Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=appliance-hardening

Protezione avanzata delle appliance

In questa pagina vengono descritte le misure di protezione avanzata (hardening) che adottiamo per proteggere le appliance di integrazione Sophos.

Attualmente, le appliance di integrazione utilizzano Canonical Ubuntu Server 20.04 LTS come immagine del sistema operativo di base.

La sicurezza è una priorità assoluta per noi. Ci atteniamo allo standard NIST SP 800-123 e applichiamo i controlli pertinenti al nostro prodotto NDR. I controlli inclusi sono i seguenti:

  • Patch e upgrade
  • Rimozione o disattivazione di servizi, applicazioni e protocolli di rete non necessari
  • Configurazione dell’autenticazione dell’utente del sistema operativo
  • Registrazione nei log degli eventi correlati alla sicurezza

La crittografia del disco non è richiesta, perché non memorizziamo informazioni sull’identità (Personally Identifiable Information, PII).

Il backup non è necessario, perché memorizziamo solo 24 ore di dati di flusso (non dati dei pacchetti) a scopo di reportistica.

Autenticazione

Ogni appliance ha un utente amministratore per le attività di gestione. Questo utente viene gestito da Sophos Central e non memorizziamo la password.

Se l’appliance è collegata a Sophos Central, la password dell’utente può essere reimpostata utilizzando un utente di Sophos Central che ha le autorizzazioni necessarie.

Comunicazione con Sophos Central

Tutte le comunicazioni con l’ambiente cloud di Sophos Central utilizzano HTTPS e TLS 1.2 o 1.3, a seconda del servizio.

Gestione dell’appliance

La Gestione dell’appliance utilizza un certificato autofirmato e HTTPS. Il certificato autofirmato viene generato su ogni appliance al primo avvio e TLS 1.2 e 1.3 sono supportati. È possibile accedere alla Gestione dell’appliance utilizzando le stesse credenziali di accesso generate da Sophos Central.

Integrazioni di tipo agente di raccolta log

L’appliance di integrazione può ospitare un agente di raccolta di eventi di syslog, se viene configurata per svolgere questa azione. La raccolta di syslog viene effettuata su una porta assegnata dal cliente e non utilizza la comunicazione TLS.

Gestione della superficie di attacco per l’identità (IASM, Identity Attack Surface Management)

Tutte le comunicazioni con Tenable sono su TLS 1.2.

Penetration test

Il team Sophos di sicurezza delle applicazioni sottopone l’appliance ad almeno un penetration test all’anno. Risolviamo tutti i problemi critici e di gravità alta riscontrati negli ultimi 30 giorni. Anche l’appliance di integrazione è inclusa nel programma Bug Bounty di Sophos.