Securitatea serviciilor găzduite este o prioritate pentru primul Adobe CSO

Adobe Systems a numit Brad Arkin, directorul principal al companiei pentru securitate produse și servicii, pentru a deveni primul CSO. Cu un program matur de securitate a produselor deja existente, principalele priorități pentru noul șef de securitate al Adobe sunt de a consolida securitatea serviciilor găzduite de companie și infrastructura internă a acestuia.

Adobe șef de securitate Brad Arkin

În ultimii ani, Arkin a supravegheat eforturile Adobe de securitate a produselor software ca lider al echipei AESET (Software Secure Software Engineering) și a echipei PSIRT (Adobe Product Security Response Team). În acest timp, Adobe Reader și Flash Player, două aplicații frecvent vizate de atacatori datorită bazei lor de utilizatori mari, au primit îmbunătățiri importante ale securității, inclusiv mecanisme anti-exploatare, cum ar fi sandbox-ul și actualizări automate silențioase. pentru a elimina malware-ul de pe PC-ul dvs. de Windows]

În timp ce lucrul la ingineria software-ului securizat va continua, atenția companiei Arkin este consolidarea securității serviciilor găzduite de companie, cum ar fi Adobe Creative Cloud și Adobe Marketing Cloud. ciclul de viață al produselor noastre securizate și munca pe care am făcut-o cu produsele noastre de tip shrinkwrapped este foarte matură ", a spus Arkin. "Am făcut acest lucru de ani de zile."

Cu toate acestea, compania nu a făcut servicii găzduite atâta timp cât se dezvoltă software-ul ", așa că vom continua să îmbunătățim monitorizarea și funcționarea securitatea în această zonă ", a spus Arkin.

" În momentul de față mă concentrez mai mult pe a face toate lucrurile pentru a proteja datele clienților noștri ", a spus el. "Facem deja o mare lucrare acolo, dar există și mai multă muncă pe care am planificat-o și o vom face și este un proces fără sfârșit. "

Există o foaie de parcurs de securitate pentru serviciile găzduite și cu fiecare nouă versiune de cod, care se întâmplă la fiecare trei săptămâni, se adaugă o nouă caracteristică de securitate sau o îmbunătățire sau o anumită întărire a codului a spus că ar fi fost nevoie de o mai bună integrare a serviciilor de găzduire și a serviciilor de găzduire.

În plus față de îmbunătățirea securității serviciilor găzduite, compania intenționează să se concentreze pe consolidarea infrastructurii IT și a sistemelor interne de înaltă valoare împotriva atacurilor. creative în tipurile de atacuri pe care le folosesc împotriva companiilor conectate la Internet, a spus Arkin. "Lucrăm cu vânzătorii de securitate și cu alții din comunitatea apărătorilor pentru a ne asigura că punem în practică o apărare robustă pe infrastructura noastră internă."

Compania a experimentat atacuri direcționate sofisticate în trecut, a spus Arkin. Un exemplu este incidentul dezvăluit de Adobe în septembrie 2012, când atacatorii au reușit să compromită unul dintre serverele interne de semnare a codului companiei și l-au folosit pentru a semna malware cu un certificat digital Adobe. vizează infrastructura companiei și nu codul pe care îl produce sau utilizatorii săi, reprezintă un risc potențial care trebuie gestionat și abordat, a spus Arkin. "Apărând operațiunile noastre interne, precum și serviciile noastre găzduite extern și codul pe care-l scriem sunt toate în responsabilitatea pentru ceea ce lucrez."

Din noua sa funcție, Arkin va supraveghea lucrarea echipei de securitate a infrastructurii inginerești, recent creată, care menține clădirea software-ului companiei, semnează și eliberează infrastructura, pe lângă cea a grupurilor ASSET și PSIRT. De asemenea, va supraveghea Centrul de Coordonare a Securității Adobe, un grup care coordonează atât activitățile de reacție la incidente în rețea, cât și în ceea ce privește securitatea produselor în cadrul companiei.

Eforturile Adobe de a consolida securitatea produselor software, în special programele utilizate pe scară largă, au avut un impact vizibil asupra peisajului amenințărilor din ultimii ani. Numărul de exploatații vizate de Adobe Reader folosit în atacurile active a scăzut considerabil, forțând atacatorii să-și îndrepte atenția spre Java-ul Oracle și alte aplicații software utilizate pe scară largă. Un exploatat necunoscut anterior pentru Adobe Reader X, care a fost găsit în februarie, a fost primul care a ocolit mecanismul programului sandbox de la lansarea lui în 2010.

Flash Player este acum, de asemenea, cutie de nisip în Google Chrome, Mozilla Firefox și Internet Explorer 10 pe Windows 8, exploatarea cu succes a vulnerabilităților Flash Player mult mai dificilă decât în ​​trecut

Opțiunea silențioasă de actualizare automată adăugată la Flash Player și Reader și munca pe care compania a făcut-o cu parteneri de platformă precum Microsoft, Apple, Mozilla și Google au făcut ca majoritatea utilizatorilor să facă upgrade la cele mai recente și mai sigure versiuni ale acestor produse, afirmă Arkin.

Pe piața de consum, doar un număr mic de utilizatori folosesc încă Adobe Reader 9 și mai puțin decât 1% rulează o versiune mai veche, care nu mai este acceptată și nu primește actualizări de securitate, a declarat Arkin. Cele mai multe medii de business s-au modernizat la Reader XI, dar "mai mulți oameni decât mi-ar plăcea încă folosesc versiunea 9", a declarat Arkin.

Compania este foarte agresivă pentru a muta oamenii de la Reader versiunea 9 la versiunea XI sau cel puțin X, mai ales că versiunea 9 va ajunge la sfârșitul vieții la sfârșitul lunii iunie, a spus Arkin. "Utilizăm mecanismul de actualizare pentru a împinge upgrade-urile la cea mai recentă versiune și nu doar la actualizările de securitate pentru versiunea instalată."

În mod ideal, compania ar dori ca utilizatorii să folosească Reader XI deoarece oferă cel mai bun nivel de securitate. Reader XI are oa doua componentă de tip sandbox cunoscută sub numele de Protected View, pe lângă cea introdusă inițial în Reader X, dar, din păcate, această caracteristică nu este activată în mod implicit.

Motivul pentru care Reader XI nu este livrat cu View Protected enabled by implicit este că rupe unele fluxuri de lucru, deoarece nivelul de protecție pe care îl oferă este incompatibil cu cititorii de ecran sau alte câteva sarcini obișnuite precum imprimarea, a spus Arkin. Cu fiecare actualizare, compania încearcă să rezolve unele incompatibilități, astfel încât să poată activa funcția în mod implicit, a spus Arkin. Cu toate acestea, oamenii care se află în medii foarte bine direcționate pot să-l activeze acum și să folosească diverse funcții pentru a accesa funcționalitatea necesară.

În ceea ce privește Flash Player, obiectivul imediat este de a efectua mai multe teste de securitate și de a viza codul de întărire, în scopul de a identifica și de a remedia defectele potențiale, Arkin a spus. Sunt făcute și mici modificări în motorul ActionScript Virtual Machine 2 (AVM2), bazat pe feedback-ul partenerilor de platformă și al celor din echipele Chrome și IE 10, pentru a fi mai robust în fața unui bytecode corupt. Titlul CSO a fost necesar la Adobe, deoarece importanța securității cibernetice în lume a crescut, atât din punct de vedere tehnic, cu noi tipuri de atacuri, cât și din punct de vedere al reglementării, cu noua ordine executivă a securității cibernetice în SUA și strategia pentru securitatea cibernetică în UE, a spus Arkin.

"Crearea unei poziții de șef de securitate acum este o modalitate de a comunica pe scară largă amploarea activității pe care o facem în domeniul securității interne", a spus el. "De asemenea, contribuie la transmiterea greutății și naturii grave a problemelor și a modului în care Adobe le abordează."