אבטחה של שירותים מתארח הוא בראש סדר העדיפויות עבור CSO הראשון של Adobe

Adobe Systems מינתה בראד ארקין, מנהל בכיר של החברה אבטחה עבור מוצרים ושירותים, להפוך CSO הראשון שלה. עם תוכנית אבטחה מוצר בוגר כבר במקום, בראש סדר העדיפויות של מנהל האבטחה החדש של Adobe הם לחזק את האבטחה של השירותים המתארחים של החברה ואת התשתית הפנימית שלה.

Adobe קצין הביטחון הראשי בראד ארקין

במשך כמה שנים, ארקין השגיחה על מאמצי האבטחה של מוצרי התוכנה של Adobe כמנהיגה של צוות ההנדסה של Adobe Secure Software (ASSET) ו- Adobe Product Security Incident Response Team (PSIRT). במהלך הזמן הזה, Adobe Reader ו- Flash Player, שני יישומים הממוקדים לעתים קרובות על-ידי התוקפים בגלל בסיס המשתמשים הגדול שלהם, קיבלו שיפורים משמעותיים באבטחה, כולל מנגנוני אנטי-ניצול כגון ארגז חול ועדכונים אוטומטיים שקטים. [

[קריאה נוספת: כיצד כדי להסיר תוכנות זדוניות מהמחשב Windows שלך]

בעוד העבודה הנדסת תוכנה מאובטחת תימשך, המיקוד של ארקין הוא חיזוק האבטחה של השירותים המתארחים של החברה, כמו Adobe Creative Cloud וענן השיווק של Adobe.

"אני חושב ש מחזור חיי המוצר המאובטח שלנו והעבודה שעשינו עם המוצרים המצומצמים שלנו היא מאוד בוגרת ", אמר ארקין. "אנחנו עושים זאת כבר שנים". עם זאת, החברה לא עשתה שירותים מתארחים כל עוד היא מפתחת תוכנות מדף ", ולכן אנחנו ממשיכים לשפר את המעקב והפעולה שלנו "אמר ארקין." כרגע אני מרוכז בעיקר בעשיית הדברים שאנחנו יכולים להגן על נתוני הלקוחות שלנו ", אמר. "אנחנו כבר עושים שם הרבה עבודה נהדרת, אבל יש עוד יותר עבודה שתכננו ואנחנו נעשה וזה תהליך שלא נגמר. זה משהו שהוא רק חלק מהפעלת שירותים מתארחים. "

יש מפת דרכים ביטחונית עבור שירותים מתארחים ועם כל מהדורה חדשה של קוד, המתרחשת כל שלושה שבועות, יש תכונה אבטחה חדשה או שיפור מתווספת או כמה קוד התקשות להיות, אמר ארקין. בנוסף לשיפור האבטחה של השירותים המתארחים שלה, החברה מתכננת להתמקד בחיזוק תשתית ה- IT שלה ומערכות פנימיות בעלות ערך גבוה מפני התקפות.

הרעים באמת יצירתי בסוגים של התקפות הם משתמשים נגד חברות הקשורות לאינטרנט, אמר ארקין. "אנחנו עובדים עם ספקי אבטחה ואחרים בקהילת המגן כדי לוודא שאנחנו מעמידים את ההגנות החזקות על התשתית הפנימית שלנו". החברה חוותה התקפות ממוקדות מתוחכמות בעבר, אמר ארקין. דוגמה אחת לכך היא האירוע שנחשף על ידי Adobe בספטמבר 2012, כאשר התוקפים הצליחו להתפשר על אחד משרתי החתימה הפנימיים של החברה והשתמשו בו כדי לחתום על תוכנה זדונית עם אישור דיגיטלי של Adobe.

סוג זה של התקפה, אשר מכוונת את התשתית של החברה ולא את הקוד שהיא מייצרת או את המשתמשים שלה, מהווה סיכון פוטנציאלי שצריך לטפל בו ולטפל בו, אמר ארקין. "ההגנה על הפעילות הפנימית שלנו, כמו גם השירותים החיצוניים המארחים שלנו והקוד שאנו כותבים, כולם בתחום האחריות על מה אני עובד".

מתוך עמדתו החדשה, ארקין יפקח עבודתו של צוות אבטחת התשתית ההנדסית, המחזיק כיום בבניית התוכנה, בתשתית החתימה וההשקה של החברה, בנוסף לתשתיות ה- ASSET ו- PSIRT. הוא גם יפקח על מרכז האבטחה של Adobe, קבוצה המתאמת הן את פעילות הרשת והן את תקריות האבטחה של המוצר ברחבי החברה.המאמצים של Adobe לחזק את האבטחה של מוצרי התוכנה שלה, במיוחד את התוכניות הנפוצות, יש השפעה ניכרת על הנוף איום בשנים האחרונות. מספר המנצלים המכוונים ל- Adobe Reader המשמש להתקפות אקטיביות ירד באופן משמעותי, ואילץ את התוקפים להחליף את המיקוד שלהם בג'אווה של אורקל ובתוכנות אחרות בשימוש נרחב. ניסוי של אפס יום שלא נודע בעבר עבור Adobe Reader X שנמצא בפברואר היה הראשון לעקוף את מנגנון ארגז חול התוכנית מאז השקתו בחזרה בשנת 2010.

Flash Player הוא גם sandboxed תחת Google Chrome, Mozilla Firefox ו Internet Explorer 10 ב- Windows 8, מה שהופך ניצול מוצלח של הפגיעות Flash Player הרבה יותר קשה מאשר בעבר.

אפשרות עדכון אוטומטי שקט הוסיף Flash Player ו Reader ואת העבודה החברה עשתה עם שותפים פלטפורמה כמו מיקרוסופט, אפל, מוזילה וגוגל, הובילה את רוב המשתמשים לשדרוג לגרסאות העדכניות והבטוחות ביותר של מוצרים אלה, אמר ארקין.

בשוק הצרכנים, רק מספר קטן של משתמשים עדיין משתמשים ב- Adobe Reader 9 ופחות יותר מ -1% מפעילים גרסה ישנה יותר שאינה נתמכת עוד ולא מקבלת עדכוני אבטחה, אמר ארקין. רוב הסביבות הארגוניות שודרגו ל- Reader XI, אך "יותר אנשים ממה שהייתי רוצה עדיין משתמשים בגירסה 9", אומר ארקין.

החברה היא אגרסיבית מאוד להעביר אנשים מגירסה 9 לגרסה X או לפחות X, במיוחד מאז גרסה 9 יגיע סוף החיים בסוף יוני, אמר ארקין. "אנו משתמשים במנגנון העדכון כדי לדחוף שדרוגים לגרסה העדכנית ביותר ולא רק עדכוני אבטחה עבור הגירסה המותקנת."

באופן אידיאלי, החברה היתה רוצה שאנשים ישתמשו ב- Reader XI משום שהיא מציעה את רמת האבטחה הטובה ביותר. Reader XI מכיל רכיב sandboxing שני המכונה Protected View, בנוסף לתצוגה הראשונה שהוצגה ב- Reader X, אך לצערנו תכונה זו אינה מופעלת כברירת מחדל.

הסיבה ש- Reader XI לא נשלחה עם Protected View מופעלת על-ידי ברירת המחדל היא שזה שובר כמה workflows כמו רמת ההגנה שהיא מציעה אינו עולה בקנה אחד עם קוראי מסך או כמה משימות נפוצות אחרות כמו הדפסה, אמר ארקין. עם כל עדכון, החברה מנסה לפתור חלק את חוסר תאימות, כך שהוא יכול להפעיל את התכונה כברירת מחדל, אמר ארקין. עם זאת, אנשים בסביבות ממוקדות מאוד עדיין יכול להפעיל את זה עכשיו ולהשתמש בסביבות עבודה שונות כדי לגשת לפונקציונליות הנדרשת, הוא אמר.

מבחינת Flash Player הוא מודאג, המטרה המיידית היא לעשות בדיקות אבטחה יותר ממוקדות קוד התקשות כדי לזהות ולתקן פגמים פוטנציאליים, אמר ארקין. שינויים קטנים נעשים גם במנוע של ActionScript Virtual Machine 2 (AVM2), המבוסס על משוב משותפי פלטפורמה ואנשים בצוותי Chrome ו- IE 10, על מנת להפוך אותו לחזק יותר מול ה- bytecode המושחת. כותרת CSO הייתה דרושה ב- Adobe, משום שחשיבותה של האבטחה הקיברנטית בעולם גדלה, הן מנקודת מבט טכנית והן עם סוגים חדשים של התקפות המופיעות, וגם מנקודת מבט רגולטורית, עם פקודת האבטחה החדשה של cybersecurity בארה"ב., אמר ארקין. "יצירת עמדת קצינים בכירים עכשיו היא דרך ליצור קשר חיצוני עם היקף העבודה שאנחנו עושים על ביטחון פנימי", אמר. "זה גם עוזר להעביר את המשקל ואת אופי רציני של בעיות וכיצד Adobe היא להתמודד עם אותם על הראש."