ĐầU tiên của Adobe là ưu tiên hàng đầu cho CSO đầu tiên của Adobe

Adobe Systems đã bổ nhiệm Brad Arkin, giám đốc bảo mật cao cấp của công ty sản phẩm và dịch vụ, để trở thành CSO đầu tiên của mình. Với một chương trình bảo mật sản phẩm trưởng thành đã sẵn sàng, ưu tiên hàng đầu cho giám đốc bảo mật mới của Adobe là tăng cường an ninh cho các dịch vụ được lưu trữ của công ty và cơ sở hạ tầng nội bộ của nó.

Giám đốc an ninh của Adobe Brad Arkin

Trong vài năm qua, Arkin đã giám sát các nỗ lực bảo mật sản phẩm phần mềm của Adobe với tư cách là trưởng nhóm Kỹ thuật phần mềm bảo mật Adobe (ASSET) và Nhóm phản hồi sự cố bảo mật sản phẩm Adobe (PSIRT). Trong thời gian này, Adobe Reader và Flash Player, hai ứng dụng thường xuyên bị kẻ tấn công nhắm mục tiêu do cơ sở người dùng lớn của họ, đã nhận được những cải tiến đáng kể về an ninh bao gồm các cơ chế chống khai thác như hộp cát và cập nhật tự động im lặng. Để loại bỏ phần mềm độc hại khỏi PC Windows của bạn]

Trong khi công việc kỹ thuật phần mềm an toàn sẽ tiếp tục, Arkin tập trung tăng cường tính bảo mật của các dịch vụ được lưu trữ của công ty, như Adobe Creative Cloud và Adobe Marketing Cloud. Vòng đời sản phẩm an toàn của chúng tôi và công việc chúng tôi đang thực hiện với các sản phẩm thu nhỏ của chúng tôi rất chín chắn, ”Arkin nói. "Chúng tôi đã làm điều này trong nhiều năm nay."

Tuy nhiên, công ty đã không làm dịch vụ lưu trữ miễn là nó đang phát triển phần mềm có sẵn, "vì vậy chúng tôi tiếp tục tăng cường giám sát và hoạt động của chúng tôi an ninh trong khu vực đó, ”Arkin nói.

“ Hiện tại, tôi tập trung vào việc làm những việc có thể để bảo vệ dữ liệu khách hàng của mình ”, ông nói. “Chúng tôi đang làm rất nhiều công việc tuyệt vời ở đó, nhưng có nhiều công việc hơn mà chúng tôi đã lên kế hoạch và chúng tôi sẽ làm và đó là một quá trình không bao giờ kết thúc.

Có một lộ trình bảo mật cho các dịch vụ được lưu trữ và với mỗi bản phát hành mã mới, diễn ra ba tuần một lần, có một tính năng bảo mật mới hoặc cải tiến được thêm vào hoặc một số mã được làm cứng Bên cạnh việc tăng cường an ninh cho các dịch vụ được lưu trữ, công ty cũng có kế hoạch tập trung vào việc tăng cường cơ sở hạ tầng CNTT và các hệ thống nội bộ có giá trị cao chống lại các cuộc tấn công.

sáng tạo trong các loại tấn công họ sử dụng chống lại các công ty kết nối với Internet, Arkin nói. "Chúng tôi đang làm việc với các nhà cung cấp bảo mật và những người khác trong cộng đồng hậu vệ để đảm bảo rằng chúng tôi đang đặt các phòng thủ mạnh mẽ vào cơ sở hạ tầng nội bộ của chúng tôi."

Công ty đã trải qua các cuộc tấn công có mục tiêu phức tạp trong quá khứ. Một ví dụ là vụ việc được Adobe tiết lộ vào tháng 9 năm 2012, khi kẻ tấn công quản lý để thỏa hiệp một trong các máy chủ ký mã nội bộ của công ty và sử dụng nó để ký phần mềm độc hại với chứng chỉ kỹ thuật số Adobe, ông nói. nhắm mục tiêu cơ sở hạ tầng của công ty và không phải là mã nó sản xuất hoặc người dùng của nó, đại diện cho một nguy cơ tiềm năng mà cần phải được quản lý và giải quyết, Arkin nói. "Bảo vệ các hoạt động nội bộ của chúng tôi, cũng như các dịch vụ được lưu trữ bên ngoài của chúng tôi và mã mà chúng tôi đang viết, đều nằm trong phạm vi trách nhiệm đối với những gì tôi đang làm."

Từ vị trí mới của mình, Arkin sẽ giám sát công việc của Nhóm bảo mật cơ sở hạ tầng kỹ thuật vừa được tạo ra, duy trì việc xây dựng phần mềm, ký kết và phát hành cơ sở hạ tầng của công ty, ngoài các nhóm ASSET và PSIRT. Ông cũng sẽ giám sát Trung tâm điều phối an ninh Adobe, một nhóm điều phối cả hoạt động phản hồi sự cố an ninh mạng và sản phẩm trên toàn công ty.

Những nỗ lực của Adobe nhằm tăng cường an ninh cho các sản phẩm phần mềm của mình, đặc biệt là các chương trình được sử dụng rộng rãi, đã có tác động rõ ràng đến cảnh quan đe dọa trong những năm gần đây. Số lượng khai thác nhắm mục tiêu Adobe Reader được sử dụng trong các cuộc tấn công hoạt động đã giảm đáng kể, buộc các kẻ tấn công phải chuyển tập trung của họ sang Java của Oracle và các phần mềm được sử dụng rộng rãi khác. Một khai thác không xác định trước đó không xác định trước đó cho Adobe Reader X được phát hiện vào tháng 2 là lần đầu tiên bỏ qua cơ chế sandbox của chương trình kể từ khi nó được phát hành vào năm 2010.

Flash Player hiện cũng được sandboxed trong Google Chrome, Mozilla Firefox và Internet Explorer 10 trên Windows 8, làm cho việc khai thác lỗ hổng Flash Player thành công hơn rất nhiều so với trước đây.

Tùy chọn tự động cập nhật im lặng được thêm vào Flash Player và Reader và công việc mà công ty đã thực hiện với các đối tác nền tảng như Microsoft, Apple, Mozilla và Google, đã dẫn đến phần lớn người dùng nâng cấp lên phiên bản mới nhất và an toàn nhất của những sản phẩm đó, theo Arkin.

Trong thị trường tiêu dùng, chỉ một số ít người dùng vẫn đang sử dụng Adobe Reader 9 trở xuống Hơn 1% đang chạy một phiên bản cũ hơn không còn được hỗ trợ và không nhận được bản cập nhật bảo mật, Arkin nói. Hầu hết các môi trường doanh nghiệp đã nâng cấp lên Reader XI, nhưng "nhiều người hơn tôi muốn vẫn đang sử dụng phiên bản 9," Arkin nói.

Công ty đang rất tích cực để di chuyển mọi người từ Reader phiên bản 9 sang phiên bản XI hoặc ít nhất X, đặc biệt kể từ khi phiên bản 9 sẽ kết thúc vào cuối tháng 6, Arkin nói. “Chúng tôi đang sử dụng cơ chế cập nhật để nâng cấp lên phiên bản mới nhất chứ không chỉ cập nhật bảo mật cho phiên bản đã cài đặt.”

Lý tưởng nhất là công ty muốn mọi người sử dụng Reader XI vì nó cung cấp mức bảo mật tốt nhất. Reader XI có thành phần sandbox thứ hai được gọi là Protected View, ngoài thành phần được giới thiệu đầu tiên trong Reader X, nhưng tiếc là tính năng này không được bật theo mặc định.

Lý do Reader XI không được bật với Protected View được kích hoạt bởi mặc định là nó phá vỡ một số quy trình công việc vì mức độ bảo vệ mà nó cung cấp không tương thích với trình đọc màn hình hoặc một số tác vụ phổ biến khác như in ấn, Arkin nói. Với mỗi lần cập nhật, công ty đang cố gắng giải quyết một số tính không tương thích để nó có thể bật tính năng này theo mặc định, Arkin nói. Tuy nhiên, những người trong các môi trường được nhắm mục tiêu cao vẫn có thể bật nó ngay bây giờ và sử dụng nhiều công việc khác nhau để truy cập các chức năng cần thiết, ông nói. mã cứng để xác định và sửa lỗi tiềm năng, Arkin nói. Những thay đổi nhỏ cũng đang được thực hiện cho công cụ ActionScript Virtual Machine 2 (AVM2) dựa trên phản hồi từ các đối tác nền tảng và những người trong nhóm Chrome và IE 10, để làm cho nó mạnh mẽ hơn chống lại bytecode bị hỏng, ông nói. Tiêu đề CSO là cần thiết tại Adobe vì tầm quan trọng của an ninh mạng trên thế giới đã tăng lên, cả từ quan điểm kỹ thuật, với các loại tấn công mới xuất hiện, và từ quan điểm pháp lý, với lệnh điều hành an ninh mạng mới tại Hoa Kỳ và Chiến lược an ninh không gian mạng ở EU, Arkin nói.

“Tạo lập một vị trí trưởng an ninh hiện nay là một cách để chúng ta trao đổi bên ngoài quy mô công việc mà chúng ta đang làm về an ninh nội bộ”. "Nó cũng giúp truyền đạt trọng lượng và bản chất nghiêm trọng của các vấn đề và cách Adobe giải quyết chúng."