخش بزرگی از برنامه‌ها عملیاتی شده‌اند، برخی از اهداف همچنان در دست اقدام هستند. این شرکت به‌زودی مجموعه‌ای از تعهدات جدید را منتشر خواهد کرد. مأموریت اصلی سوفوس تقویت مداوم امنیت، شفافیت و اعتمادپذیری محصولات در راستای اصول Secure by Design است.

مشروح گزارش سوفوس از طریق لینک زیر، قابل‌مطالعه است:

https://news.sophos.com/en-us/2025/07/28/sophos-secure-by-design-2025-progress

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *