Sikkerhet for vertstjenester er topp prioritet for Adobes første CSO

Adobe Systems har utnevnt Brad Arkin, selskapets senior direktør for sikkerhet for produkter og tjenester, for å bli sin første CSO. Med et modent produktsikkerhetsprogram som allerede er på plass, er toppprioriteringene for Adobes nye sikkerhetshode å styrke sikkerheten til selskapets vertsbaserte tjenester og den interne infrastrukturen.

Adobes sikkerhetssjef Brad Arkin

De siste årene, Arkin har overvåket Adobes sikkerhetsarbeid for programvare som leder av Adobe Secure Software Engineering Team (ASSET) og Adobe Product Security Incident Response Team (PSIRT). I løpet av denne tiden har Adobe Reader og Flash Player, to applikasjoner som ofte er målrettet av angripere på grunn av deres store brukerbase, fått betydelige sikkerhetsforbedringer, inkludert mekanismer for utnyttelse av eksplodering som sandboxing og stille automatiske oppdateringer.

[Videre lesing: Hvordan for å fjerne malware fra din Windows-PC]

Mens det sikre programvareteknikken fortsetter, styrker Arkins fokus sikringen av selskapets vertsbaserte tjenester, som Adobe Creative Cloud og Adobe Marketing Cloud.

"Jeg tror det Vår sikre produktlivssyklus og det arbeidet vi har gjort med våre krympeprodukter er svært modent, sier Arkin. "Vi har gjort dette i mange år nå."

Selskapet har imidlertid ikke vært vertskap for så lenge det har utviklet programvare uten hylle ", så vi fortsetter å forbedre overvåking og drift sikkerhet i det området, sier Arkin.

"I dag er jeg mest fokusert på å gjøre det vi kan for å beskytte kundens data," sa han. "Vi har allerede mye arbeid der, men det er enda mer arbeid som vi har planlagt og vi skal gjøre, og det er en uendelig prosess. Dette er noe som bare er en del av å drive vertstjenester. "

Det finnes en sikkerhetsplan for vertsbaserte tjenester, og med hver ny kodeutgave, som skjer hver tredje uke, er det en ny sikkerhetsfunksjon eller forbedring som blir lagt til eller at noen kodeherding er Utført i disse tjenestene, sa Arkin.

I tillegg til å øke sikkerheten til sine vertstjenester, planlegger selskapet også å fokusere på å styrke sin IT-infrastruktur og høyverdige interne systemer mot angrep.

Skurkene er virkelig kreative i de typer angrep de bruker mot selskaper som er koblet til Internett, sa Arkin. "Vi jobber med sikkerhetsleverandører og andre i forsvarsmiljøet for å sikre at vi legger de robuste forsvarene på plass på vår interne infrastruktur."

Selskapet har opplevd sofistikerte målrettede angrep i det siste, sa Arkin. Et eksempel er den hendelsen som ble avslørt av Adobe i september 2012, da angriperne klarte å kompromittere en av selskapets interne kode-signeringsservere og brukte den til å signere skadelig programvare med et Adobe digitalt sertifikat, sa han.

Denne typen angrep, som mål for selskapets infrastruktur og ikke koden den produserer eller dets brukere, representerer en potensiell risiko som må styres og adresseres, sa Arkin. "Å forsvare våre interne operasjoner, så vel som våre eksterne vertsbaserte tjenester og koden vi skriver, er alle innenfor ansvaret for det jeg jobber med."

Arkin vil fra sin nye stilling overvåke arbeidet med det nylig opprettede sikkerhetsgruppen for teknisk infrastruktur, som opprettholder selskapets programvarebygging, signering og utgivelse av infrastruktur, i tillegg til Asset og PSIRT-gruppene. Han vil også overvåke Adobe Security Coordination Center, en gruppe som koordinerer både nettverks- og produktsikkerhetshendelsesresponsaktiviteter over hele virksomheten.

Adobes arbeid for å styrke sikkerheten til programvaren, særlig de brukte programmene, har hatt en synlig innvirkning på trusselskapet de siste årene. Antall utnyttelser som retter seg mot Adobe Reader som brukes i aktive angrep, er redusert betydelig, og tvinger angriperne til å bytte fokus til Oracle's Java og annen mye brukt programvare. En nulldag-tidligere ukjent utgave for Adobe Reader X, som ble funnet i februar, var den første som omkjørte programmets sandboxmekanisme siden det ble utgitt i 2010.

Flash Player er nå også sandkassert under Google Chrome, Mozilla Firefox og Internet Explorer 10 på Windows 8, gjør det vel vanskeligere å utnytte Flash Player-sårbarheter enn tidligere.

Det stille alternativet for automatisk oppdatering lagt til Flash Player og Reader og det arbeidet selskapet har gjort med plattformspartnere som Microsoft, Apple, Mozilla og Google har ført til at de fleste brukere oppgraderte til de nyeste og sikreste versjonene av disse produktene, sier Arkin.

På forbrukermarkedet bruker bare et lite antall brukere Adobe Reader 9 og mindre enn 1 prosent kjører en eldre versjon som ikke lenger støttes og ikke mottar sikkerhetsoppdateringer, sa Arkin. De fleste bedriftsmiljøer har oppgradert til Reader XI, men «flere enn jeg vil, bruker fortsatt versjon 9», sier Arkin.

Selskapet er svært aggressivt for å flytte folk fra Reader versjon 9 til versjon XI eller minst X, spesielt siden versjon 9 kommer til å bli utelatt i slutten av juni, sa Arkin. "Vi bruker oppdateringsmekanismen for å skyve oppgraderinger til den nyeste versjonen og ikke bare sikkerhetsoppdateringer for den installerte versjonen."

Ideelt sett ønsker selskapet at folk skal bruke Reader XI fordi det gir det beste sikkerhetsnivået. Reader XI har en annen sandkasse-komponent kjent som Beskyttet visning, i tillegg til den som først ble introdusert i Reader X, men dessverre er denne funksjonen ikke slått på som standard.

Grunnen til at Reader XI ikke leveres med Beskyttet visning aktivert av standard er at det ødelegger noen arbeidsflyter fordi beskyttelsesnivået det gir, er uforenlig med skjermlesere eller noen andre noen vanlige oppgaver som utskrift, sa Arkin. Med hver oppdatering prøver selskapet å løse noen av inkompatibilitetene slik at den kan slå på funksjonen som standard, sa Arkin. Men folk i svært målrettede miljøer kan fortsatt slå den på nå og bruke ulike arbeidsplasser for å få tilgang til den nødvendige funksjonaliteten, sa han.

Når det gjelder Flash Player, er det umiddelbare målet å gjøre mer sikkerhetstesting og målrettet kode herding for å identifisere og fikse potensielle feil, sa Arkin. Små endringer gjøres også til ActionScript Virtual Machine 2 (AVM2) -motoren basert på tilbakemeldinger fra plattformspartnere og personer i Chrome og IE 10-lagene, for å gjøre det mer robust mot korrupt bytekode, sa han.

The CSO-tittel var nødvendig på Adobe fordi viktigheten av cybersecurity i verden har økt, både fra et teknisk synspunkt, med nye typer angrep som vises, og også fra et tilsynsmessig synspunkt, med den nye sikkerhetsordren i cybersecurity i USA og i USA. cybersikkerhetsstrategi i EU, sier Arkin.

"Å skape en øverste sikkerhetsansvarlig posisjon er nå en måte for oss å kommunisere eksternt i omfanget av arbeidet vi gjør med sikkerhet internt," sa han. "Det bidrar også til å formidle problemene og omfanget av problemene og hvordan Adobe takler dem."