托管服务的安全性是Adobe第一个CSO的首要任务

加强Adobe内部基础设施的安全是新CSO Brad Arkin的另一个目标

CSO高级作家,IDG新闻服务 |

布拉德·斯金

Brad Arkin,CSO,Adobe Systems

Adobe Systems已指定了公司的产品和服务的安全高级主管Brad Arkin,成为其第一个CSO。随着成熟的产品安全计划已经到位,Adobe的新安全主管的首要任务是加强公司托管服务及其内部基础设施的安全性。

在过去的几年中,Arkin一直作为Adobe安全软件工程团队(ASSET)和Adobe产品安全事件响应团队(PSIRT)的负责人监督Adobe的软件产品安全工作。在此期间,adobereader和Flash Player这两个由于用户数量庞大而经常成为攻击目标的应用程序,在安全方面得到了重大改进,包括沙箱和无声自动更新等反利用机制。

[CEO的薪酬:现金,股票奖,津贴加入大工资包]

虽然安全软件工程工作将继续进行,但阿尔金的重点是加强公司托管服务的安全性,如Adobe创意云和Adobe营销云。

“我认为我们的安全产品生命周期和我们一直在做我们的收缩产品的工作非常成熟,”Arkin说。“我们现在一直这样做。”

然而,只要公司一直在开发现成的软件,就没有做托管服务,“所以我们将继续加强我们在该领域的监控和操作安全,”Arkin说。

“现在我最专注于做我们可以保护客户的数据,”他说。“我们已经在那里做了很多伟大的工作,但是我们已经计划了更多的工作,我们会在做的事情,这是一个永无止境的过程。这是一个运行托管服务的一部分。”

Arkin表示,有一个托管服务的安全路线图,每三周内发生一次新的代码,每三周都会增加一次新的安全功能或改进,或者在这些服务中进行了一些代码硬化。

除加强其托管服务的安全外,本公司还将专注于加强其抗攻击的IT基础设施和高价值内部系统。

阿尔金说:“这些坏人对连接到互联网的公司发动的攻击类型非常有创意。”“我们正在与安全供应商和防御者社区的其他人合作,以确保我们在内部基础设施上部署了强大的防御。”

Arkin说,该公司过去经历过复杂的有针对性的攻击。一个例子是事件Adobe于2012年9月披露他说,当时攻击者设法侵入了该公司的一个内部代码签名服务器,并用它用Adobe的数字证书对恶意软件进行签名。

Arkin表示,这种针对公司基础设施而不是其产生的代码或其用户的基础设施而不是其产生的攻击类型,它代表了需要管理和解决的潜在风险。“捍卫我们的内部运营以及我们所撰写的外部托管服务以及我们正在写的代码,所有人都在责任的范围内。”

在他的新职位上,Arkin将监督最近成立的工程基础设施安全团队的工作,该团队负责维护公司的软件构建、签署和发布基础设施,以及ASSET和PSIRT组的工作。他还将监督Adobe安全协调中心,该组织负责协调整个公司的网络和产品安全事件响应活动。

Adobe努力加强其软件产品的安全性,特别是那些被广泛使用的程序,这对近年来的威胁格局产生了明显的影响。针对adobereader的攻击次数大幅减少,迫使攻击者将攻击重点转向Oracle的Java和其他广泛使用的软件。二月发现的一个零日漏洞——之前未知——是自2010年该程序发布以来第一个绕过该程序沙箱机制的漏洞。

Flash Player现在也在Google Chrome,Mozilla Firefox和Internet Explorer 10在Windows 8上沙盒,成功开发Flash Player漏洞比过去更困难。

Arkin表示,在Flash Player和Reader中添加的静默自动更新选项,以及该公司与微软、苹果、Mozilla和谷歌等平台合作伙伴所做的工作,已经导致大多数用户升级到这些产品的最新和最安全的版本。

在消费市场中,只有少数用户仍然使用Adobe Reader 9,并且不到1%的运行运行旧版本,不再支持,而不是接收安全更新。Arkin说,大多数企业环境已经升级为读者Xi,但“更多人仍然使用版本9。”

该公司正在侵略性地将来自读者版本9的人传播到版本XI或至少X,特别是因为9岁以来,自从6月底达到寿命以来,Arkin说。“我们正在使用更新机制来推送升级到最新版本,而不仅仅是安装版本的安全更新。”

理想情况下,公司希望人们使用读者XI,因为它提供了最佳的安全级别。读卡器Xi还具有称为保护视图的第二个沙箱组件,除了在读取器X中首次引入的一个保护视图,但遗憾的是默认情况下不会打开此功能。

默认情况下,读者Xi未发货的原因是默认情况下,它会破坏一些工作流程,因为它提供的保护级别与屏幕读者或其他一些常见的任务相同,Arkin表示。随着每一个更新,公司正试图解决一些不兼容,以便Arkin表示,它可以默认打开该功能。然而,高度目标环境中的人们现在仍然可以将其打开并使用各种工作来访问所需的功能,他说。

就Flash Player而言,当前的目标是做更多的安全测试和有针对性的代码加固,以识别和修复潜在的缺陷,Arkin说。他说,根据平台合作伙伴以及Chrome和IE 10团队人员的反馈,ActionScript Virtual Machine 2 (AVM2)引擎也进行了一些小的修改,以使其更健壮地抵御损坏的字节码。

方案标题需要Adobe是因为世界上网络安全的重要性增加,从技术的角度来看,新类型的攻击出现,并从监管的角度来看,新的网络安全行政命令在美国和欧盟的网络安全策略,阿金说。

“现在创造一个首席安全官员立场是我们在外部沟通我们在内部安全的工作规模的方式,”他说。“它还有助于传达问题的重量和严重性以及Adobe如何解决它们。”

加入网络世界社区有个足球雷竞技app脸谱网linkedin对自己最关心的话题发表评论。
有关的:

Lucian Constantin是CSO的资深作家,主要研究信息安全、隐私和数据保护。

版权所有©2013.Raybet2

SD-WAN买家指南:向供应商(和您自己)提出的关键问题