Teste de segurança
A obrigatoriedade dos testes de penetração
Ainda que busquemos identificar e prevenir bugs de segurança no nosso pipeline de desenvolvimento de software, não existem sistemas perfeitos. Por isso, realizamos avaliações de segurança periodicamente em nossos produtos. Normalmente, realizamos essas avaliações em um cenário de caixa branca, com acesso a detalhes da arquitetura e código-fonte. A nossa abordagem resulta em testes mais eficazes quando comparados a um cenário de caixa preta, em que são fornecidas poucas informações sobre o produto.
Recentemente, começamos a reunir e publicar atestados de nossas avaliações. Quanto as avaliações mais antigas, teremos prazer em fornecer mais detalhes quando solicitados. Nossa intenção é preparar atestados para os testes subsequentes.
Atestado de avaliação
| Solução | Produto | Data do último teste | Fornecedor | Atestado |
|---|---|---|---|---|
| Endpoint | Intercept X | Outubro, 2024 | MWR CyberSec | LoA - MWR - Endpoint |
| XDR | Fevereiro, 2024 | MDSec | LoA - MDSec - MDR - XDR - SOC.OS | |
| Sophos Mobile Control | Agosto, 2024 | MWR CyberSec | LoA - MWR - SMC | |
| Rede | Firewall | Novembro, 2024 | MWR CyberSec | LoA - MWR - Firewall LoA - MWR - Sophos Connect Client |
| SG UTM | Julho, 2022 | Nettitude | Entre em contato | |
| Dispositivos Remotos de Ethernet SD-RED | Novembro, 2021 | MDSec | Entre em contato | |
| ZTNA | Outubro, 2023 | MWR CyberSec | LoA - MWR - Firewall/ZTNA | |
| Switch | Janeiro, 2024 | Sophos Red Team | Entre em contato | |
| DNS Protection | Janeiro, 2024 | MWR CyberSec | LoA - MWR - DNS Protection | |
| Operações de segurança | MDR | Fevereiro, 2025 | MDSec | LoA - MDSec - MDR |
| XDR | Fevereiro, 2024 | MDSec | LoA - MDSec - MDR - XDR - SOC.OS | |
| Refactr | Fevereiro, 2022 | Sophos Red Team | Entre em contato | |
| SOC.OS | Fevereiro, 2024 | MDSec | LoA - MDSec - MDR - XDR - SOC.OS | |
| Factory | Fevereiro, 2024 | MDSec | LoA - MDSec - Sophos Factory | |
| Messaging | Central Email | Agosto, 2024 | Sophos Red Team | Entre em contato |
| Nuvem | Sophos Central | Janeiro, 2025 | MDSec | LoA - MDSec - Central |
| Cloud Optix | Janeiro, 2024 | MDSec | LoA - MDSec - Optix | |
| ZTNA | Fevereiro, 2025 | Parceiros de Pentest | LoA - PTP - ZTNA | |
| Firewall | Outubro, 2023 | MWR CyberSec | LoA - MWR - Firewall/ZTNA | |
| Home Security | Sophos Home | Agosto, 2022 | Sophos Red Team | Entre em contato |
| Outro | SophosLabs (inclui Intelix) | Novembro, 2024 | Sophos Red Team | Entre em contato |
Exercícios tabletop
Na Sophos, acreditamos que é muito importante testar nossas funcionalidades regularmente. Fazemos isso através do desenvolvimento de cenários tabletop com base nos comentários fornecidos por peritos da área e por nossa equipe de gerenciamento de riscos.
O gráfico abaixo detalha alguns dos recentes cenários tabletop que realizamos.
Recentes cenários tabletop
| Equipe | Cenário | Data |
|---|---|---|
| Equipe Financeira | Ataque direcionado ao financeiro por golpistas passando-se por fornecedores | 4º T 2024 |
| Equipe de MDR | Comprometimento de desenvolvedor e analista que leva a ataques de ransomware contra o cliente | 3º T 2024 |
| Compras globais | Integração de fornecedores maliciosos e requisições falsas de compra | 2º T 2024 |
| SophosLabs | Ameaças internas | 1º T 2024 |
| RH | Ransomware e vazamento de dados pessoais dos funcionários | 4º T 2023 |
| Suporte | Ataque direcionado por alguém se passando por um cliente | 3º T 2023 |
| Marketing | Um funcionário comprometido levando ao aniquilamento do site e das redes sociais da empresa | 2º T 2023 |
| Legal | Compensação a pesquisadores de bugs maliciosos | 1º T 2023 |
| Sophos Home | Comprometimento da engenharia, levando à perda de grandes lotes de PII | 4º T 2022 |
| SophosLabs | Sistema de análise comprometido, ataque à cadeia de suprimentos | 3º T 2022 |
| Endpoint | Binários da Sophos comprometidos, ataque à cadeia de suprimentos | 2º T 2022 |
| Optix | Engenharia de phishing | 1º T 2022 |
| TI | Incidente de ransomware de grande escala | 4º T 2021 |
| Central | Vulnerabilidade de dia zero em um aplicativo que leva ao comprometimento dos dados de clientes | 4º T 2020 |
Gerenciamento de risco de fornecedor SecurityScorecard
As soluções de gerenciamento de risco de fornecedores de TI (IT VRM) dão suporte às empresas que avaliam, monitoram e gerenciam riscos associados ao uso de produtos, serviços e fornecedores de TI terceirizados que podem acessar seus dados. São várias as soluções IT VRM disponíveis, as quais apresentam capacidade variada na identificação precisa de ativos de fornecedores e do potencial de risco associado a tais ativos.
A Sophos cumpre com o SecurityScorecard e sua plataforma VRM para dar suporte aos clientes que usam as ferramentas IT VRM como parte do processo de compra. Para ver nossa classificação atual, visite https://securityscorecard.com/security-rating/sophos.com.
