Zabezpečení hostovaných služeb je nejvyšší prioritou pro první CSO společnosti Adobe

Společnost Adobe Systems jmenovala Brad Arkin, ředitele společnosti pro bezpečnost produktů a služeb, aby se stala prvním ČSO. Díky již zřízenému programu zabezpečení produktů je nejvyššími prioritami nového šéfa zabezpečení společnosti Adobe posílení bezpečnosti hostovaných služeb společnosti a její vnitřní infrastruktury.

Vedoucí bezpečnostního oddělení společnosti Brad Arkin

Již několik let, Společnost Arkin dohlíží na úsilí o zabezpečení softwarových produktů společnosti Adobe jako vůdce týmu ASSET (Adobe Secure Software Engineering Team) a tým společnosti Adobe Security Product Response Team (PSIRT). Během této doby získaly aplikace Adobe Reader a přehrávač Flash Player dvě aplikace, které jsou kvůli své uživatelské základně často zaměřeny na útočníky, značnými bezpečnostními vylepšeními, včetně mechanismů proti zneužití, jako je sandboxing a tichá automatická aktualizace. odstranění škodlivého softwaru z vašeho počítače se systémem Windows

Zatímco inženýrská práce v oblasti bezpečného softwaru bude pokračovat, zaměřuje společnost Arkin na posílení zabezpečení služeb hostovaných společností, jako jsou Adobe Creative Cloud a Adobe Marketing Cloud. náš bezpečný životní cyklus výrobků a práce, kterou jsme dělali s našimi výrobky shrinkwrapped, jsou velmi zralé, "řekl Arkin. "Děláme to už léta."

Společnost však neuskutečnila hostované služby, dokud nevyvíjela softwarový software, "a proto i nadále zlepšujeme naše monitorování a provoz "říká Arkin.

" Právě teď se soustředím hlavně na to, abychom mohli chránit data našich zákazníků, "řekl. "Děláme už spoustu skvělé práce, ale je ještě víc práce, kterou jsme plánovali a my budeme dělat a je to nekonečný proces. To je něco, co je jen součástí běžících hostovaných služeb. "

Existuje bezpečnostní cestovní mapa pro hostované služby a každé nové vydání kódu, které se děje každé tři týdny, je přidán nový bezpečnostní prvek nebo zlepšení, Kromě zvýšení zabezpečení svých hostovaných služeb se společnost také zamýšlí zaměřit na posílení své IT infrastruktury a vysoce hodnotných interních systémů proti útokům. kreativní v typech útoků, které používají proti firmám připojeným k internetu, řekl Arkin. "Spolupracujeme s dodavateli zabezpečení a ostatními v komunitě obránců, abychom se ujistili, že zavedeme robustní obranu na naší vnitřní infrastruktuře."

Společnost zažila v minulosti sofistikované cílené útoky, uvedl Arkin. Jedním z příkladů je incident, který společnost Adobe zveřejnila v září roku 2012, kdy útočníci podařilo kompromitovat jeden z firemních interních serverů pro podepisování kódů a použili jej k podpisu malware s digitálním certifikátem Adobe.

Tento typ útoku, který zaměřuje se na infrastrukturu společnosti a nikoliv na kód, který produkuje, nebo na uživatele, představuje potenciální riziko, které je třeba spravovat a řešit, uvedl Arkin. "Obrana našich vnitřních operací, stejně jako naše externí hostované služby a kód, který píšeme, jsou v rozsahu odpovědností za to, na čem pracuji."

Arkin z nové pozice bude dohlížet práce nedávno vytvořeného Týmu pro bezpečnostní technickou infrastrukturu, který udržuje softwarovou budovu společnosti, podepisuje a uvolňuje infrastrukturu, kromě skupiny ASSET a PSIRT. Bude také dohlížet na Centrum pro koordinaci zabezpečení společnosti Adobe, což je skupina, která koordinuje činnosti týkající se reakce na incidenty v síti i v oblasti bezpečnosti produktu

Úsilí společnosti Adobe o posílení bezpečnosti svých softwarových produktů, zejména široce používaných programů, mělo v posledních letech výrazný dopad na hrozbu. Počet exploitů zaměřených na aplikaci Adobe Reader, používaných v aktivních útocích, se značně snížil, což nucen útočníkům přemístit své zaměření na Java Oracle a jiný široce používaný software. Program Adobe Reader X, který byl dříve nalezen v únoru, byl první, který obcházel mechanismus sandboxu od jeho vydání v roce 2010.

Flash Player je nyní také v prostředí Google Chrome, Mozilla Firefox a Internet Explorer 10 na operačním systému Windows 8, takže úspěšné využívání zranitelností aplikace Flash Player je mnohem obtížnější než v minulosti.

Volba tiché automatické aktualizace přidána do přehrávače Flash Player a Reader a práce, kterou společnost učinila s partnery platformy, jako je společnost Microsoft, Apple, Mozilla a Google vedly k tomu, že většina uživatelů upgraduje na nejnovější a nejbezpečnější verze těchto produktů.

Na spotřebitelském trhu používá jen malý počet uživatelů stále Adobe Reader 9 a méně než 1 procenta běží starší verze, která již není podporována a neobdrží aktualizace zabezpečení, řekl Arkin. Většina podnikových prostředí byla upgradována na čtečku XI, přesto "více lidí, než bych chtěla, stále používají verzi 9," uvedl Arkin.

Společnost je velmi agresivní, aby přesunula lidi z Reader verze 9 na verzi XI nebo alespoň X, zejména proto, že verze 9 dosáhne konec svého života na konci června, řekl Arkin. "Používáme aktualizační mechanismus k tomu, abychom upgradovali na nejnovější verzi a ne pouze aktualizace zabezpečení pro nainstalovanou verzi."

V ideálním případě by společnost chtěla, aby lidé používali službu Reader XI, protože nabízejí nejlepší úroveň zabezpečení. Čtenář XI má druhou součást pískovce známou jako chráněné zobrazení, kromě toho, která byla poprvé představena v aplikaci Reader X, ale tato funkce bohužel není ve výchozím nastavení zapnuta.

Důvod, proč Reader XI není dodáván s chráněným zobrazením povoleným výchozí hodnota je, že narušuje některé pracovní postupy, protože úroveň ochrany, kterou nabízí, je nekompatibilní s čtečkami obrazovky nebo některými dalšími běžnými úkoly, jako je tisk, řekl Arkin. S každou aktualizací se společnost snaží vyřešit některé nekompatibility, aby mohla zapnout funkci ve výchozím nastavení, řekl Arkin. Lidé ve vysoce cílených prostředích je však stále schopni zapnout a používat různé pracovní postupy pro přístup k požadované funkcionalitě, uvedl.

Co se týče přehrávače Flash Player, okamžitým cílem je provést více testů zabezpečení a cílených kód kalení s cílem identifikovat a opravit potenciální nedostatky, řekl Arkin. Dále se dělají malé změny k motoru ActionScript Virtual Machine 2 (AVM2) založené na zpětné vazbě od partnerů platformy a lidí z týmů Chrome a IE 10, aby byl robustnější proti zkorumpovanému bytecode, řekl.

V Adobe je potřeba titul CSO, protože význam cybersekurity ve světě se zvětšil, a to jak z technického hlediska, tak se objevily nové typy útoků, a také z regulačního hlediska, s novou výkonnou objednávkou na počítačovou bezpečnost v USA a "Pro vytvoření pozice šéfa bezpečnostního důstojníka v současné době je cesta, abychom mohli externě komunikovat o rozsahu práce, kterou děláme na vnitřní bezpečnosti," řekl Arkin. "Pomáhá také sdělovat váhu a závažnost těchto problémů a jak jim Adobe řeší hlavu."