Beveiliging van gehoste services heeft topprioriteit voor Adobe's eerste CSO

Adobe chief security officer Brad Arkin

De afgelopen jaren, Arkin heeft toezicht gehouden op de softwareproductenbeveiliging van Adobe als leider van het Adobe Secure Software Engineering Team (ASSET) en het Adobe Product Security Incident Response Team (PSIRT). Gedurende deze tijd hebben Adobe Reader en Flash Player, twee applicaties die vaak worden aangevallen door aanvallers vanwege hun grote gebruikersbestand, aanzienlijke beveiligingsverbeteringen ontvangen, waaronder anti-exploitatiemechanismen zoals sandboxing en automatische updates.

[Meer informatie: Hoe om malware van uw Windows-pc te verwijderen]

Terwijl de veilige software-engineering verder zal gaan, versterkt Arkin de beveiliging van de gehoste services van het bedrijf, zoals de Adobe Creative Cloud en de Adobe Marketing Cloud.

"Ik denk dat onze veilige levenscyclus van producten en het werk dat we hebben gedaan met onze krimpverpakte producten is zeer volwassen, "zei Arkin. "We doen dit al jaren."

Het bedrijf doet echter nog nooit gehoste services zolang het geen standaardsoftware heeft ontwikkeld, "dus we blijven onze monitoring en werking verbeteren veiligheid op dat gebied, "zei Arkin.

" Op dit moment ben ik het meest gericht op het doen van de dingen die we kunnen om de gegevens van onze klanten te beschermen, "zei hij. "We doen daar al veel goed werk, maar er is nog meer werk dat we hebben gepland en we zullen het doen en het is een eindeloos proces. Dit is slechts een deel van het uitvoeren van gehoste services. "

Er is een beveiligingsroadmap voor gehoste services en bij elke nieuwe release van code, die elke drie weken plaatsvindt, is er een nieuwe beveiligingsfunctie of -verbetering toegevoegd of is code hardening Arkin zei.

Naast de verbetering van de beveiliging van de gehoste services, is het bedrijf ook van plan zich te concentreren op het versterken van de IT-infrastructuur en hoogwaardige interne systemen tegen aanvallen.

De slechteriken zijn echt creatief in de soorten aanvallen die ze gebruiken tegen bedrijven die verbonden zijn met internet, zei Arkin. "We werken samen met beveiligingsleveranciers en anderen in de verdedigingsgemeenschap om ervoor te zorgen dat we de robuuste verdedigingen op onze interne infrastructuur toepassen."

Het bedrijf heeft in het verleden verfijnde gerichte aanvallen gehad, zei Arkin. Een voorbeeld is het incident dat in september 2012 door Adobe werd onthuld, toen aanvallers een van de interne codesigneerservers van het bedrijf inhaalden en het gebruikten om malware te ondertekenen met een Adobe digitaal certificaat, zei hij.

Dit type aanval, dat richt zich op de infrastructuur van het bedrijf en niet op de code die het produceert of zijn gebruikers, vertegenwoordigt een potentieel risico dat moet worden beheerd en aangepakt, zei Arkin. "Het verdedigen van onze interne activiteiten, evenals onze externe gehoste services en de code die we schrijven, vallen allemaal onder de verantwoordelijkheid van waar ik aan werk."

Vanuit zijn nieuwe functie zal Arkin toezicht houden op het werk van het recent opgerichte Engineering Infrastructure Security Team, dat de infrastructuur voor het bouwen, ondertekenen en vrijgeven van het bedrijf onderhoudt, naast die van de ASSET- en PSIRT-groepen. Hij zal ook toezicht houden op het Adobe Security Coordination Center, een groep die zowel netwerk- als productbeveiligingsresponsactiviteiten binnen het bedrijf coördineert.

Adobe's inspanningen om de beveiliging van haar softwareproducten te verbeteren, met name de veelgebruikte programma's, hebben de afgelopen jaren een zichtbaar effect gehad op het dreigingslandschap. Het aantal exploits gericht tegen Adobe Reader dat wordt gebruikt bij actieve aanvallen is aanzienlijk afgenomen, waardoor aanvallers gedwongen zijn hun focus te verleggen naar Oracle's Java en andere veelgebruikte software. Een zero-day-before-unknown-exploit voor Adobe Reader X die in februari werd gevonden, was de eerste om het sandbox-mechanisme van het programma te omzeilen sinds de release in 2010.

Flash Player is nu ook in sandbox onder Google Chrome, Mozilla Firefox en Internet Explorer 10 op Windows 8, waardoor succesvolle misbruik van Flash Player-kwetsbaarheden veel moeilijker is dan in het verleden.

De optie voor stille automatische updates toegevoegd aan Flash Player en Reader en het werk dat het bedrijf heeft gedaan met platformpartners zoals Microsoft, Apple, Mozilla en Google hebben ertoe geleid dat de meeste gebruikers een upgrade hebben uitgevoerd naar de nieuwste en veiligste versies van die producten, aldus Arkin.

In de consumentenmarkt gebruikt slechts een klein aantal gebruikers Adobe Reader 9 en minder dan 1 procent een oudere versie draait die niet langer wordt ondersteund en geen beveiligingsupdates ontvangt, zei Arkin. De meeste bedrijfsomgevingen zijn geüpgraded naar Reader XI, maar "meer mensen dan ik zouden willen gebruiken nog steeds versie 9", zei Arkin.

Het bedrijf is zeer agressief om mensen van Reader versie 9 naar versie XI of ten minste X te verplaatsen, vooral omdat versie 9 eind juni het levenseinde zal bereiken, zei Arkin. "We gebruiken het updatemechanisme om upgrades naar de nieuwste versie te pushen en niet alleen beveiligingsupdates voor de geïnstalleerde versie."

Idealiter zou het bedrijf willen dat mensen Reader XI gebruiken omdat dit het beste beveiligingsniveau biedt. Reader XI heeft een tweede sandboxing-component die bekend staat als Protected View, naast degene die voor het eerst is geïntroduceerd in Reader X, maar helaas is deze functie niet standaard ingeschakeld.

De reden waarom Reader XI niet wordt geleverd met Protected View ingeschakeld door standaard is dat het sommige werkstromen verbreekt, omdat het beveiligingsniveau dat het biedt incompatibel is met schermlezers of enkele andere veel voorkomende taken zoals afdrukken, zei Arkin. Bij elke update probeert het bedrijf enkele van de incompatibiliteiten op te lossen, zodat het de functie standaard kan inschakelen, zei Arkin. Echter, mensen in zeer doelgerichte omgevingen kunnen het nu nog steeds inschakelen en verschillende work-arounds gebruiken om toegang te krijgen tot de vereiste functionaliteit, zei hij.

Wat Flash Player betreft, is het directe doel om meer beveiligingstests en gerichte tests uit te voeren codeversterking om potentiële tekortkomingen te identificeren en op te lossen, zei Arkin. Kleine wijzigingen worden ook aangebracht in de ActionScript Virtual Machine 2 (AVM2) -engine op basis van feedback van platformpartners en mensen in de Chrome- en IE 10-teams, om deze robuuster te maken tegen corrupte bytecodes, zei hij.

CSO-titel was nodig bij Adobe omdat het belang van cybersecurity in de wereld is toegenomen, zowel vanuit technisch oogpunt, met nieuwe soorten aanvallen die verschijnen, en ook vanuit regelgevend standpunt, met de nieuwe cybersecurity-uitvoeringsbevel in de VS en de VS cybersecurity-strategie in de EU, zei Arkin.

"Het creëren van een positie als chief security officer is nu een manier voor ons om extern de schaal van het werk dat we intern doen over de beveiliging te communiceren," zei hij. "Het helpt ook om het gewicht en de ernst van de problemen over te brengen en hoe Adobe ze het beste aanpakt."