Adobe Flash Player больше нет ! Предложил сам себя удалить !
Adobe chief security officer Brad Arkin
De afgelopen jaren, Arkin heeft toezicht gehouden op de softwareproductenbeveiliging van Adobe als leider van het Adobe Secure Software Engineering Team (ASSET) en het Adobe Product Security Incident Response Team (PSIRT). Gedurende deze tijd hebben Adobe Reader en Flash Player, twee applicaties die vaak worden aangevallen door aanvallers vanwege hun grote gebruikersbestand, aanzienlijke beveiligingsverbeteringen ontvangen, waaronder anti-exploitatiemechanismen zoals sandboxing en automatische updates.[Meer informatie: Hoe om malware van uw Windows-pc te verwijderen]
"Ik denk dat onze veilige levenscyclus van producten en het werk dat we hebben gedaan met onze krimpverpakte producten is zeer volwassen, "zei Arkin. "We doen dit al jaren."
Het bedrijf doet echter nog nooit gehoste services zolang het geen standaardsoftware heeft ontwikkeld, "dus we blijven onze monitoring en werking verbeteren veiligheid op dat gebied, "zei Arkin.
" Op dit moment ben ik het meest gericht op het doen van de dingen die we kunnen om de gegevens van onze klanten te beschermen, "zei hij. "We doen daar al veel goed werk, maar er is nog meer werk dat we hebben gepland en we zullen het doen en het is een eindeloos proces. Dit is slechts een deel van het uitvoeren van gehoste services. "
Er is een beveiligingsroadmap voor gehoste services en bij elke nieuwe release van code, die elke drie weken plaatsvindt, is er een nieuwe beveiligingsfunctie of -verbetering toegevoegd of is code hardening Arkin zei.
Naast de verbetering van de beveiliging van de gehoste services, is het bedrijf ook van plan zich te concentreren op het versterken van de IT-infrastructuur en hoogwaardige interne systemen tegen aanvallen.
De slechteriken zijn echt creatief in de soorten aanvallen die ze gebruiken tegen bedrijven die verbonden zijn met internet, zei Arkin. "We werken samen met beveiligingsleveranciers en anderen in de verdedigingsgemeenschap om ervoor te zorgen dat we de robuuste verdedigingen op onze interne infrastructuur toepassen."
Het bedrijf heeft in het verleden verfijnde gerichte aanvallen gehad, zei Arkin. Een voorbeeld is het incident dat in september 2012 door Adobe werd onthuld, toen aanvallers een van de interne codesigneerservers van het bedrijf inhaalden en het gebruikten om malware te ondertekenen met een Adobe digitaal certificaat, zei hij.
Dit type aanval, dat richt zich op de infrastructuur van het bedrijf en niet op de code die het produceert of zijn gebruikers, vertegenwoordigt een potentieel risico dat moet worden beheerd en aangepakt, zei Arkin. "Het verdedigen van onze interne activiteiten, evenals onze externe gehoste services en de code die we schrijven, vallen allemaal onder de verantwoordelijkheid van waar ik aan werk."
Vanuit zijn nieuwe functie zal Arkin toezicht houden op het werk van het recent opgerichte Engineering Infrastructure Security Team, dat de infrastructuur voor het bouwen, ondertekenen en vrijgeven van het bedrijf onderhoudt, naast die van de ASSET- en PSIRT-groepen. Hij zal ook toezicht houden op het Adobe Security Coordination Center, een groep die zowel netwerk- als productbeveiligingsresponsactiviteiten binnen het bedrijf coördineert.
Adobe's inspanningen om de beveiliging van haar softwareproducten te verbeteren, met name de veelgebruikte programma's, hebben de afgelopen jaren een zichtbaar effect gehad op het dreigingslandschap. Het aantal exploits gericht tegen Adobe Reader dat wordt gebruikt bij actieve aanvallen is aanzienlijk afgenomen, waardoor aanvallers gedwongen zijn hun focus te verleggen naar Oracle's Java en andere veelgebruikte software. Een zero-day-before-unknown-exploit voor Adobe Reader X die in februari werd gevonden, was de eerste om het sandbox-mechanisme van het programma te omzeilen sinds de release in 2010.
Flash Player is nu ook in sandbox onder Google Chrome, Mozilla Firefox en Internet Explorer 10 op Windows 8, waardoor succesvolle misbruik van Flash Player-kwetsbaarheden veel moeilijker is dan in het verleden.
De optie voor stille automatische updates toegevoegd aan Flash Player en Reader en het werk dat het bedrijf heeft gedaan met platformpartners zoals Microsoft, Apple, Mozilla en Google hebben ertoe geleid dat de meeste gebruikers een upgrade hebben uitgevoerd naar de nieuwste en veiligste versies van die producten, aldus Arkin.
In de consumentenmarkt gebruikt slechts een klein aantal gebruikers Adobe Reader 9 en minder dan 1 procent een oudere versie draait die niet langer wordt ondersteund en geen beveiligingsupdates ontvangt, zei Arkin. De meeste bedrijfsomgevingen zijn geüpgraded naar Reader XI, maar "meer mensen dan ik zouden willen gebruiken nog steeds versie 9", zei Arkin.
Het bedrijf is zeer agressief om mensen van Reader versie 9 naar versie XI of ten minste X te verplaatsen, vooral omdat versie 9 eind juni het levenseinde zal bereiken, zei Arkin. "We gebruiken het updatemechanisme om upgrades naar de nieuwste versie te pushen en niet alleen beveiligingsupdates voor de geïnstalleerde versie."
Idealiter zou het bedrijf willen dat mensen Reader XI gebruiken omdat dit het beste beveiligingsniveau biedt. Reader XI heeft een tweede sandboxing-component die bekend staat als Protected View, naast degene die voor het eerst is geïntroduceerd in Reader X, maar helaas is deze functie niet standaard ingeschakeld.
De reden waarom Reader XI niet wordt geleverd met Protected View ingeschakeld door standaard is dat het sommige werkstromen verbreekt, omdat het beveiligingsniveau dat het biedt incompatibel is met schermlezers of enkele andere veel voorkomende taken zoals afdrukken, zei Arkin. Bij elke update probeert het bedrijf enkele van de incompatibiliteiten op te lossen, zodat het de functie standaard kan inschakelen, zei Arkin. Echter, mensen in zeer doelgerichte omgevingen kunnen het nu nog steeds inschakelen en verschillende work-arounds gebruiken om toegang te krijgen tot de vereiste functionaliteit, zei hij.
Wat Flash Player betreft, is het directe doel om meer beveiligingstests en gerichte tests uit te voeren codeversterking om potentiële tekortkomingen te identificeren en op te lossen, zei Arkin. Kleine wijzigingen worden ook aangebracht in de ActionScript Virtual Machine 2 (AVM2) -engine op basis van feedback van platformpartners en mensen in de Chrome- en IE 10-teams, om deze robuuster te maken tegen corrupte bytecodes, zei hij.
CSO-titel was nodig bij Adobe omdat het belang van cybersecurity in de wereld is toegenomen, zowel vanuit technisch oogpunt, met nieuwe soorten aanvallen die verschijnen, en ook vanuit regelgevend standpunt, met de nieuwe cybersecurity-uitvoeringsbevel in de VS en de VS cybersecurity-strategie in de EU, zei Arkin.
"Het creëren van een positie als chief security officer is nu een manier voor ons om extern de schaal van het werk dat we intern doen over de beveiliging te communiceren," zei hij. "Het helpt ook om het gewicht en de ernst van de problemen over te brengen en hoe Adobe ze het beste aanpakt."
Beveiliging, Beveiliging, Meer Beveiliging
Beveiligingsnieuws domineerde deze week en dat zal ongetwijfeld ook volgende week het geval zijn, met de Black Hat en Defcon ...
Satyam verkoopt meerderheidsbelang in wereldwijd bod Bieders zullen echter geen toegang hebben tot gedetailleerde bedrijfsboekhouding boeken omdat
Ze hebben mogelijk ook geen toegang tot gegevens over de klanten van het bedrijf omdat dat wordt als concurrerende informatie beschouwd. p> p>
p> p>
p> p> p> p>
Sommige investeerders hebben gezegd dat zij de precieze details van het concurrerende biedingsproces en de informatie die voor beleggers beschikbaar wordt gemaakt, later bekend maken. zal niet deelnemen aan een bieding als niet alle financiële informatie voor hen beschikbaar
Beveiliging van de beveiliging van Zendesk voor Twitter-, Tumblr- en Pinterest-gebruikers
Een inbreuk op de beveiliging bij Zendesk, een populaire klantenserviceprovider, heeft hackers opgeleverd het verkrijgen van ondersteuningsinformatie die naar een drietal sociale netwerken is verzonden. Hoe erg is de schade?