Ang seguridad ng mga naka-host na serbisyo ay ang pangunahing priyoridad para sa unang CSO ng Adobe

Adobe Systems ay hinirang na Brad Arkin, ang senior director ng seguridad ng kumpanya para sa mga produkto at serbisyo, upang maging unang CSO nito. Sa pamamagitan ng isang mature na programa sa seguridad ng produkto na nasa lugar na, ang mga nangungunang prayoridad para sa bagong punong pangseguridad ng Adobe ay upang palakasin ang seguridad ng mga naka-host na serbisyo ng kumpanya at ang kanyang panloob na imprastraktura.

Chief chief security officer na si Brad Arkin

, Pinangasiwaan ni Arkin ang mga pagsusumikap sa seguridad ng produkto ng software ng Adobe bilang pinuno ng Adobe Secure Software Engineering Team (ASSET) at ang Adobe Product Security Incident Response Team (PSIRT). Sa panahong ito, ang Adobe Reader at Flash Player, dalawang mga application na madalas na naka-target ng mga attackers dahil sa kanilang malaking user base, ay nakatanggap ng mga makabuluhang mga pagpapabuti ng seguridad kabilang ang mga mekanismo ng anti-pagsasamantala tulad ng sandboxing at tahimik na awtomatikong pag-update. upang maalis ang malware mula sa iyong Windows PC.

Habang ang ligtas na software engineering work ay magpapatuloy, ang pokus ni Arkin ay pagpapalakas ng seguridad ng mga naka-host na serbisyo ng kumpanya, tulad ng Adobe Creative Cloud at Adobe Marketing Cloud. ang aming secure na lifecycle ng produkto at ang gawaing ginagawa namin sa aming mga shrinkwrapped na produkto ay napaka mature, "sabi ni Arkin. "Ginagawa na namin ito sa loob ng maraming taon na ngayon."

Gayunpaman, ang kumpanya ay hindi gumagawa ng mga naka-host na serbisyo hangga't nag-develop ito ng software sa labas, "kaya patuloy naming pinahusay ang aming pagmamanman at pagpapatakbo seguridad sa lugar na iyon, "sabi ni Arkin.

" Sa ngayon ay nakatuon ako sa paggawa ng mga bagay na maaari naming protektahan ang data ng aming mga customer, "sabi niya. "Kami ay gumagawa ng maraming mahusay na trabaho doon na, ngunit mayroong higit pang gawain na aming pinlano at gagawin namin at ito ay isang walang katapusan na proseso. Ito ay isang bagay na bahagi lamang ng pagtakbo ng mga naka-host na serbisyo. "

Mayroong isang roadmap ng seguridad para sa mga naka-host na serbisyo at sa bawat bagong release ng code, na nangyayari tuwing tatlong linggo, may bagong tampok sa seguridad o pagpapabuti na idinagdag o ilang hardening code

Bilang karagdagan sa pagpapahusay ng seguridad ng mga naka-host na serbisyo, ang kumpanya ay nagplano din na mag-focus sa pagpapalakas ng IT infrastructure nito at mga high-value na internal system laban sa mga pag-atake. creative sa mga uri ng pag-atake na ginagamit nila laban sa mga kumpanya na konektado sa Internet, sinabi ni Arkin. "Kami ay nagtatrabaho sa mga vendor ng seguridad at iba pa sa komunidad ng tagapagtanggol upang tiyakin na inilalagay namin ang magagaling na depensa sa lugar sa aming panloob na imprastraktura."

Ang kumpanya ay nakaranas ng sopistikadong naka-target na pag-atake sa nakaraan, sinabi ni Arkin. Ang isang halimbawa ay ang insidente na isiniwalat ng Adobe noong Setyembre 2012, nang ang mga nag-atake ay nakompromiso ang isa sa mga panloob na code sa pag-sign ng server ng kumpanya at ginamit ito upang mag-sign ng malware gamit ang isang digital na digital na sertipiko, sinabi niya. pinupuntirya ang imprastraktura ng kumpanya at hindi ang code na ito ay gumagawa o ang mga gumagamit nito, ay kumakatawan sa isang potensyal na panganib na kailangang pinamamahalaang at matugunan, sinabi ni Arkin. "Ang pagtatanggol sa aming mga panloob na operasyon, pati na rin ang aming mga serbisyo sa panlabas na naka-host at ang code na aming isinusulat, ay nasa saklaw ng mga responsibilidad para sa kung ano ang aking ginagawa."

Mula sa kanyang bagong posisyon, si Arkin ay mamamahala ang gawa ng kamakailan-lamang na nilikha Engineering Infrastructure Security Team, na nagpapanatili ng software building ng kumpanya, pag-sign at pagpapalabas ng imprastraktura, bilang karagdagan sa mga ASSET at PSIRT group. Siya rin ang mangasiwa sa Adobe Security Coordination Center, isang grupo na nag-uugnay sa parehong mga aktibidad ng pagtugon sa insidente ng network at seguridad sa produkto sa buong kumpanya.

Ang mga pagsisikap ni Adobe na palakasin ang seguridad ng mga produktong software nito, lalo na ang mga malawakang ginagamit na programa, ay nagkaroon ng nakikitang epekto sa landscape na pagbabanta sa mga nakaraang taon. Ang bilang ng mga pagsasamantala na nagta-target sa Adobe Reader na ginagamit sa mga aktibong pag-atake ay lubhang nabawasan, na pinipilit ang mga attackers na ilipat ang kanilang pagtuon sa Java ng Oracle at iba pang malawakang ginagamit na software. Ang isang zero-day-na-dati na hindi kilalang-pinagsamantalahan para sa Adobe Reader X na natagpuan sa Pebrero ay ang unang upang laktawan ang mekanismo ng sandbox ng programa mula nang i-release ito noong 2010.

Flash Player ngayon ay sandboxed din sa ilalim ng Google Chrome, Mozilla Firefox at Ang Internet Explorer 10 sa Windows 8, ang paggawa ng matagumpay na pagsasamantala ng mga kahinaan ng Flash Player ay mas mahirap kaysa sa nakaraan.

Ang tahimik na auto-update na opsyon idinagdag sa Flash Player at Reader at ang gawain ng kumpanya ay tapos na sa mga kasosyo sa platform tulad ng Microsoft, Ang Apple, Mozilla at Google, ay humantong sa karamihan ng mga gumagamit na mag-upgrade sa pinakabagong at pinaka-secure na mga bersyon ng mga produktong ito, sinabi ni Arkin.

Sa merkado ng consumer, isang maliit na bilang ng mga gumagamit ang gumagamit pa rin ng Adobe Reader 9 at mas mababa kaysa sa 1 porsiyento ay nagpapatakbo ng isang mas lumang bersyon na hindi na suportado at hindi tumatanggap ng mga update sa seguridad, sinabi ni Arkin. Ang karamihan sa mga kapaligiran ng negosyo ay na-upgrade sa Reader XI, ngunit "mas maraming mga tao kaysa sa gusto ko ay gumagamit pa rin ng bersyon 9," sinabi ni Arkin.

Ang kumpanya ay napaka-agresibo upang ilipat ang mga tao mula sa Reader bersyon 9 sa bersyon XI o hindi bababa sa X, lalo na dahil ang bersyon 9 ay maabot ang dulo ng buhay sa katapusan ng Hunyo, sinabi ni Arkin. "Ginagamit namin ang mekanismo ng pag-update upang itulak ang mga pag-upgrade sa pinakabagong bersyon at hindi lamang mga update sa seguridad para sa na-install na bersyon."

Sa isip, ang kumpanya ay nais na gamitin ng mga tao ang Reader XI dahil nag-aalok ito ng pinakamahusay na antas ng seguridad. Ang Reader XI ay may ikalawang bahagi ng sandboxing na kilala bilang Protected View, bukod pa sa unang ipinakilala sa Reader X, ngunit sa kasamaang palad ang tampok na ito ay hindi naka-on sa pamamagitan ng default.

Ang dahilan kung bakit ang Reader XI ay hindi ipinadala sa pinapagana na View na pinapagana ng Ang default ay ang pagbagsak nito ng ilang mga daloy ng trabaho bilang antas ng proteksyon na inaalok nito ay hindi kaayon sa mga mambabasa ng screen o ilang iba pang mga karaniwang gawain tulad ng pag-print, sinabi ni Arkin. Sa bawat pag-update, sinusubukan ng kumpanya na malutas ang ilan sa mga hindi pagkakatugma upang maibabalik nito ang tampok sa pamamagitan ng default, sinabi ni Arkin. Gayunpaman, ang mga tao sa mga naka-target na kapaligiran ay maaari pa ring i-on ito ngayon at gumamit ng iba't ibang gawain sa paligid upang ma-access ang kinakailangang pag-andar, sinabi niya.

Hangga't ang Flash Player ay nababahala, ang agarang layunin ay upang makagawa ng higit pang pagsubok sa seguridad at naka-target code hardening upang makilala at ayusin ang mga potensyal na mga bahid, sinabi ni Arkin. Ang mga maliliit na pagbabago ay ginagawa din sa engine ng ActionScript Virtual Machine 2 (AVM2) batay sa feedback mula sa mga kasosyo sa platform at mga tao sa Chrome at IE 10 na mga koponan, upang maging mas matatag laban sa sira na bytecode, sinabi niya. Kinakailangan ang pamagat ng CSO sa Adobe dahil ang kahalagahan ng cybersecurity sa mundo ay lumago, parehong mula sa isang teknikal na pananaw, na may mga bagong uri ng mga pag-atake na lumilitaw, at mula rin sa isang regulasyon na may kinalaman sa bagong cybersecurity executive order sa US at ang estratehiya sa cybersecurity sa EU, sinabi ni Arkin.

"Ang paglikha ng isang punong opisyal ng seguridad sa seguridad ngayon ay isang paraan para sa atin na makipag-usap sa labas ng sukat ng gawaing ginagawa natin sa panloob na kaligtasan," sabi niya. "Nakatutulong din ito upang ihatid ang timbang at seryosong katangian ng mga isyu at kung paano nakikipagtulungan ang Adobe sa kanila."