Sikkerhed for hostede tjenester er topprioritet for Adobes første CSO

Adobe Systems har udnævnt Brad Arkin, virksomhedens øverste direktør for sikkerhed for produkter og tjenester, for at blive sin første CSO. Med et modent produktsikkerhedsprogram, der allerede er på plads, er de øverste prioriteter for Adobes nye sikkerhedschef at styrke sikkerheden for selskabets hostede tjenester og dets interne infrastruktur.

Adobe's sikkerhedsansvarlig Brad Arkin

I de seneste år, Arkin har overvåget Adobes software produktsikkerhedsindsats som leder af Adobe Secure Software Engineering Team (ASSET) og Adobe Product Security Incident Response Team (PSIRT). I løbet af denne periode har Adobe Reader og Flash Player, to applikationer, som ofte angribes af angribere på grund af deres store brugergruppe, fået betydelige sikkerhedsforbedringer, herunder mekanismer til udnyttelse af udnyttelse som sandboxing og tavse automatiske opdateringer.

[Yderligere læsning: Hvordan at fjerne malware fra din Windows-pc]

Mens det sikre software engineering arbejde fortsætter, styrker Arkins fokus sikkerhed for virksomhedens hostede tjenester, som Adobe Creative Cloud og Adobe Marketing Cloud.

"Jeg tror det vores sikre produktlivscyklus og det arbejde, vi har gjort med vores krympede produkter er meget modent, "sagde Arkin. "Vi har gjort det i mange år nu."

Virksomheden har dog ikke været vært for hostede tjenester, så længe det har udviklet off-the-shelf software ", så vi fortsætter med at forbedre vores overvågning og drift sikkerhed i dette område, "sagde Arkin.

" I øjeblikket er jeg mest fokuseret på at gøre de ting, vi kan for at beskytte vores kunders data, "sagde han. "Vi laver meget godt arbejde allerede her, men der er endnu mere arbejde, som vi har planlagt, og vi vil lave, og det er en uendelig proces. Dette er noget, der kun er en del af at drive hostede tjenester. "

Der er en sikkerhedsplanlægning for hostede tjenester, og med hver ny kodeudgivelse, der sker hver tredje uge, er der en ny sikkerhedsfunktion eller forbedring, der tilføjes eller noget kodehærdning er lavet i disse tjenester, sagde Arkin.

Ud over at øge sikkerheden for sine hostede tjenester planlægger virksomheden også at fokusere på at styrke sin it-infrastruktur og højtværdige interne systemer mod angreb.

De onde er virkelig kreative i de typer angreb, de bruger mod virksomheder, der er forbundet med internettet, siger Arkin. "Vi arbejder sammen med sikkerhedsleverandører og andre i forsvarssamfundet for at sikre, at vi sætter de robuste forsvar på plads på vores interne infrastruktur."

Firmaet har oplevet sofistikerede målrettede angreb i fortiden, sagde Arkin. Et eksempel er den hændelse, der blev afsløret af Adobe i september 2012, da angriberne formåede at kompromittere en af ​​virksomhedens interne kode-signeringsservere og brugte den til at underskrive malware med et Adobe digitalt certifikat, sagde han.

Denne type angreb, som målrettet virksomhedens infrastruktur og ikke den kode, den producerer eller dets brugere, udgør en potentiel risiko, der skal styres og adresseres, sagde Arkin. "At forsvare vores interne operationer såvel som vores eksterne hostede tjenester og den kode, vi skriver, ligger helt under ansvaret for det jeg arbejder på."

Arkin vil fra sin nye stilling overvåge arbejdet i det nyligt oprettede Engineering Infrastructure Security Team, som fastholder virksomhedens softwarebygning, underskrivelse og frigivelse af infrastrukturen, ud over Asset- og PSIRT-gruppens. Han vil også overvåge Adobe Security Coordination Center, en gruppe, som koordinerer både aktiviteterne for netværks- og produktsikkerhedshændelser i hele virksomheden.

Adobes indsats for at styrke sikkerheden for sine softwareprodukter, især de meget brugte programmer, har haft en synlig indflydelse på trusselskabet de seneste år. Antallet af udbytter rettet mod Adobe Reader, der anvendes i aktive angreb, er faldet betydeligt, hvilket tvinger angriberne til at skifte fokus til Oracle's Java og anden almindeligt anvendt software. En nul-dag-tidligere ukendt-udnyttelse til Adobe Reader X, der blev fundet i februar, var den første til at omgå programets sandkasse-mekanisme siden dens udgivelse tilbage i 2010.

Flash Player er nu også sandboxet under Google Chrome, Mozilla Firefox og Internet Explorer 10 på Windows 8, hvilket gør en vellykket udnyttelse af Flash Player-sårbarheder meget vanskeligere end tidligere.

Den tavse auto-opdateringsfunktion tilføjet til Flash Player og Reader og det arbejde, virksomheden har gjort med platformspartnere som Microsoft, Apple, Mozilla og Google har ført til, at de fleste brugere opgraderer til de nyeste og sikreste versioner af disse produkter, siger Arkin.

På forbrugermarkedet bruger kun et lille antal brugere stadig Adobe Reader 9 og mindre end 1 procent kører en ældre version, der ikke længere understøttes og ikke modtager sikkerhedsopdateringer, sagde Arkin. De fleste virksomhedsmiljøer er opgraderet til Reader XI, men "flere mennesker end jeg gerne vil bruge stadig version 9", siger Arkin.

Virksomheden er meget aggressiv for at flytte folk fra Reader version 9 til version XI eller mindst X, især da version 9 vil nå ud i livet i slutningen af ​​juni, sagde arkin. "Vi bruger opdateringsmekanismen til at skubbe opgraderinger til den nyeste version og ikke kun sikkerhedsopdateringer til den installerede version."

Ideelt set vil virksomheden gerne have, at folk bruger Reader XI, fordi det giver det bedste sikkerhedsniveau. Reader XI har en anden sandboxing komponent kendt som Beskyttet visning, ud over den første, der blev introduceret i Reader X, men desværre er denne funktion ikke tændt som standard.

Årsagen til, at Reader XI ikke afsendes med Beskyttet visning aktiveret af standard er, at det bryder nogle arbejdsgange, da det beskyttelsesniveau, det giver, er uforeneligt med skærmlæsere eller nogle andre almindelige opgaver som udskrivning, sagde Arkin. Med hver opdatering forsøger virksomheden at løse nogle af inkompatibiliteterne, så det kan slå funktionen til som standard, sagde Arkin. Men folk i højt målrettede miljøer kan stadig tænde det og bruge forskellige arbejdsområder til at få adgang til den nødvendige funktionalitet, sagde han.

Hvad angår Flash Player er det umiddelbare mål at gøre mere sikkerhedstest og målrettet kode hærdning for at identificere og rette potentielle fejl, sagde Arkin. Små ændringer gøres også til ActionScript Virtual Machine 2 (AVM2) -motoren baseret på feedback fra platformspartnere og personer i Chrome og IE 10-teamene, for at gøre det mere robust over for korrupt bytecode, sagde han. CSO-titel var påkrævet hos Adobe, fordi vigtigheden af ​​cybersikkerhed i verden er steget, både teknisk set, med nye typer angreb, og også fra et tilsynsmæssigt synspunkt med den nye cybersecurity-ordre i USA og cybersikkerhedsstrategi i EU, sagde Arkin.

"Oprettelse af en øverste sikkerhedschef position nu er en måde for os at kommunikere eksternt omfanget af det arbejde, vi laver intern sikkerhed," sagde han. "Det hjælper også med at formidle problemernes vægt og alvorlige karakter, og hvordan Adobe håndterer dem."