Η ασφάλεια των φιλοξενούμενων υπηρεσιών είναι η πρώτη προτεραιότητα για το πρώτο CSO της Adobe

Η Adobe Systems έχει διορίσει τον Brad Arkin, προϊόντων και υπηρεσιών, να γίνει ο πρώτος CSO. Με ένα ήδη αναπτυγμένο πρόγραμμα ασφάλειας προϊόντων, οι κορυφαίες προτεραιότητες για το νέο επικεφαλής ασφάλειας της Adobe είναι να ενισχύσουν την ασφάλεια των φιλοξενούμενων υπηρεσιών της εταιρείας και της εσωτερικής υποδομής της.

Ο επικεφαλής της ασφάλειας της Adobe, Brad Arkin

Τα τελευταία χρόνια, Ο Arkin έχει επιβλέψει τις προσπάθειες ασφάλειας των προϊόντων λογισμικού της Adobe ως επικεφαλής της ομάδας τεχνολογιών λογισμικού Adobe Secure (ASSET) και της ομάδας απαντήσεων της υπηρεσίας Adobe Product Security Response Team (PSIRT). Κατά τη διάρκεια αυτής της περιόδου, τα προγράμματα Adobe Reader και Flash Player, δύο εφαρμογές που στοχεύουν συχνά οι εισβολείς λόγω της μεγάλης βάσης χρηστών τους, έχουν λάβει σημαντικές βελτιώσεις ασφάλειας, συμπεριλαμβανομένων μηχανισμών κατά της εκμετάλλευσης όπως sandboxing και σιωπηλές αυτόματες ενημερώσεις. για να αφαιρέσετε τα κακόβουλα προγράμματα από τον υπολογιστή σας Windows

Ενώ η εργασία για την ασφάλεια του λογισμικού θα συνεχιστεί, η εστίαση της Arkin ενισχύει την ασφάλεια των φιλοξενούμενων υπηρεσιών της εταιρείας, όπως το Adobe Creative Cloud και το Adobe Marketing Cloud. ο ασφαλής κύκλος ζωής των προϊόντων μας και η δουλειά που έχουμε κάνει με τα προϊόντα μας που έχουν συρρικνωθεί είναι πολύ ώριμα ", δήλωσε ο Arkin. "Έχουμε κάνει αυτό εδώ και χρόνια."

Ωστόσο, η εταιρεία δεν έχει κάνει φιλοξενούμενες υπηρεσίες για όσο διάστημα αναπτύσσεται λογισμικό off-the-shelf ", ώστε να συνεχίσουμε να ενισχύουμε την παρακολούθηση και τη λειτουργία μας την ασφάλεια σε αυτή την περιοχή ", δήλωσε ο Arkin

« Αυτή τη στιγμή είμαι περισσότερο επικεντρωμένος στο να κάνουμε τα πράγματα για να προστατέψουμε τα δεδομένα των πελατών μας », είπε. "Κάνουμε ήδη μεγάλη δουλειά εκεί, αλλά υπάρχει ακόμα περισσότερη δουλειά που έχουμε προγραμματίσει και θα κάνουμε και είναι μια ατελείωτη διαδικασία. "

Υπάρχει ένας οδικός χάρτης ασφαλείας για τις υπηρεσίες που φιλοξενούνται και με κάθε νέα έκδοση κώδικα που συμβαίνει κάθε τρεις εβδομάδες, υπάρχει ένα νέο χαρακτηριστικό ασφάλειας ή βελτίωση που προστίθεται ή κάποιος κώδικας σκλήρυνσης είναι

Εκτός από την ενίσχυση της ασφάλειας των φιλοξενούμενων υπηρεσιών της, η εταιρεία σχεδιάζει επίσης να επικεντρωθεί στην ενίσχυση της υποδομής της πληροφορικής και των εσωτερικών συστημάτων υψηλής αξίας ενάντια στις επιθέσεις.

Οι κακοί είναι πραγματικά δημιουργικά στους τύπους επιθέσεων που χρησιμοποιούν κατά των εταιρειών που συνδέονται με το Διαδίκτυο, δήλωσε ο Arkin. "Συνεργαζόμαστε με προμηθευτές ασφαλείας και άλλους στην κοινότητα των αμυντικών για να βεβαιωθούμε ότι εφαρμόζουμε τις ισχυρές άμυνες στην εσωτερική υποδομή μας."

Η εταιρεία γνώρισε εξελιγμένες στοχευμένες επιθέσεις στο παρελθόν, δήλωσε ο Arkin. Ένα παράδειγμα είναι το περιστατικό που αποκαλύφθηκε από την Adobe τον Σεπτέμβριο του 2012, όταν οι επιτιθέμενοι κατάφεραν να θέσουν σε κίνδυνο έναν από τους εσωτερικούς διακομιστές υπογραφής κώδικα της εταιρείας και την χρησιμοποίησαν για να υπογράψουν κακόβουλο λογισμικό με ένα ψηφιακό πιστοποιητικό Adobe

. στοχεύει στην υποδομή της εταιρείας και όχι στον κώδικα που παράγει ή στους χρήστες της, αντιπροσωπεύει έναν πιθανό κίνδυνο που πρέπει να αντιμετωπιστεί και να αντιμετωπιστεί, δήλωσε ο Arkin. "Η υπεράσπιση των εσωτερικών μας λειτουργιών, καθώς και των εξωτερικών φιλοξενούντων υπηρεσιών μας και του κώδικα που γράφουμε, βρίσκονται στο πεδίο των ευθυνών για το τι εργάζομαι».

Από τη νέα του θέση, ο Arkin θα επιβλέπει το έργο της πρόσφατα δημιουργούμενης ομάδας ασφάλειας μηχανικών υποδομών, η οποία διατηρεί το κτίριο λογισμικού της εταιρίας, υπογράφει και απελευθερώνει υποδομή, επιπλέον εκείνης των ομάδων ASSET και PSIRT. Θα επιβλέπει επίσης το Κέντρο Συντονισμού Ασφαλείας της Adobe, μια ομάδα που συντονίζει τόσο τις δραστηριότητες αντιμετώπισης περιστατικών δικτύου όσο και προϊόντων ασφάλειας σε όλη την εταιρεία.

Οι προσπάθειες της Adobe για την ενίσχυση της ασφάλειας των προϊόντων λογισμικού της, ιδιαίτερα των ευρέως χρησιμοποιούμενων προγραμμάτων, είχαν ορατό αντίκτυπο στο τοπίο απειλών τα τελευταία χρόνια. Ο αριθμός των εκμεταλλεύσεων που στοχεύουν το Adobe Reader που χρησιμοποιούνται σε ενεργές επιθέσεις έχει μειωθεί σημαντικά, αναγκάζοντας τους επιτιθέμενους να στραφούν στην Java και άλλα ευρέως χρησιμοποιούμενα λογισμικά της Oracle. Μια μη-προηγούμενη άγνωστη εκμετάλλευση για το Adobe Reader X, η οποία βρέθηκε τον Φεβρουάριο, ήταν η πρώτη που παρακάμπτει τον μηχανισμό του sandbox του προγράμματος από την κυκλοφορία του το 2010.

Ο Flash Player είναι τώρα επίσης sandboxed στο Google Chrome, Mozilla Firefox και Internet Explorer 10 στα Windows 8, καθιστώντας την επιτυχημένη εκμετάλλευση των τρωτών σημείων του Flash Player πολύ πιο δύσκολη από ό, τι στο παρελθόν

Η σιωπηρή δυνατότητα αυτόματης ενημέρωσης που προστέθηκε στο Flash Player και το Reader και το έργο που έχει κάνει η εταιρεία με συνεργάτες της πλατφόρμας όπως η Microsoft, Η Apple, η Mozilla και η Google έχουν οδηγήσει την πλειοψηφία των χρηστών να αναβαθμιστούν στις τελευταίες και πιο ασφαλείς εκδόσεις αυτών των προϊόντων, δήλωσε ο Arkin.

Στην καταναλωτική αγορά, μόνο ένας μικρός αριθμός χρηστών εξακολουθεί να χρησιμοποιεί το Adobe Reader 9 και λιγότερο από το 1% εκτελείται μια παλαιότερη έκδοση που δεν υποστηρίζεται πλέον και δεν λαμβάνει ενημερώσεις ασφαλείας, δήλωσε ο Arkin. Τα περισσότερα περιβάλλοντα επιχειρήσεων έχουν αναβαθμιστεί στο Reader XI, αλλά "περισσότεροι άνθρωποι από όσο θα ήθελα εξακολουθούν να χρησιμοποιούν την έκδοση 9", δήλωσε ο Arkin.

Η εταιρεία είναι πολύ επιθετική για να μετακινήσει ανθρώπους από την έκδοση 9 Reader στην έκδοση XI ή τουλάχιστον X, ειδικά δεδομένου ότι η έκδοση 9 θα φτάσει στο τέλος του κύκλου ζωής στα τέλη Ιουνίου, δήλωσε ο Arkin. "Χρησιμοποιούμε τον μηχανισμό ενημέρωσης για να προωθήσουμε τις αναβαθμίσεις στην πιο πρόσφατη έκδοση και όχι μόνο τις ενημερώσεις ασφαλείας για την εγκατεστημένη έκδοση."

Στην ιδανική περίπτωση, η εταιρεία θα ήθελε τους ανθρώπους να χρησιμοποιούν το Reader XI επειδή προσφέρει το καλύτερο επίπεδο ασφάλειας. Ο αναγνώστης XI έχει ένα δεύτερο συστατικό sandboxing γνωστό ως Προστατευόμενη προβολή, εκτός από αυτό που εισήχθη για πρώτη φορά στο Reader X. Ωστόσο, αυτή η λειτουργία δεν είναι ενεργοποιημένη από προεπιλογή.

Ο λόγος για τον οποίο ο Reader XI δεν αποστέλλεται με ενεργοποιημένη την Προστατευμένη προβολή η προεπιλογή είναι ότι σπάει ορισμένες ροές εργασίας, καθώς το επίπεδο προστασίας που προσφέρει είναι ασυμβίβαστο με τους αναγνώστες οθόνης ή κάποια άλλα κοινά καθήκοντα όπως η εκτύπωση, δήλωσε ο Arkin. Με κάθε ενημέρωση, η εταιρεία προσπαθεί να λύσει μερικές από τις ασυμβατότητες, ώστε να μπορεί να ενεργοποιήσει την λειτουργία από προεπιλογή, δήλωσε ο Arkin. Ωστόσο, οι άνθρωποι σε περιβάλλοντα υψηλής ευκρίνειας μπορούν ακόμα να το ενεργοποιήσουν τώρα και να χρησιμοποιήσουν διάφορα εργαλεία για να αποκτήσουν πρόσβαση στην απαιτούμενη λειτουργικότητα, ανέφερε.

Όσον αφορά το Flash Player, ο άμεσος στόχος είναι να κάνουμε περισσότερους ελέγχους ασφαλείας και να στοχεύσουμε κωδικοποίηση για να εντοπίσει και να διορθώσει πιθανές ατέλειες, είπε ο Arkin. Μικρές αλλαγές γίνονται επίσης στον κινητήρα ActionScript Virtual Machine 2 (AVM2) που βασίζεται στην ανατροφοδότηση από τους συνεργάτες της πλατφόρμας και τους ανθρώπους στις ομάδες Chrome και IE 10, προκειμένου να γίνει πιο ανθεκτικός σε διεφθαρμένο bytecode, δήλωσε. Ο τίτλος του CSO ήταν απαραίτητος στην Adobe επειδή η σημασία της ασφάλειας στον κυβερνοχώρο στον κόσμο έχει αυξηθεί, τόσο από τεχνική άποψη, όσο και από νέους τύπους επιθέσεων που εμφανίζονται, αλλά και από κανονιστική άποψη, με τη νέα εκτελεστική εντολή στον κυβερνοχώρο στις ΗΠΑ και την η στρατηγική για την ασφάλεια στον κυβερνοχώρο στην ΕΕ, δήλωσε ο Arkin.

Η δημιουργία μιας θέσης επικεφαλής ασφαλείας τώρα είναι ένας τρόπος για να επικοινωνήσουμε εξωτερικά την κλίμακα του έργου που κάνουμε στην εσωτερική ασφάλεια ». "Βοηθά επίσης να μεταφέρει το βάρος και τη σοβαρότητα των ζητημάτων και πώς αντιμετωπίζει η Adobe το κεφάλι τους."