• August 16, 2025

Progres Sophos’ Secure by Design 2025: Tinjauan Satu Tahun

Pendahuluan: Komitmen terhadap Keamanan yang Unggul

Pada tahun 2024, Sophos bergabung dengan inisiatif Secure by Design dari CISA, yang menandai tonggak penting dalam komitmen mereka untuk meningkatkan praktik keamanan di seluruh produk dan layanan mereka. Sekarang, satu tahun setelah bergabung, Sophos membagikan progres mereka terhadap tujuh pilar inti dari framework Secure by Design, yang mencerminkan komitmen mereka terhadap transparansi, keamanan, dan peningkatan berkelanjutan.

Meskipun Sophos bangga dengan pencapaian yang telah diraih, mereka juga mengakui bahwa masih banyak pekerjaan yang harus dilakukan. Berikut adalah pembahasan tentang pencapaian mereka dan area yang akan difokuskan ke depan.

  1. Multi-Factor Authentication (MFA)

Janji 2024:
Sophos berkomitmen untuk merilis dukungan passkey di Sophos Central, untuk memberikan pengalaman otentikasi yang lebih kuat, tahan terhadap phishing, dan tanpa kata sandi.

Progres:

  • Dukungan passkey diluncurkan pada November 2024, dengan lebih dari 20% dari semua otentikasi yang kini menggunakan passkey pada Juli 2025.
  • Mekanisme MFA lama seperti SMS kini telah dinonaktifkan, memaksa pengguna untuk beralih ke TOTP atau passkey pada login berikutnya.

Peralihan menuju otentikasi tanpa kata sandi ini meningkatkan keamanan dan menyederhanakan pengalaman pengguna.

  1. Password Default

Janji 2024:
Sophos berjanji untuk terus melarang penggunaan kredensial default di semua produk dan layanan.

Progres:
Sophos telah menepati janji ini dengan memastikan semua produk:

  • Menghasilkan kredensial yang kuat dan unik secara default.
  • Memerlukan kata sandi kompleks selama proses pengaturan.

Ini membantu mengurangi risiko akses yang tidak sah dengan menghilangkan kredensial default yang mudah ditebak.

  1. Mengurangi Kelas Kerentanannya Secara Menyeluruh

Janji 2024:
Sophos berkomitmen untuk mengcontainerisasi layanan utama dalam Sophos Firewall v21 (SFOS) untuk meningkatkan isolasi beban kerja dan mengurangi kerentanannya terhadap RCE (Remote Code Execution).

Progres:

  • Rilis SFOS v21 dan v21.5 memperkenalkan beberapa beban kerja yang tercontainerisasi untuk layanan-layanan penting.
  • Re-arsitektur kontrol plane dalam SFOS v22 (yang dijadwalkan pada akhir 2025) akan menawarkan isolasi lebih lanjut bagi Sophos Firewall, yang mengurangi dampak potensi kerentanannya.

Pendekatan ini meningkatkan ketahanan dan keamanan dengan memisahkan layanan-layanan kritis.

  1. Patches Keamanan

Janji 2024:
Sophos berjanji untuk memperkenalkan fitur dalam SFOS v22 (yang akan dirilis pada September 2025) yang memungkinkan pelanggan untuk menjadwalkan pembaruan firmware secara otomatis untuk firewall mereka.

Progres:
Meskipun fitur ini masih dalam pengembangan untuk SFOS v22, Sophos telah mencapai pencapaian luar biasa:

  • 99,41% firewall kini menerima hotfix tingkat OS secara otomatis begitu tersedia, memastikan pelanggan tetap up-to-date dengan upaya minimal.

Pendekatan proaktif ini menjaga sistem tetap aman dengan sedikit intervensi pengguna.

  1. Kebijakan Pengungkapan Kerentanannya

Janji 2024:
Sophos bertujuan untuk meningkatkan transparansi dengan:

  • Menerbitkan temuan bug bounty dan pelajaran yang didapat.
  • Meningkatkan hadiah untuk para peneliti.

Progres:

  • Pada tahun 2025, Sophos meninjau lebih dari 800 pengajuan bug bounty dan memberikan lebih dari $500,000 USD kepada komunitas peneliti.
  • $80,000 USD kini tersedia untuk temuan P1 di Windows Intercept X.
  • Lingkup bug bounty diperluas untuk mencakup produk-produk dari Taegis dan Redcloak setelah akuisisi Secureworks oleh Sophos.

Selain itu, Sophos telah meluncurkan bagian baru Root Cause Analysis (RCA) di Sophos Trust Center, yang memberikan transparansi terhadap insiden keamanan.

  1. CVEs (Common Vulnerabilities and Exposures)

Janji 2024:
Sophos berkomitmen untuk menerbitkan CVE eksternal untuk semua kerentanannya yang tergolong tinggi atau kritis yang teridentifikasi secara internal.

Progres:
Meskipun belum ada kerentanannya yang memenuhi ambang batas untuk publikasi, Sophos telah sepenuhnya menerapkan proses internal yang diperlukan untuk menerbitkan CVE di masa depan, memastikan transparansi dan akuntabilitas yang lebih besar.

  1. Bukti Intrusi

Janji 2024:
Sophos berkomitmen untuk meningkatkan kemampuan integrasi di Sophos Central untuk menyederhanakan proses pengambilan log audit ke dalam sistem pihak ketiga.

Progres:
Meski progres dasar telah tercapai, garis waktu telah disesuaikan setelah akuisisi Secureworks pada tahun 2025. Sophos tetap berkomitmen untuk memberikan kemampuan ini dan akan terus memberikan pembaruan.

Langkah Selanjutnya: Melihat ke Depan

Inisiatif Secure by Design Sophos akan terus berkembang seiring dengan perusahaan bekerja pada komitmen tambahan untuk 2025. Ke depannya, mereka berencana untuk:

  • Memperkuat postur keamanan di semua produk mereka.
  • Terus meningkatkan transparansi dan kepercayaan dengan pelanggan.
  • Memperluas upaya pengungkapan kerentanannya dan meningkatkan hadiah untuk peneliti keamanan.

Pada tahun mendatang, Sophos akan membagikan janji pembaruan berdasarkan pelajaran yang telah dipelajari tahun ini, memastikan bahwa mereka tetap sejalan dengan framework Secure by Design.

Kesimpulan

Sophos telah membuat kemajuan signifikan dalam tahun pertama komitmen mereka terhadap Secure by Design. Meskipun beberapa tujuan masih dalam progres, fokus perusahaan pada peningkatan keamanan, transparansi, dan ketahanan telah jelas terlihat. Melalui inovasi seperti MFA berbasis passkey, layanan firewall yang tercontainerisasi, dan pengungkapan kerentanannya yang lebih baik, Sophos terus memimpin dengan memberi contoh di industri keamanan.

Melihat ke depan, framework Secure by Design akan tetap menjadi kekuatan pemandu, memastikan bahwa produk Sophos dibangun dengan keamanan sebagai inti, sehingga memudahkan pelanggan untuk mempercayai dan mengandalkan solusi mereka untuk perlindungan yang kuat.

🔒 Mau tahu bagaimana Sophos dapat membantu Anda melindungi jaringan dengan teknologi terkini?

💬 Segera hubungi Sophos Indonesia atau

🤝 Konsultasikan kebutuhan keamanan Anda dengan PT. iLogo Infralogy Indonesia.

Kami siap mendukung Anda dengan solusi keamanan terbaik agar sistem Anda selalu aman dan tangguh menghadapi segala ancaman.