Isännöityjen palvelujen turvallisuus on Adoben ensimmäisen CSO : n tärkein prioriteetti

Adobe Systems on nimitti Brad Arkinin, yhtiön ylimmän turvallisuusjohtajan tuotteista ja palveluista, tulee sen ensimmäinen CSO. Adobein uuden turvallisuuspäällikön painopistealueilla on vahvistaa kypsää tietoturvaohjelmaa, jonka avulla vahvistetaan yhtiön isännöityjen palvelujen ja sen sisäisen infrastruktuurin turvallisuutta.

Adobe-päällikön turvallisuuspäällikkö Brad Arkin

Useiden vuosien ajan, Arkin on valvo Adoben ohjelmistotuotteiden turvallisuustoimintoja Adobe Secure Software Engineering Teamin (Asset) ja Adobe Product Security Incident Response Teamin (PSIRT) johtajana. Tänä aikana Adobe Reader ja Flash Player, kaksi sovellusta, jotka ovat usein kohdistamia hyökkääjiä heidän suuren käyttäjäkuntansa vuoksi, ovat saaneet merkittäviä tietoturvaparannuksia, kuten hyödyntämismekanismeja, kuten hiekkalaatikkoa ja hiljaisia ​​automaattisia päivityksiä.

[Lue lisää: Miten poista haittaohjelmat Windows-tietokoneelta]

Turvallisen ohjelmistosuunnittelun jatkossa Arkin keskittyy vahvistamaan yrityksen isännöityjen palvelujen turvallisuutta, kuten Adobe Creative Cloud ja Adobe Marketing Cloud.

"Mielestäni turvallinen tuotteen elinkaari ja työ, jonka olemme tehneet kutistuvien tuotteiden kanssa, on hyvin kypsä ", Arkin sanoi. "Olemme tehneet tätä jo vuosia."

Yritys ei ole kuitenkaan tehnyt isännöityjä palveluita niin kauan kuin se on kehittänyt off-the-shelf-ohjelmistoa ", joten voimme edelleen tehostaa seurantamme ja toimintaa Turvallisuus tällä alueella ", Arkin sanoi.

" Tällä hetkellä olen keskittynyt tekemään asioita, joita voimme suojella asiakkaidemme tietoja ", hän sanoi. "Teemme paljon hyvää työtä siellä jo, mutta on vielä enemmän työtä, jonka olemme suunnitelleet, ja teemme, ja se on loputtomuus. Tämä on jotain, joka on vain osa isännöityjen palveluiden suorittamista. "

Isännöityjen palvelujen turvallisuutta koskeva etenemissuunnitelma ja jokainen uusi koodi julkaistaan ​​joka kolmas viikko, uusi turvallisuusominaisuus tai parannus lisätään tai koodin kovettuminen on Arkin sanoi:

Sen lisäksi, että sen isännöityjen palvelujen turvallisuutta lisätään, yhtiö aikoo keskittyä vahvistamaan IT-infrastruktuuriaan ja arvokkaita sisäisiä järjestelmiä iskuja vastaan.

Rikolliset ovat todella luovuutta niissä hyökkäyksissä, joita he käyttävät internetin yhteydessä olevia yrityksiä vastaan, Arkin sanoi. "Työskentelemme turvallisuuden toimittajien ja muiden puolustajien yhteisössä varmistaaksemme, että asetamme vankat puolustukset sisäiseen infrastruktuuriimme."

Yritys on kokenut pitkälle kehitettyjä kohdennettuja hyökkäyksiä aikaisemmin, Arkin sanoi. Yksi esimerkki on Adoben ilmoittama syyskuussa 2012 tapahtunut tapaus, jolloin hyökkääjät onnistuivat vaarantamaan yrityksen sisäisen koodin allekirjoituspalvelimen ja käyttivät sitä allekirjoittamaan haittaohjelmat Adobe-digitaalisella todistuksella.

Tällainen hyökkäys, joka tavoittaa yrityksen infrastruktuuri eikä sen tuottamia koodeja tai sen käyttäjiä, mikä on mahdollinen riski, jota on hallittava ja käsiteltävä, Arkin totesi. "Sisäisten toimintojen, sekä ulkoisten isännöitymme palveluiden ja kirjoittamamme koodin puolustaminen kuuluvat kaikkiin tehtävieni vastuualueisiin."

Arkin valvoo uutta tehtäväänsä äskettäin perustetun Engineering Infrastructure Security Teamin työ, joka ylläpitää yrityksen ohjelmistotaloa, allekirjoittaa ja vapauttaa infrastruktuurin ASSET- ja PSIRT-ryhmien lisäksi. Hän myös valvoo Adobe Security Koordinointikeskusta, joka koordinoi sekä verkko- että tuoteturvallisuusonnettomuuksien vastaustoimintaa koko yrityksessä.

Adobe pyrkii vahvistamaan ohjelmistotuotteidensa turvallisuutta, erityisesti laajalti käytettyjä ohjelmia, on ollut viime vuosina näkyvä vaikutus uhka-alueelle. Aktiivisten hyökkäysten yhteydessä käytettävien Adobe Readerin kohteiden määrä on vähentynyt huomattavasti, mikä pakottaa hyökkääjät keskittymään Oraclen Java- ja muihin laajalti käytettyihin ohjelmistoihin. Helmikuussa löydetty Adobe Reader X: n nollapäiväinen aikaisemmin tuntematon hyödyntäminen oli ensimmäinen, joka ohitti ohjelman hiekkalaatikkomekanismin sen julkaisemisen jälkeen vuonna 2010.

Flash Player on nyt myös hiekkalaatikko Google Chrome, Mozilla Firefox ja Internet Explorer 10 Windows 8: ssa, mikä tekee Flash Player -haavoittuvuuksien onnistuneesta hyödyntämisestä paljon vaikeampaa kuin aiemmin.

Flash Playerin ja Readerin lisätty hiljainen automaattinen päivitysvaihtoehto ja työ, jonka yritys on tehnyt yhteistyökumppaneiden, kuten Microsoftin, Apple, Mozilla ja Google ovat johtaneet siihen, että suurin osa käyttäjistä päivittää uusimmat ja turvallisimmat versiot näistä tuotteista, Arkin sanoi.

Kuluttajamarkkinoilla vain pieni määrä käyttäjiä käyttää edelleen Adobe Reader 9: ta ja vähemmän yli 1 prosentti käyttää vanhempaa versiota, jota ei enää tueta eikä vastaanoteta tietoturvapäivityksiä, Arkin sanoi. Useimmat yritysympäristöt ovat päivittyneet Reader XI -järjestelmään, mutta yhä useammat ihmiset kuin haluaisin käyttävät edelleen versiota 9. Arkin sanoi.

Yhtiö on erittäin aggressiivinen siirtää ihmisiä Reader-versiosta 9 XI-versioon tai vähintään X: ään varsinkin kun versio 9 päätyy loppuun kesäkuun lopussa, Arkin sanoi. "Käytämme päivitysmekanismia päivittämään päivitykset uusimpaan versioon, eivätkä vain asennetun version tietoturvapäivityksiin."

Ihannetapauksessa yritys haluaisi, että ihmiset käyttäisivät Reader XI: tä, koska se tarjoaa parhaan tietoturvatason. Lukijalla XI on toinen suojapuku, joka tunnetaan nimellä Protected View, sen lisäksi, että se on otettu käyttöön ensin Reader X: ssä, mutta valitettavasti tämä ominaisuus ei ole oletusarvoisesti käytössä.

Syy, miksi Reader XI: tä ei toimiteta suojatun näkymän avulla Oletuksena on, että se murtaa työnkulut, koska suojaustaso ei ole yhteensopiva näytönlukijoiden tai joidenkin muiden tavallisten tehtävien kuten tulostuksen kanssa, Arkin sanoi. Jokaisella päivityksellä yritys yrittää ratkaista joitain yhteensopimattomuuksia, jotta se voi ottaa ominaisuuden käyttöön oletuksena, Arkin sanoi.

Flash Playerin osalta välittömänä tavoitteena on tehdä enemmän turvatarkastuksia ja kohdistaa kohdennettuja toimintoja koodin kovettumista mahdollisten puutteiden tunnistamiseksi ja korjaamiseksi, Arkin sanoi. Pieniä muutoksia tehdään myös ActionScript Virtual Machine 2 (AVM2) -moottorilla, joka perustuu reittikumppaneiden ja Chrome- ja IE 10 -joukkueiden henkilöiden palautteeseen, jotta he voisivat tehdä vankemmaksi korruptoituneen bytecode-koodin.

CSO: n otsikko oli Adobe: ssa, koska verkkoturvallisuuden merkitys maailmassa on kasvanut sekä tekniseltä kannalta että uuden tyyppisten hyökkäysten ilmetessä ja myös sääntelyn näkökulmasta, uuden tietoverkkotoiminnan toimeenpanovallan ansiosta Yhdysvalloissa ja "Tietoturvapäällikön luominen nyt on tapa, jolla voimme kommunikoida ulkoisesti sisäisen turvallisuustyön laajuuden kanssa", hän sanoi. "Se auttaa myös välittämään painoarvon ja vakavien ongelmien luonteen ja miten Adobe taistelee heitä eteenpäin."