Windows

Bezpieczeństwo hostowanych usług jest najwyższym priorytetem dla pierwszej CSO firmy Adobe

#Hot16Challenge2 - Uniwersytet Gdański

#Hot16Challenge2 - Uniwersytet Gdański
Anonim

Adobe Systems wyznaczył Brada Arkina, dyrektora ds. Bezpieczeństwa w firmie produkty i usługi, aby stać się jej pierwszym GUS. Po wdrożeniu dojrzałego programu bezpieczeństwa produktów, najważniejszym priorytetem nowego szefa bezpieczeństwa firmy Adobe jest zwiększenie bezpieczeństwa hostowanych usług firmy i jej wewnętrznej infrastruktury.

Oficer ds. Bezpieczeństwa w firmie Adobe Brad Arkin

Od kilku lat Arkin nadzorował działania związane z bezpieczeństwem oprogramowania Adobe, będąc liderem zespołu Adobe Secure Software Engineering Team (ASSET) i zespołu ds. Reagowania na awarie Adobe Product Security (PSIRT). W tym czasie Adobe Reader i Flash Player, dwie aplikacje, które są często atakowane przez atakujących ze względu na dużą liczbę użytkowników, uzyskały znaczące ulepszenia zabezpieczeń, w tym mechanizmy przeciwdziałające wykorzystywaniu, takie jak sandboxing i ciche automatyczne aktualizacje.

[Czytaj dalej: Jak w celu usunięcia złośliwego oprogramowania z komputera z systemem Windows]

Podczas gdy bezpieczne prace inżynieryjne będą kontynuowane, Arkin skupia się na zwiększeniu bezpieczeństwa usług hostowanych przez firmę, takich jak Adobe Creative Cloud i Adobe Marketing Cloud.

"Myślę, że nasz bezpieczny cykl życia produktu i praca, którą wykonywaliśmy z naszymi opakowanymi produktami, jest bardzo dojrzała "- powiedział Arkin. "Robimy to już od lat."

Jednak firma nie świadczy usług hostowanych tak długo, jak długo rozwija oprogramowanie ", więc nadal ulepszamy nasze monitorowanie i działanie bezpieczeństwo w tym obszarze ", powiedział Arkin.

" Obecnie skupiam się na robieniu rzeczy, które możemy, aby chronić dane naszych klientów "- powiedział. "Wykonujemy już wiele wspaniałych prac, ale jest jeszcze więcej pracy, którą zaplanowaliśmy i będziemy to robić i to niekończący się proces. To jest coś, co jest tylko częścią usług hostingowych. "

Istnieje plan bezpieczeństwa dla usług hostowanych iz każdą nową wersją kodu, która ma miejsce co trzy tygodnie, dodawana jest nowa funkcja bezpieczeństwa lub ulepszenie lub wzmacnianie kodu "

Oprócz poprawy bezpieczeństwa hostowanych usług, firma planuje również skoncentrować się na wzmacnianiu infrastruktury IT i wysokowartościowych wewnętrznych systemów przeciwko atakom."

Złe są naprawdę twórczy w rodzaju ataków, których używają przeciwko firmom podłączonym do Internetu, powiedział Arkin. "Pracujemy z dostawcami zabezpieczeń i innymi członkami społeczności obrońców, aby upewnić się, że wprowadzamy solidne zabezpieczenia w naszej wewnętrznej infrastrukturze."

Firma doświadczyła w przeszłości zaawansowanych ataków ukierunkowanych, powiedział Arkin. Jednym z przykładów jest przypadek ujawniony przez firmę Adobe we wrześniu 2012 r., Kiedy to atakującym udało się skompromitować jeden z wewnętrznych serwerów podpisujących kod firmy i użyć go do podpisania złośliwego oprogramowania za pomocą cyfrowego certyfikatu Adobe, powiedział.

Ten rodzaj ataku, który kieruje się infrastrukturą firmy, a nie kodem, który produkuje lub jej użytkownikami, stanowi potencjalne ryzyko, którym należy się zająć i zająć się nim, powiedział Arkin. "Obrona naszych wewnętrznych działań, a także naszych zewnętrznych usług hostowanych i kodu, który piszemy, leżą w zakresie odpowiedzialności za to, nad czym pracuję."

Ze swojego nowego stanowiska, Arkin będzie nadzorował praca niedawno utworzonego zespołu ds. bezpieczeństwa infrastruktury technicznej, który utrzymuje infrastrukturę tworzenia, podpisywania i uwalniania oprogramowania firmy, oprócz funkcji grup ASSET i PSIRT. Będzie także nadzorował Centrum Koordynacji Bezpieczeństwa Adobe, które koordynuje działania w zakresie reagowania na incydenty dotyczące bezpieczeństwa sieci i produktu w całej firmie.

Starania firmy Adobe o zwiększenie bezpieczeństwa oprogramowania, zwłaszcza szeroko używanych programów, miały widoczny wpływ na krajobraz zagrożeń w ostatnich latach. Liczba exploitów atakujących Adobe Reader używanych w aktywnych atakach znacznie się zmniejszyła, co zmusza napastników do skupienia się na Javie Oracle i innych powszechnie używanych programach. Wykrywany w zeszłym dniu exploit o zerowym dniu dla Adobe Reader X, który został znaleziony w lutym, był pierwszym, który omija mechanizm piaskownicy programu od czasu jego wydania w 2010 roku.

Flash Player jest teraz również piaskowany w Google Chrome, Mozilla Firefox i Internet Explorer 10 na Windows 8, znacznie skuteczniej wykorzystując luki Flash Player niż w przeszłości.

Opcja cichej automatycznej aktualizacji dodana do Flash Playera i Readera oraz praca, jaką firma wykonała z partnerami platformy, takimi jak Microsoft, Apple, Mozilla i Google doprowadziły do ​​tego, że większość użytkowników przechodzi na nowsze i najbezpieczniejsze wersje tych produktów, powiedział Arkin.

Na rynku konsumenckim tylko niewielka liczba użytkowników wciąż używa Adobe Readera 9 i mniej. ponad 1 procent działa ze starszą wersją, która nie jest już obsługiwana i nie otrzymuje aktualizacji zabezpieczeń, powiedział Arkin. Większość środowisk korporacyjnych zaktualizowała się do wersji Reader XI, ale "więcej osób, niż bym chciał, nadal używa wersji 9", powiedział Arkin.

Firma bardzo agresywnie przenosi ludzi z Czytnika w wersji 9 do wersji XI lub co najmniej X, zwłaszcza, że ​​wersja 9 zakończy się pod koniec czerwca, powiedział Arkin. "Używamy mechanizmu aktualizacji do aktualizacji do najnowszej wersji, a nie tylko do aktualizacji zabezpieczeń dla zainstalowanej wersji."

Idealnie, firma chciałaby, aby ludzie korzystali z Czytnika XI, ponieważ zapewnia to najwyższy poziom bezpieczeństwa. Czytnik XI ma drugi składnik piaskownicy znany jako Widok Chroniony, oprócz pierwszego wprowadzonego w Czytniku X, ale niestety ta funkcja nie jest domyślnie włączona.

Powód, dla którego Czytnik XI nie jest dostarczany z Widokiem chronionym włączonym przez domyślnie jest to, że łamie niektóre przepływy pracy, ponieważ poziom ochrony, jaki oferuje, jest niekompatybilny z czytnikami ekranu lub z innymi typowymi zadaniami, takimi jak drukowanie, powiedział Arkin. Przy każdej aktualizacji firma stara się rozwiązać niektóre z niezgodności, dzięki czemu może włączyć tę funkcję domyślnie, powiedział Arkin. Jednakże, ludzie w wysoce ukierunkowanych środowiskach mogą nadal go włączać i używać różnych funkcji do uzyskania wymaganej funkcjonalności, powiedział.

Jeśli chodzi o Flash Player, bezpośrednim celem jest przeprowadzenie większej liczby testów bezpieczeństwa i ukierunkowanych hartowanie kodu w celu zidentyfikowania i naprawienia potencjalnych wad, powiedział Arkin. Wprowadzono również niewielkie zmiany w działaniu mechanizmu ActionScript Virtual Machine 2 (AVM2) na podstawie opinii od partnerów platformy i osób z zespołów Chrome i IE 10, aby uczynić go bardziej odpornym na korupcyjny kod bajtowy.

Tytuł CSO był potrzebny w Adobe, ponieważ znaczenie cyberbezpieczeństwa na świecie zwiększyło się, zarówno z technicznego punktu widzenia, z pojawieniem się nowych rodzajów ataków, jak również z regulacyjnego punktu widzenia, z nowym porządkiem wykonawczym cyberbezpieczeństwa w Stanach Zjednoczonych i Stanach Zjednoczonych. - powiedział Arkin - strategia bezpieczeństwa cybernetycznego w UE

"Stworzenie stanowiska szefa bezpieczeństwa już teraz jest sposobem, abyśmy zewnętrznie informowali o skali pracy, którą wykonujemy na temat bezpieczeństwa wewnętrznie," powiedział. "Pomaga także przekazać wagę i poważny charakter problemów oraz to, w jaki sposób Adobe radzi sobie z nimi".