簡介

自 Sophos 成立之日起,安全性在我們所做的一切工作中,無論是內部還是外部,都是重中之重。正因為我們採用這種安全第一的方法,所以成千上萬的組織採用 Sophos 解決方案來保護數億台裝置的安全。

Sophos Central 是我們的旗艦級雲端型安全平台,旨在提供最進階的安全技術,同時確保有效且全面地保護客戶資料。

本文檔將詳細介紹 Sophos Central 的開發、部署和維護以及收集的資料、資料存儲位置、資料的保護方式以及 Sophos 爲向業界提供最進階、最強大的安全平台而採取的各種其他措施。

安全開發

安全應提前構想,絕不應事後考慮。這一點的關鍵在於 Sophos 基於活動的安全開發生命週期 (SDL)。SDL 在整個產品開發過程中都會實施業界領先的最佳實踐。

SDL 還要求所有產品開發團隊都擁有內嵌安全領導者和專家,負責推動團隊中的這些活動。以下是對一些活動的簡要說明。

每項活動的目的是在產品發佈前識別風險領域。這樣可以最大程度地延長工程團隊在向客戶運送產品和服務之前,處理問題所需的總時間。

安全編碼

為了防範並大幅減少軟體漏洞的意外引入,受過訓練的工程師可以找出並避免不安全的程式編碼和設計模式,並運用更具復原性的設計來取代它們。

漏洞相依性架構

若在產品中利用來自協力廠商的代碼(如開放原始碼軟體),每個團隊都會在架構中保留一份協力廠商相依性清單,該清單會在發佈 CVE 時自動提醒團隊。這樣可以確保當發現協力廠商代碼中存在漏洞時,團隊可以儘快生成並發佈修補程式。

威脅模組化

對系統或元件的任何設計或實作進行的系統化分析都是從可能存在的攻擊者的角度來執行。透過瞭解攻擊者可能採取的途徑、他們認為是漏洞的位置以及他們將使用哪些方法利用這些漏洞,從而確定威脅。每個威脅都有一定的風險等級,對其進行優先順序排列,以便能夠實施合適的控制手段、緩解措施或重新設計。

靜態分析

自動化工具用於分析原始程式碼,快速突出顯示任何編碼錯誤、漏洞、缺陷或弱式設計模式。除了自動化工具之外,我們也會在開發週期中練習將程式設計與人類程式碼檢閱和同儕檢閱進行比對。

內部安全性測試計劃

每個針對系統或元件工作的團隊都制定了全面的測試計劃。本計劃包括白箱和黑箱測試;裝置、整合和系統測試;程式碼涵蓋範圍、功能測試、模糊處理、使用案例測試等。

外部安全性測試

我們經常安排信譽良好的外部測試人員或滲透測試人員對我們的程式碼庫進行白箱測試,以識別我們尚未發現的威脅。

漏洞響應計劃

如果在我們的產品中發現漏洞,無論是透過內部測試、外部測試還是透過我們的漏洞回報獎勵計劃發現的,我們都會遵循相應的程序來快速響應任何漏洞,並且迅速開發修補程式或更新,確保品質後再予以發佈。

安全程式碼簽署

除了 Sophos Central 中端點軟體常用的簽署可執行檔外,我們還會在部署到面向客戶的系統之前利用程式碼簽署,以保證在簽署後不會發生程式碼修改或損壞。這可確保我們經過品質保證的程式碼與客戶接收和使用的程式碼相同。

Sophos Central 平台

Sophos Central 在跨多個虛擬機器執行個體和服務 Amazon Web Services 上進行託管,可動態調整以處理當前的 Sophos Central 工作負載。

當您建立 Sophos Central 帳戶時,系統會向您提供設定帳戶的區域選項。這些區域是完全獨立的,資料不會在它們之間移動。

目前,選項有德國、愛爾蘭和美國。Sophos Central 區域與 AWS 區域同義;EU-Central-1、EU-West-1、US-East-2 和 US-West-2。

Sophos Central 是雲端原生應用程式,它與我們的合作夥伴 Amazon 密切合作,以打造高可用性且耐用性的應用程式。所有資料都會在客戶選擇的區域以地理圍欄方式進行設定。在指定區域內,我們採用 Amazon 提供的跨多個資料中心(可用性區域)的複寫,以便在基礎結構層級出現故障時提供即時容錯移轉。所有客戶資料都會鎖定至某個區域,且無法跨區域傳輸。

Sophos Central 使用眾所周知且廣泛使用的行業標準軟體庫來避免常見漏洞(OWASP 前十名中的漏洞風險)。透過利用標準程式庫,我們可以從它們所面臨的高層級監督中受益,不僅是安全性,還包括穩定性。

1: Sophos Central 架構

網路安全

執行階段應用程式自我保護

除了防火牆等標準網路安全執行方式外,Sophos Central 還可使用執行階段應用程式自我保護 (RASP) 技術。作爲典型周邊防禦的替代方案,RASP 透過利用應用程式本身內部工作中的即時知識來監控輸入,以偵測和阻止 Sophos Central 中的攻擊。透過使用 RASP,Sophos Central 可以動態響應攻擊,防止受到惡意攻擊,並採取進一步措施,例如終止工作階段或提醒安全小組,始終保證客戶資料的安全。

自動調整虛擬網路

根據所執行的各種工作負載(例如驗證或端點管理),Sophos Central 被分段到許多邏輯上獨立的虛擬網路中。然後,所有工作負載都被放在負載平衡器後面的自動調整群組中,因此當特定工作負荷出現負載/流量增加時,可以向其分配額外的臨時資源,以便提供處理負載所需的群組容量。

網路存取控制清單

安全群組和網路存取控制清單使用最低權限準則來實現。根據預設,爲在 Sophos Central 中使用而建立的任何服務都被放置在非公開的子網路上,該子網路不會在虛擬網路之外公開。此外,除非 Sophos Central 基礎結構服務 (CIS) 小組明確要求並授予存取權限,否則該服務無權與其他服務進行通話。只有必須公開外部介面的服務才會獲得對外公開的介面。

資料庫存取

資料庫不會在網際網路上公開,只能在虛擬網路中存取,並且存放在與其他 Sophos Central 基礎結構不同的非公開子網路上。希望與任何資料庫互動的服務必須透過資料存取層 (DAL) 進行互動。有關 DAL 的更多資訊,請參閱本文件的「資料安全」部分。

維護存取

Sophos Central 的維護存取只能透過源自 Sophos IT 基礎結構中特定網路的 VPN 通道存取。即使使用憑證、金鑰和證書,也無法在 Sophos 網路外部建立通道。

DDoS 防護

分散式阻斷服務 (DDoS) 安全防護功能透過專屬 DDoS 防護技術、自動調整、系統監控和流量轉載來進行。

資料安全性

整合性

可用性

每項資料都儲存在資料庫叢集中,即至少三份。事件驅動的叢集複製至少具有三個複製因子,可確保即使我們的叢集中的兩個資料庫執行個體失敗,資料仍然可用。由於是事件驅動性質,任何資料庫變更都會立即推送到叢集中的所有執行個體,而不是依排程複製變更,確保即使執行個體發生故障,容錯移轉執行個體仍可以使用完整的資料集。

耐久性

資料庫的每個執行個體都有支援自己的存放磁碟區(每小時快照一次)。這些執行個體是暫時性,只保留存放磁碟區。由於有了叢集複製因子,我們能夠安心銷毀資料庫執行個體,而不必擔心資料丟失。我們可在不丟失資料的情況下,快速解決資料庫應用程式、作業系統等中的漏洞。

加密

所有待用資料都使用磁碟區層級加密進行加密 – 存放磁碟區、物件儲存體和虛擬機器的虛擬磁碟機。

對於敏感使用者資料,我們透過使用每欄位多部分金鑰,在存放磁碟區中使用欄位層級加密。這些部分由多個不同位置組成,包括一個金鑰管理系統。每個金鑰對每個客戶和每個欄位都是唯一的。

傳輸層級加密用於透過憑證和伺服器驗證來確保客戶端軟體和 Sophos Central 平台間的管理通訊安全。

Sophos 從不以純文字格式儲存或傳送使用者的密碼。當使用者註冊帳戶時,此新使用者必須在啟用過程中設定密碼。

Central Device Encryption

Sophos Central 裝置加密不會儲存加密金鑰,而是儲存 BitLocker 與 FileVault 加密磁碟區的修復金鑰。

儲存金鑰

在 Windows/Mac 端點上隨機生成修復密鑰。此修復金鑰已經過混淆處理,並透過我們的管理通訊系統 (MCS) 協定傳送至 Sophos Central,並受到傳輸層安全性 (TLS) 的保護。一旦到達 Sophos Central,修復金鑰就會被混淆處理並儲存在相關的存放磁碟區中。除了將修復金鑰儲存於加密的磁碟區上外,還使用 AES 對其進行透明加密。修復金鑰中繼資料不會與修復金鑰一起儲存。

存取金鑰

一旦管理員或使用者從資料庫(例如透過 Sophos Central 管理員或自助入口網站)中讀取修復金鑰,此修復金鑰將被標記爲「已過期」。當使用修復金鑰復原端點,且端點啟動並與 Sophos Central 同步時,系統會通知修復金鑰已過期。端點會產生新的修復金鑰,並將其傳送至 Sophos Central,如上所述。一旦 Sophos Central 確認收到新的修復金鑰,舊的修復金鑰就會在端點上失效,因此它無法再用。這樣可確保一個修復金鑰僅能使用一次。Sophos Central 中的修復金鑰永遠不會被刪除。

安全威脅防護

反惡意軟體

Sophos Central 的建構是為了讓所有機器都無需使用者,無需任何互動即可讓機器能夠鎖定並強化。機器是由原始來源所構建(部分歸功於我們安全數位程式碼簽署程序),而且只能作為建立機器黃金映像檔的一部分執行工程部門所指定的軟體。

同樣,對於資料庫伺服器執行個體,組成 Sophos Central 的機器可以隨時銷毀和重建,而不必擔心丟失資料。

修補程式

每 3 週,虛擬機器的黃金映像檔將升級爲最新的軟體庫和應用程式。虛擬機器執行個體不會存在超過 3 週,舊執行個體會被銷毀,新執行個體將基於新的黃金映像檔部署。

如果透過漏洞相依性架構、內部或外部測試、漏洞回報獎勵計劃或其他方式找到了漏洞,那麼作為漏洞防禦程序的一部分,系統會進行修補和重新部署。

安全監控和響應

Sophos 的全域安全小組可以全天候監控來自 Sophos Central 及其相關服務的所有記錄資料。Central 具有鑑定功能,可在資料外洩時迅速對事件做出響應。

合規性與外部稽核

SOC

Sophos 會定期進行 SOC Type 1 稽核,並可根據 NDA 提供存取報告的權限。SOC Type 2 稽核目前正在進行中。

滲透測試

我們會定期與信譽良好的協力廠商進行內部和外部滲透測試,並可根據 NDA 提供證明。

GDPR

您可在我們的網站查看有關 Sophos 的資料保護全球承諾的詳細介紹:

https://www.sophos.com/en-us/legal/sophos-gdpr.aspx.

客戶控制

多因素驗證 (MFA)

您可以為 Sophos Central 帳戶的所有管理員,管理員的子網路啟用 MFA,或完全停用 MFA。我們強烈建議使用 MFA,以確保在憑證外洩時,任何人均無法存取 Sophos Central 帳戶。

角色模式管理

可以將許多預先定義的系統管理角色指派給管理員,這些管理員可以限制對敏感記錄資料的存取,也可限制他們變更設定和組態。

威脅防護策略

根據威脅保護策略,管理員可以啓用或停用以下可展開或限制與 Sophos 即時共用資料磁碟區的設定。有關詳細資訊,請參閱本文件的「遙測和資料收集」部分。

即時防護

  • 使用即時防護從 SophosLabs 線上檢查最新的威脅資訊。
  • 在排程掃描期間使用即時防護
  • 自動提交惡意軟體樣本至 SophosLabs

即時掃描(網際網路)

  • 攔截存取惡意網站
  • 偵測低信譽檔案

校正

  • 啟用根本原因分析
  • 啟用快照檔案上傳

即時防護

  • 偵測網路資料流量以命令與控管伺服器

遙測和資料收集

有關我們收集和儲存資料的詳細資訊,請參見我們網站上的以下頁面:

Sophos Group 隱私策略

https://www.sophos.com/en-us/legal/sophos-group-privacy-policy.aspx.

SophosLabs 資訊安全性原則

https://www.sophos.com/en-us/legal/SophosLabs -information-security-policy.aspx.

Sophos Extensible List (SXL)

SXL 是我們爲裝置提供補充資料的協定,其中涵蓋來自 SophosLabs 的最新分類。該協定通常透過傳送雜湊、URL 或檔案至 SophosLabs 以及接收有關該 URL 或檔案進一步資訊的回應來執行。我們將此協定用於以下幾個功能:

網頁防護

保護使用者不會因瀏覽至已知裝載惡意程式碼或用於危險手段的網站而受到影響。

網頁控管

擷取最新的網站類別以用於端點上網站篩選。

即時防護

快速識別已知的惡意檔案,並在其執行前加以封鎖,以及識別並封鎖嘗試與已知危險主機進行的網路通訊。Live Protection 也用於確認下載檔案的信譽。

誤判安全防護功能

這是一種透過接收有關已知安全檔案的資訊來禁止誤判偵測的額外功能。

根本原因分析

Sophos Data Recorder (SDR) 是 Intercept X 的一部分,記錄了備註的所有系統活動。進行惡意行為偵測時,將使用 SDR 中的資料快照產生自動根本原因分析。記錄的資料用於關聯所有與偵測相關的所有活動(檔案、程序、登錄機碼、URL/IP 互動),並將這些資料上傳到 Sophos Central

除了根本原因之外,也可以上傳包含與根本原因類型相同的資料,但與惡意行為偵測無關的快照(預設為停用)。此功能主要用於支援或偵錯目的,或與工程部門共用資料以改進產品功能。

樣本提交

惡意檔案樣本可自動提交至 SophosLabs 以供進一步分析。目前只會保留惡意可攜式執行檔,而其他檔案類型則會安全地捨棄。

其他措施

SophosLabs 隔離

由於 SophosLabs 具有高度專屬的研究、開發和日常操作(例如調查最新的惡意威脅和開發機器學習模型)性質,因此 SophosLabs 與其他網路分離,以儘量減少出現漏洞的可能性。此外,所有惡意程式碼的執行、分析和研究都在單獨的隔離系統上執行,以防止感染。這些隔離工作可確保 Sophos Central 開發不會受到風險影響。

負責任的披露與漏洞回報獎勵計劃

Sophos 對獨立的研究人員社群有很大影響,它開展一項漏洞回報獎勵計劃,以獎勵研究人員的發現。如需瞭解詳細資訊,請參見 Sophos 負責任的披露政策:https://www.sophos.com/en-us/legal/sophos-responsible-disclosure-policy.aspx 以及我們的 BugCrowd 頁面:https://bugcrowd.com/sophos

Naked Security

Naked Security 是 Sophos 屢獲殊榮的安全新聞部落格,提供有關電腦安全問題和最新網際網路威脅的新聞、意見、建議和研究。

我們的記者和研究人員爲我們有關 Sophos Central 的工程工作帶來了另一種提供見解和改進建議的寶貴途徑。

法律聲明

Copyright © 2020 Sophos Limited.保留一切權利。本出版品任何部分不得以電子、機械、複印、錄影等方式複製、儲存於任何儲存媒體或傳佈,除非您具備有效的許可權,得依據許可權條款之規定複製文件手冊,或者以書面方式告知版權所有人,並獲得其授權許可,方能進行複製。

Sophos, Sophos Anti-VirusSafeGuard 皆為 Sophos Limited, Sophos GroupUtimaco Safeware AG 的註冊商標。此處所提及的所有其他產品與公司名稱,均為其各自所有人之商標或註冊商標。