Sicherheit von gehosteten Diensten hat höchste Priorität für Adobe's erstes CSO

Adobe Systems hat Brad Arkin, Senior Security Director des Unternehmens, ernannt Produkte und Dienstleistungen, um sein erstes CSO zu werden. Mit einem ausgereiften Produktsicherheitsprogramm haben die obersten Prioritäten des neuen Sicherheitschefs von Adobe darin bestanden, die Sicherheit der gehosteten Services und der internen Infrastruktur des Unternehmens zu stärken.

Adobe-Sicherheitsbeauftragter Brad Arkin

Seit einigen Jahren, Hat Arkin als Leiter des Adobe Secure Software Engineering Teams (ASSET) und des Adobe Product Security Incident Response Teams (PSIRT) die Software-Produktsicherheit von Adobe überwacht. Während dieser Zeit haben Adobe Reader und Flash Player, zwei Anwendungen, die aufgrund ihrer großen Benutzerbasis häufig von Angreifern angegriffen werden, erhebliche Sicherheitsverbesserungen erhalten, darunter Anti-Exploitation-Mechanismen wie Sandboxing und automatische automatische Updates.

[Weitere Informationen: Wie? Malware von Ihrem Windows-PC entfernen]

Während das sichere Software-Engineering fortgesetzt wird, konzentriert sich Arkin auf die Sicherheit der gehosteten Services des Unternehmens, wie der Adobe Creative Cloud und der Adobe Marketing Cloud.

"Ich denke das Unser sicherer Produktlebenszyklus und die Arbeit, die wir mit unseren Schrumpffolien leisten, sind sehr ausgereift ", sagte Arkin. "Wir machen das schon seit Jahren."

Allerdings hat das Unternehmen keine gehosteten Dienste betrieben, solange es Software von der Stange entwickelt ", so dass wir unsere Überwachung und den Betrieb weiter verbessern Sicherheit in diesem Bereich ", sagte Arkin.

" Im Moment konzentriere ich mich darauf, alles zu tun, was wir können, um die Daten unserer Kunden zu schützen ", sagte er. "Wir machen dort schon eine Menge toller Arbeit, aber es gibt noch mehr Arbeit, die wir geplant haben, und wir werden es tun, und es ist ein nie endender Prozess. Dies ist nur ein Teil der Ausführung gehosteter Dienste. "

Es gibt eine Sicherheitsroadmap für gehostete Dienste und mit jeder neuen Version von Code, die alle drei Wochen stattfindet, wird eine neue Sicherheitsfunktion oder -verbesserung hinzugefügt oder eine Code-Härtung vorgenommen "Zusätzlich zu der Verbesserung der Sicherheit seiner gehosteten Dienste, plant das Unternehmen auch, sich auf die Stärkung seiner IT-Infrastruktur und hochwertiger interner Systeme gegen Angriffe zu konzentrieren.

Die Bösen sind wirklich Kreativ in den Arten von Angriffen, die sie gegen Unternehmen verwenden, die mit dem Internet verbunden sind, sagte Arkin. "Wir arbeiten mit Sicherheitsanbietern und anderen in der Verteidigergemeinschaft zusammen, um sicherzustellen, dass wir die robusten Schutzmechanismen in unserer internen Infrastruktur einsetzen."

Das Unternehmen hat in der Vergangenheit raffinierte gezielte Angriffe erlebt, sagte Arkin. Ein Beispiel ist der Vorfall, den Adobe im September 2012 veröffentlichte, als Angreifer einen der internen Code-Signing-Server des Unternehmens kompromittierten und damit Malware mit einem digitalen Adobe-Zertifikat signierten.

Diese Art von Angriff, die zielt auf die Infrastruktur des Unternehmens und nicht den Code produziert oder seine Benutzer, stellt ein potenzielles Risiko, das verwaltet und adressiert werden muss, sagte Arkin. "Die Verteidigung unserer internen Abläufe sowie unserer externen gehosteten Dienste und des Codes, den wir schreiben, fallen in den Verantwortungsbereich meiner Arbeit."

Arkin wird von seiner neuen Position aus beaufsichtigen die Arbeit des kürzlich gegründeten Engineering Infrastructure Security Teams, das die Software-Aufbau-, Signatur- und Release-Infrastruktur des Unternehmens zusätzlich zu der der ASSET- und PSIRT-Gruppen beibehält. Er wird auch das Adobe Security Coordination Center beaufsichtigen, eine Gruppe, die sowohl die Netzwerk- als auch die Produktsicherheitsreaktion im gesamten Unternehmen koordiniert.

Die Bemühungen von Adobe, die Sicherheit seiner Softwareprodukte, insbesondere der weit verbreiteten Programme, zu stärken, hatten in den letzten Jahren sichtbare Auswirkungen auf die Bedrohungslandschaft. Die Anzahl der Exploits, die auf Adobe Reader bei aktiven Angriffen abzielen, ist erheblich zurückgegangen. Die Angreifer müssen nun ihren Fokus auf Oracle Java und andere weit verbreitete Software richten. Ein "Zero-Day-Exclusiv-Exploit" für Adobe Reader X, der im Februar gefunden wurde, war der erste, der den Sandbox-Mechanismus des Programms seit seiner Veröffentlichung im Jahr 2010 umgangen hat.

Flash Player ist nun auch unter Google Chrome, Mozilla Firefox und Internet Explorer 10 unter Windows 8, wodurch die Ausnutzung von Flash Player-Sicherheitslücken erheblich erschwert wird.

Die automatische Flash-Aktualisierung für Flash Player und Reader sowie die Arbeit des Unternehmens mit Plattformpartnern wie Microsoft, Apple, Mozilla und Google haben dazu geführt, dass die meisten Benutzer auf die neuesten und sichersten Versionen dieser Produkte upgraden.

Im Consumer-Markt verwendet nur eine kleine Anzahl von Benutzern Adobe Reader 9 und weniger als 1 Prozent laufen eine ältere Version, die nicht mehr unterstützt wird und keine Sicherheitsaktualisierungen erhält, sagte Arkin. Die meisten Unternehmensumgebungen wurden auf Reader XI umgestellt, "mehr Leute, als ich möchte, verwenden immer noch Version 9", sagte Arkin.

Das Unternehmen ist sehr aggressiv, um Leute von Reader Version 9 auf Version XI oder mindestens X zu bringen, vor allem, da Version 9 Ende Juni das Ende der Lebensdauer erreichen wird, sagte Arkin. "Wir verwenden den Aktualisierungsmechanismus, um Upgrades auf die neueste Version zu bringen und nicht nur Sicherheitsupdates für die installierte Version."

Idealerweise möchte das Unternehmen, dass Benutzer den Reader XI verwenden, da er das beste Sicherheitsniveau bietet. Reader XI verfügt über eine zweite Sandbox-Komponente, die als geschützte Ansicht bezeichnet wird, zusätzlich zu der in Reader X erstmals eingeführten Komponente, die jedoch leider nicht standardmäßig aktiviert ist.

Der Grund, warum Reader XI nicht mit der von Standard ist, dass es einige Arbeitsabläufe unterbricht, da das Schutzniveau, das es bietet, mit Bildschirmleseprogrammen oder einigen anderen üblichen Aufgaben wie dem Drucken nicht vereinbar ist, sagte Arkin. Mit jedem Update versucht das Unternehmen, einige der Inkompatibilitäten zu lösen, so dass es das Feature standardmäßig aktivieren kann, sagte Arkin. Menschen in hochgradig zielgerichteten Umgebungen können dies jedoch jetzt noch einschalten und verschiedene Workarounds nutzen, um auf die erforderliche Funktionalität zuzugreifen.

Was Flash Player angeht, ist das unmittelbare Ziel, mehr Sicherheitstests und gezielte Tests durchzuführen Code Hardening, um mögliche Fehler zu identifizieren und zu beheben, sagte Arkin. Kleine Änderungen werden auch an der ActionScript Virtual Machine 2 (AVM2) -Engine vorgenommen, basierend auf Feedback von Plattformpartnern und Leuten in den Chrome- und IE 10-Teams, um sie robuster gegen beschädigten Bytecode zu machen, sagte er Der CSO-Titel wurde bei Adobe benötigt, da die Bedeutung der Cybersicherheit in der Welt sowohl aus technischer Sicht mit neuen Angriffstypen als auch aus regulatorischer Sicht mit der neuen Cybersecurity Executive Order in den USA und den USA zugenommen hat Cyber-Sicherheitsstrategie in der EU, sagte Arkin.

"Die Schaffung einer Position als Chief Security Officer ist eine Möglichkeit für uns, das Ausmaß der internen Sicherheitsarbeit extern zu kommunizieren", sagte er. "Es hilft auch, das Gewicht und die Ernsthaftigkeit der Probleme zu vermitteln, und wie Adobe sie anpackt."