Test di sicurezza
Test di penetrazione
Anche se il nostro obiettivo è identificare e prevenire i bug di sicurezza nella nostra pipeline di sviluppo dei software, nessun sistema è perfetto. Ed è per questo motivo che eseguiamo regolarmente valutazioni di sicurezza sui nostri prodotti. Di solito questi test vengono svolti in uno scenario “white box”, con accesso ai dettagli dell’architettura e al codice sorgente. Il nostro approccio implica una maggiore efficienza ed efficacia dei test rispetto agli scenari “black box”, dove vengono fornite poche informazioni sul prodotto.
Per le nostre valutazioni più recenti, abbiamo iniziato a conservare e pubblicare lettere di attestazione. Per quelle meno recenti, siamo lieti di condividere i dettagli su richiesta. Il nostro obiettivo è conservare le lettere per i test futuri, man mano che vengono completati.
Lettere di attestazione per i test
| Soluzione | Prodotto | Data dell’ultimo test | Vendor | Lettera di attestazione |
|---|---|---|---|---|
| Endpoint | Intercept X | Ottobre 2024 | MWR CyberSec | LdA - MWR - Endpoint |
| XDR | Febbraio 2024 | MDSec | LdA - MDSec - MDR - XDR - SOC.OS | |
| Sophos Mobile Control | Agosto 2024 | MWR CyberSec | LdA-MWR-SMC | |
| Rete | Firewall | Novembre 2024 | MWR CyberSec | LdA – MWR – Firewall LdA – MWR – Sophos Connect Client |
| SG UTM | Luglio 2022 | Nettitude | Contattaci | |
| Remote Ethernet Device SD-RED | Novembre 2021 | MDSec | Contattaci | |
| ZTNA | Ottobre 2023 | MWR CyberSec | LdA - MWR - Firewall/ZTNA | |
| Switch | Gennaio 2024 | Sophos Red Team | Contattaci | |
| DNS Protection | Gennaio 2024 | MWR CyberSec | LdA - MWR - DNS Protection | |
| Security Operations | MDR | Febbraio 2025 | MDSec | LdA - MDSec - MDR |
| XDR | Febbraio 2024 | MDSec | LdA - MDSec - MDR - XDR - SOC.OS | |
| Refactr | Febbraio 2022 | Sophos Red Team | Contattaci | |
| SOC.OS | Febbraio 2024 | MDSec | LdA - MDSec - MDR - XDR - SOC.OS | |
| Factory | Febbraio 2024 | MDSec | LdA - MDSec - Sophos Factory | |
| Messaggistica | Central Email | Agosto 2024 | Sophos Red Team | Contattaci |
| Cloud | Sophos Central | Gennaio 2025 | MDSec | LdA - MDSec - Central |
| Cloud Optix | Gennaio 2024 | MDSec | LdA - MDSec - Optix | |
| ZTNA | Febbraio 2025 | Pen Test Partners | LdA – PTP - ZTNA | |
| Firewall | Ottobre 2023 | MWR CyberSec | LdA - MWR - Firewall/ZTNA | |
| Sicurezza domestica | Sophos Home | Agosto 2022 | Sophos Red Team | Contattaci |
| Altro | SophosLabs (inclusa Intelix) | Novembre 2024 | Sophos Red Team | Contattaci |
Esercitazioni
Sophos è fermamente convinta che è importante mettere regolarmente alla prova le nostre capacità. Per farlo, sviluppiamo appositi scenari per le esercitazioni, con il contributo dei nostri esperti in tutti i reparti aziendali e del team Risk Management.
La seguente tabella descrive alcuni dei recenti scenari di simulazione che abbiamo utilizzato.
Scenari di simulazione recenti
| Team | Scenario | Data |
|---|---|---|
| Team Finance | Attacco mirato al reparto Finance da parte di un cybercriminale che si spacciava per un vendor | Q4 2024 |
| Team MDR | Compromissione di sviluppatori e analisti, con conseguente attacco ransomware ai danni di un cliente | Q3 2024 |
| Global Purchasing | Onboarding di un vendor pericoloso e falsa richiesta di acquisto | Q2 2024 |
| SophosLabs | Minaccia interna | Q1 2024 |
| Risorse umane | Ransomware e fuga di informazioni sull’identità dei dipendenti | Q4 2023 |
| Supporto | Attacco mirato proveniente da un finto cliente | Q3 2023 |
| Marketing | Compromissione delle credenziali di un dipendente, con conseguente modifica malevola del sito web e delle pagine social dell’azienda | Q2 2023 |
| Team legale | Ricercatore malintenzionato nel programma bug bounty | Q1 2023 |
| Sophos Home | Compromissione di un tecnico, con conseguente grave perdita di informazioni sull’identità | Q4 2022 |
| SophosLabs | Compromissione dei sistemi degli analisti, attacco alla supply chain | Q3 2022 |
| Endpoint | Compromissione dei file binari di Sophos, attacco alla supply chain | Q2 2022 |
| Optix | Tecnico coinvolto in un attacco di fishing | Q1 2022 |
| IT | Attacco ransomware su vasta scala | Q4 2021 |
| Central | Vulnerabilità zero-day in un’applicazione, con conseguente compromissione dei dati dei clienti | Q4 2020 |
Vendor Risk Management di SecurityScorecard
Le soluzioni di Vendor Risk Management (VRM) aiutano le imprese a testare, monitorare e gestire i rischi associati a prodotti, servizi e vendor di soluzioni informatiche che hanno accesso ai loro dati. Esistono molte soluzioni di VRM per l’IT, tutte con capacità diverse di identificare in maniera accurata le risorse di un vendor e i potenziali rischi associati a tali risorse.
Sophos utilizza SecurityScorecard e la sua piattaforma di VRM per assistere i clienti che utilizzano gli strumenti di VRM per l’IT nell’ambito del loro processo di acquisto. Per vedere la nostra valutazione attuale, visita la pagina https://securityscorecard.com/security-rating/sophos.com.
