Için barındırılan hizmetlerin güvenliği için önceliklidir. Adobe'nin ilk CSO'su

Adobe Systems, şirketin en büyük güvenlik direktörü olan Brad Arkin'i atadı. Ürün ve hizmetlerini ilk CSO haline getirecek. Halihazırda olgun bir ürün güvenlik programı ile, Adobe'nin yeni güvenlik şefinin öncelikleri şirketin barındırılan hizmetlerinin ve iç altyapısının güvenliğini güçlendirmek.

Adobe güvenlik müdürü Brad Arkin

Geçtiğimiz birkaç yıl boyunca Arkin, Adobe'nin yazılım ürün güvenliği çabalarını Adobe Secure Software Engineering Ekibi (ASSET) ve Adobe Ürün Güvenliği Olay Tepkisi Ekibi (PSIRT) lideri olarak değerlendirdi. Bu süre zarfında, Adobe Reader ve Flash Player, büyük kullanıcı tabanları nedeniyle saldırganlar tarafından sıklıkla hedeflenen iki uygulama, korumalı alanlar ve sessiz otomatik güncellemeler gibi anti-sömürü mekanizmaları dahil olmak üzere önemli güvenlik iyileştirmeleri elde ettiler.

[Daha fazla okuma: Nasıl Windows PC'nizden kötü amaçlı yazılımları kaldırmak için]

Güvenli yazılım mühendisliği çalışmaları devam ederken, Arkin'in odak noktası şirketin Adobe Creative Cloud ve Adobe Marketing Cloud gibi barındırılan hizmetlerinin güvenliğini güçlendiriyor.

“Bence Güvenli ürün yaşam döngümüz ve shrinkwrapped ürünlerimizle yaptığımız çalışma çok olgun ”dedi. “Şu an yıllardır bunu yapıyoruz.”

Bununla birlikte, şirket, hazır yazılım geliştirdiği sürece, barındırılan hizmetler sunmuyor, “bu yüzden izleme ve operasyonumuzu geliştirmeye devam ediyoruz. o bölgede güvenlik, ”dedi. Arkin dedi.“ Şu anda müşterilerimize verdiğimiz verileri korumak için elimizden gelenin en iyisini yapmaya odaklanıyorum ”dedi. “Halihazırda çok fazla iş yapıyoruz, ama planladığımız daha çok iş var ve biz de yapacağız ve bu hiç bitmeyen bir süreç. Bu, yalnızca barındırılan hizmetlerin bir parçası olan bir şey. ”

: Barındırılan hizmetler için bir güvenlik yol haritası var ve her üç haftada bir gerçekleşen her yeni kod sürümü ile yeni bir güvenlik özelliği veya geliştirmenin eklenmesi veya bazı kodların sertleştirilmesi var. Bu hizmetlerde yapılan Arkin, dedi.

Şirket, barındırdığı hizmetlerin güvenliğini artırmanın yanı sıra, BT altyapısını ve yüksek değerli iç sistemleri saldırılara karşı güçlendirmeye odaklanmayı planlıyor.

Kötü adamlar gerçekten Arkin, internete bağlı şirketlere karşı kullandıkları saldırı türlerinde yaratıcı olduklarını söyledi. Arkin, “Güvenlik savunucuları ve savunma camiasındaki diğer kişilerle birlikte, sağlam altyapıları iç altyapımıza yerleştirdiğimizden emin olmak için çalışıyoruz.” Dedi.

Şirket geçmişte sofistike hedefe yönelik saldırılar yaşadı. Buna bir örnek, 2012 yılının Eylül ayında Adobe tarafından açıklanan ve saldırganların şirketin dahili kod imzalayan sunucularından birini ele geçirmeyi başardığı ve bir Adobe dijital sertifikası ile kötü amaçlı yazılımları imzalamak için kullandıkları olaydır.

Bu tür bir saldırı, Arkin, şirketin altyapısını ve ürettiği kodu veya kullanıcılarını hedeflememekte, yönetilmesi ve ele alınması gereken potansiyel bir riski temsil ettiğini belirtti. “İçsel operasyonlarımızı ve dış kaynaklı hizmetlerimizi ve yazdığımız kodları savunmak, üzerinde çalıştığım şeyin sorumlulukları kapsamındadır.”

Yeni görevinden, Arkin nezaret edecek ASSET ve PSIRT gruplarına ek olarak, şirketin yazılım binasını sürdüren, altyapı imzalayan ve serbest bırakan yeni oluşturulmuş Mühendislik Altyapısı Güvenlik Ekibi'nin çalışması. Ayrıca, şirket genelinde hem ağ hem de ürün güvenliği olaylarına müdahale etkinliklerini koordine eden bir grup olan Adobe Güvenlik Koordinasyon Merkezi'ni denetleyecek.

Adobe'nin yazılım ürünlerini, özellikle de yaygın olarak kullanılan programların güvenliğini güçlendirmeye yönelik çabaları, son yıllarda tehdit ortamı üzerinde görünür bir etkiye sahip olmuştur. Aktif saldırılarda kullanılan Adobe Reader'ı hedefleyen kötüye kullanımların sayısı önemli ölçüde azaldı ve saldırganların odağını Oracle'ın Java'sına ve yaygın olarak kullanılan diğer yazılımlara çevirmeye zorladı. Şubat ayında bulunan Adobe Reader X için sıfır-gün önceden bilinmeyen bir istismar, programın sandbox mekanizmasını 2010'da piyasaya sürülmesinden bu yana atlayan ilk kişi oldu.

Flash Player artık Google Chrome, Mozilla Firefox ve Windows 8'deki Internet Explorer 10, Flash Player açıklarının başarılı bir şekilde geçmişten çok daha zor hale getirilmesini sağladı.

Flash Player ve Reader'a sessiz otomatik güncelleme seçeneği eklendi ve şirketin Microsoft gibi platform ortaklarıyla yaptığı iş Apple, Mozilla ve Google, kullanıcıların çoğunun bu ürünlerin en yeni ve en güvenli sürümlerine geçtiğini belirtti, dedi Arkin.

Tüketici pazarında, az sayıda kullanıcı hala Adobe Reader 9 ve daha azını kullanıyor. Arkin, yüzde 1'den daha uzun süredir desteklenmeyen ve güvenlik güncellemelerini almayan eski bir sürümü çalıştırıyor. Çoğu işletme ortamı Reader XI'ye yükseltildi, ancak “İstediğimden daha fazla kişi hala 9 sürümünü kullanıyor” dedi.

Şirket, Reader sürüm 9'dan XI sürümüne veya en az X sürümüne geçmek için çok saldırgan davranıyor. Arkin, özellikle sürüm 9'ın Haziran ayı sonunda ömrünün sonuna ulaşacağını söyledi. “Güncellemeyi en son sürüme güncellemek için güncellemeyi kullanıyoruz, sadece yüklü sürüm için güvenlik güncellemelerini değil.”

İdeal olarak, şirket, kullanıcıların en iyi güvenlik seviyesini sunduğu için Reader XI kullanmasını istiyor. Reader XI, Reader X'te tanıtılana ek olarak Korumalı Görünüm olarak bilinen ikinci bir sanal alan bileşenine sahiptir, ancak maalesef bu özellik varsayılan olarak açık değildir.

Reader XI'nin Korumalı Görünüm tarafından etkinleştirilmemesinin nedeni. Arkin, bazı iş akışlarının, sunduğu koruma düzeyinin ekran okuyucularla veya yazdırma gibi diğer bazı yaygın görevlerle uyumlu olmadığını belirterek, bazı iş akışlarını kırması olduğunu belirtti. Arkin, her güncellemeyle, şirketin bazı özelliklerin çözülmesini sağlamaya çalışarak, özelliği varsayılan olarak açabileceğini söyledi. Ancak, yüksek oranda hedeflenen ortamlarda bulunan insanlar, şu anda hala çalışabilir ve gerekli işlevselliklere erişmek için çeşitli çalışma ortamları kullanabilirler.

Flash Player söz konusu olduğunda, acil hedef daha fazla güvenlik testi yapmak ve hedefli olmaktır. Arkin, potansiyel kusurları tespit edip düzeltmek için kod sertleştirme dedi. Bozuk bayt koduna karşı daha sağlam hale getirmek için, platform ortaklarından ve Chrome ve IE 10 takımlarındaki kullanıcılardan gelen geri bildirimlere dayanan ActionScript Sanal Makine 2 (AVM2) motorunda da küçük değişiklikler yapılmaktadır.

Adobe'de CSO unvanına gereksinim duyuldu çünkü dünyadaki siber güvenliğin önemi hem teknik açıdan hem de yeni tür saldırıların ortaya çıkmasıyla birlikte ABD ve ABD'deki yeni siber güvenlik düzeniyle düzenleyici bir bakış açısıyla arttı. AB'de siber güvenlik stratejisi, Arkin dedi.

“İç güvenlik görevlisi pozisyonunun oluşturulması, iç güvenlik alanında yaptığımız işin ölçeğini dışardan bildirmemiz için bir yol” dedi. “Ayrıca, sorunların ağırlığını ve ciddi doğasını ve Adobe'nin bunlarla nasıl başa çıktığını anlatmaya da yardımcı oluyor.”