Безопасность размещенных сервисов является главным приоритетом для первого CSO Adobe®

Adobe Systems назначила Брэда Аркина Брэда Аркина, старшего директора по безопасности продуктов и услуг, чтобы стать его первой ОГО. С уже разработанной программой обеспечения безопасности продукта главными приоритетами нового руководителя безопасности Adobe являются усиление безопасности размещенных сервисов компании и ее внутренней инфраструктуры.

Начальник службы безопасности Adobe Брэд Аркин

В течение последних нескольких лет, Аркин руководил усилиями по обеспечению безопасности программного обеспечения Adobe в качестве лидера команды Adobe Secure Software Engineering Team (ASSET) и группы реагирования на инциденты Adobe Product Security (PSIRT). В течение этого времени Adobe Reader и Flash Player два приложения, которые часто подвергаются атакам злоумышленниками из-за их большой базы пользователей, получили значительные улучшения в области безопасности, включая анти-эксплуатационные механизмы, такие как песочница и автоматические обновления.

[Дополнительная информация: Как для удаления вредоносных программ с вашего ПК с Windows]

В то время как работа над защитой программного обеспечения будет продолжена, основное внимание Arkin уделено безопасности размещенных сервисов компании, таких как Adobe Creative Cloud и Adobe Marketing Cloud.

«Я думаю, что наш безопасный жизненный цикл продукта и работа, которую мы делаем с нашими продуктами, упакованными в термоусадочную пленку, очень зрелы », - сказал Аркин. «Мы делали это уже много лет».

Однако компания не занималась хостингом до тех пор, пока разрабатывает готовое программное обеспечение », поэтому мы продолжаем совершенствовать наш мониторинг и работу безопасности в этой области », - сказал Аркин.

« Сейчас я больше всего сосредоточен на том, чтобы делать все возможное, чтобы защитить данные наших клиентов », - сказал он. «Мы уже много работаем, но есть еще больше работы, которую мы запланировали, и мы будем делать, и это бесконечный процесс. Это то, что является частью работы хостинговых служб ».

Существует дорожная карта безопасности для размещенных сервисов и с каждой новой версией кода, которая происходит каждые три недели, есть новая функция безопасности или добавление улучшения, или некоторое упрощение кода сделанный в этих сервисах, сказал Аркин.

В дополнение к повышению безопасности своих размещенных сервисов компания также планирует сосредоточиться на укреплении своей ИТ-инфраструктуры и высокоценных внутренних систем против атак.

Плохие парни на самом деле Аркин сказал, что они креативны в типах атак, которые они используют против компаний, подключенных к Интернету. «Мы работаем с поставщиками безопасности и другими в сообществе защитников, чтобы убедиться, что мы внедряем надежную защиту на нашей внутренней инфраструктуре».

В прошлом компания испытала сложные целенаправленные атаки, сказал Аркин. Одним из примеров является инцидент, описанный Adobe в сентябре 2012 года, когда злоумышленники смогли скомпрометировать один из внутренних серверов подписи кода компании и использовали его для подписи вредоносного ПО с цифровым сертификатом Adobe, сказал он.

Этот тип атаки, который нацеленный на инфраструктуру компании, а не на код, который он производит, или на своих пользователей, представляет собой потенциальный риск, который необходимо контролировать и решать, сказал Аркин. «Защита наших внутренних операций, а также наших внешних размещенных сервисов и кода, который мы пишем, все входят в сферу ответственности за то, над чем я работаю».

С его новой должности Аркин будет контролировать работа недавно созданной команды Engineering Infrastructure Security Team, которая поддерживает создание программного обеспечения, подписание и выпуск инфраструктуры компании в дополнение к группам ASSET и PSIRT. Он также будет наблюдать за Центром координации Adobe Security, который координирует действия по реагированию на инциденты в сети и безопасности продукта в компании.

Усилия Adobe по укреплению безопасности своих программных продуктов, особенно широко используемых программ, оказали заметное влияние на ландшафт угрозы в последние годы. Количество эксплойтов, нацеленных на Adobe Reader, используемых при активных атаках, значительно уменьшилось, что вынудило злоумышленников переключить свое внимание на Oracle и другое широко распространенное программное обеспечение. Неизвестный ранее эксплойт для Adobe Reader X, обнаруженный в феврале, был первым, кто обошел механизм песочницы программы с момента его выпуска в 2010 году.

Теперь Flash Player также изолирован от Google Chrome, Mozilla Firefox и Internet Explorer 10 в Windows 8, что делает успешную эксплуатацию уязвимостей Flash Player намного сложнее, чем в прошлом.

Опция автоматического автоматического обновления, добавленная к Flash Player и Reader, и работа, которую компания сделала с партнерами по платформе, такими как Microsoft, Apple, Mozilla и Google привели к тому, что большинство пользователей перешли на новейшие и самые безопасные версии этих продуктов, сказал Аркин.

На потребительском рынке лишь небольшое количество пользователей все еще использует Adobe Reader 9 и менее чем 1 процент, используют более старую версию, которая больше не поддерживается и не получает обновлений для системы безопасности, сказал Аркин. Большинство корпоративных сред обновили до Reader XI, но «больше людей, чем мне хотелось бы, все еще используют версию 9», - сказал Аркин.

Компания очень агрессивно перемещает людей из версии 9 с версии X на версию XI или, по крайней мере, на X, тем более, что версия 9 в конце июня достигнет конца жизни, сказал Аркин. «Мы используем механизм обновления для обновления до последней версии, а не только обновлений безопасности для установленной версии».

В идеале компания хотела бы, чтобы люди использовали Reader XI, потому что он предлагает лучший уровень безопасности. У Reader XI есть второй компонент песочницы, известный как Protected View, в дополнение к первому, введенному в Reader X, но, к сожалению, эта функция по умолчанию не включена.

Причина, по которой Reader XI не поставляется с защищенным представлением, включенным по умолчанию это то, что он прерывает некоторые рабочие процессы, поскольку уровень защиты, который он предлагает, несовместим с программами чтения с экрана или некоторыми другими типичными задачами, такими как печать, сказал Аркин. С каждым обновлением компания пытается решить некоторые несовместимости, чтобы включить функцию по умолчанию, сказал Аркин. Тем не менее, люди в сильно ориентированных средах могут по-прежнему включить его и использовать различные рабочие процессы для доступа к требуемым функциям, сказал он.

Что касается Flash Player, ближайшая цель - сделать больше тестов безопасности и целевых Аркин сказал, что это упрочнение кода для выявления и устранения потенциальных недостатков. Небольшие изменения также предпринимаются для механизма ActionScript Virtual Machine 2 (AVM2), основанного на обратной связи от партнеров по платформе и людей в командах Chrome и IE 10, чтобы сделать его более устойчивым к коррумпированному байт-коду, сказал он.

В Adobe было необходимо название CSO, поскольку важность кибербезопасности в мире увеличилась как с технической точки зрения, так и с появлением новых типов атак, а также с точки зрения регулирования с новым порядком управления кибербезопасностью в США и Стратегия кибербезопасности в ЕС, сказал Аркин.

«Создание должности главного офицера безопасности теперь - это способ для нас снаружи использовать масштаб, который мы делаем для безопасности внутри страны», - сказал он. «Это также помогает передать вес и серьезность проблем и как Adobe справляется с ними».