Windows

托管服务的安全性是Adobe首个CSO的重中之重

Anonim

Adob​​e Systems已任命Brad Arkin担任公司高级安全总监产品和服务,成为其第一个CSO。随着成熟的产品安全计划的实施,Adobe新安全主管的首要任务是加强公司托管服务及其内部基础设施的安全性。

Adob​​e首席安全官Brad Arkin

过去几年Arkin负责Adobe的软件产品安全工作,担任Adobe安全软件工程团队(ASSET)和Adobe产品安全事件响应团队(PSIRT)的领导者。在此期间,Adobe Reader和Flash Player是攻击者经常针对攻击者的两个应用程序,这些应用程序由于用户众多而获得了显着的安全性改进,其中包括诸如沙盒和静默自动更新之类的反开发机制。

[更多阅读:How从Windows PC移除恶意软件]

安全软件工程工作将继续进行,Arkin的重点是加强公司托管服务的安全性,如Adobe Creative Cloud和Adobe Marketing Cloud。

“我认为我们安全的产品生命周期以及我们一直使用我们的收缩包装产品所做的工作非常成熟,“Arkin说。 “我们已经这么做了很多年了。”

但是,只要开发了现成的软件,该公司就没有开展托管服务,“所以我们继续加强我们的监控和运营“Arkin说,”现在我最关注的是做我们能够保护我们客户数据的事情,“他说。 “我们已经在那里做了很多很棒的工作,但是我们已经做了更多的工作,我们将会这样做,这是一个永无止境的过程。这只是运行托管服务的一部分。“

托管服务有一个安全路线图,每发布一次新代码(每三周发布一次),就会添加一项新的安全功能或改进功能,或者添加一些代码加强功能Arkin说:“除了提高其托管服务的安全性外,该公司还计划着重加强其IT基础设施和高价值内部系统以抵御攻击。”

坏人真的Arkin表示,他们对互联网公司使用的攻击类型具有创造性。 “我们正在与安全厂商和后卫社区的其他人合作,确保我们在内部基础设施上实施强大的防御措施。”Arkin表示,该公司过去经历了复杂的针对性攻击。其中一例是Adobe在2012年9月披露的事件,当时攻击者设法破坏公司的一个内部代码签名服务器,并用Adobe数字证书对恶意软件进行签名,他说。 Arkin说,目标公司的基础设施,而不是它生产的代码或用户,代表了需要管理和解决的潜在风险。 “捍卫我们的内部运营,以及我们的外部托管服务和我们正在编写的代码,都在我所从事的职责范围内。”

从他的新职位,Arkin将负责监督最近创建的工程基础设施安全团队的工作,除了ASSET和PSIRT团队之外,该团队还负责维护公司的软件构建,签署和发布基础架构。他还将监督Adobe安全协调中心,该协调中心负责协调整个公司的网络和产品安全事件响应活动。

Adobe加强软件产品安全性的努力,特别是广泛使用的软件,近年来已经对威胁形势产生了明显的影响。针对主动攻击中使用的Adobe Reader的攻击次数大大减少,迫使攻击者将重点转向Oracle的Java和其他广泛使用的软件。在二月份发现的Adobe Reader X零日漏洞是自2010年发布以来第一个绕过该程序的沙盒机制。

Flash Player现在也在Google Chrome,Mozilla Firefox和Windows 8上的Internet Explorer 10,使得成功利用Flash Player漏洞比过去更加困难。

静默自动更新选项已添加到Flash Player和Reader,以及该公司与Microsoft, Arkin说,苹果,Mozilla和谷歌已经导致大多数用户升级到这些产品的最新和最安全的版本。在消费者市场中,只有少数用户仍在使用Adobe Reader 9, Arkin说,超过1%的公司正在运行一个不再受支持并且没有收到安全更新的旧版本。大多数企业环境已升级到Reader XI,但“比我想要的还多的人仍在使用版本9”,Arkin说道。

该公司正在积极地将人们从Reader 9转移到版本XI或至少X Arkin表示,特别是从9月份开始到6月底将达到报废。 “我们正在使用更新机制将升级推向最新版本,而不仅仅是安装版本的安全更新。”

理想情况下,公司希望人们使用Reader XI,因为它提供了最佳的安全级别。除了Reader X中首次引入的第二个沙盒组件外,Reader XI还具有第二个沙盒组件,但不幸的是,此功能默认情况下未启用。

Reader XI未附带启用受保护的视图的原因默认的是,它打破了一些工作流程,因为它提供的保护级别与屏幕阅读器或其他一些常见任务(如打印)不兼容,Arkin说。 Arkin说,随着每次更新,公司都试图解决一些不兼容问题,以便默认情况下可以启用该功能。然而,目标明确的环境中的人们仍然可以立即开启它,并使用各种解决方案来访问所需的功能,他表示。就Flash Player而言,最直接的目标是进行更多的安全测试并瞄准代码强化以识别和修复潜在的缺陷,Arkin说。他表示,基于来自平台合作伙伴以及Chrome和IE 10团队成员的反馈,对ActionScript Virtual Machine 2(AVM2)引擎也进行了一些小改动,以便更好地抵御破坏的字节码。 CSO需要CSO的头衔,因为从技术角度看,全球网络安全的重要性随着新型攻击的出现以及从监管角度出发,随着美国和美国新的网络安全行政命令Arkin说:“现在创建一名首席安全官职位是我们在外部交流我们在内部对安全性进行的工作规模的一种方式,”他说。 “这也有助于表达问题的重要性和严重性,以及Adobe如何面对这些问题。”