Säkerhet för hostade tjänster är högsta prioritet för Adobes första CSO

Adobe Systems har utsett Brad Arkin, företagets chef för säkerhet för produkter och tjänster, att bli sin första CSO. Med ett modigt produktsäkerhetsprogram som redan är på plats, är toppprioriteringarna för Adobes nya säkerhetschef att stärka säkerheten för företagets värdtjänster och dess interna infrastruktur.

Adobe Security Officer Brad Arkin

Under de senaste åren, Arkin har övervakat Adobes programvaruprodukt säkerhetsinsatser som ledare för Adobe Secure Software Engineering Team (ASSET) och Adobe Product Security Incident Response Team (PSIRT). Under denna tid har Adobe Reader och Flash Player, två applikationer som ofta riktas mot angripare på grund av sin stora användarbas, fått signifikanta säkerhetsförbättringar, inklusive mekanismer för exploatering som sandboxning och tysta automatiska uppdateringar.

[Ytterligare läsning: Hur för att ta bort skadlig kod från din Windows-dator]

Medan det säkra mjukvaruteknikarbetet fortsätter, stärker Arkins fokus säkerheten hos företagets värdtjänster, som Adobe Creative Cloud och Adobe Marketing Cloud.

"Jag tror att vår säkra produktlivscykel och det arbete vi har gjort med våra krympklappade produkter är mycket moget, säger Arkin. "Vi har gjort det här i flera år nu."

Företaget har emellertid inte gjort värdtjänster så länge som det har utvecklats på hylla mjukvara ", så vi fortsätter att förbättra vår övervakning och drift säkerhet i det området, säger Arkin.

"Just nu är jag mest fokuserad på att göra vad vi kan för att skydda våra kunders data," sa han. "Vi har redan mycket arbete där, men det finns ännu mer arbete som vi har planerat och vi ska göra och det är en oändlig process. Det här är något som bara är en del av att driva värdtjänster. "

Det finns en säkerhetskarta för värdtjänster och med varje ny kodkod, som sker var tredje vecka, finns det en ny säkerhetsfunktion eller förbättring som läggs till eller någon kodhärdning är gjort i dessa tjänster, sade Arkin.

Förutom att öka säkerheten för sina värdtjänster planerar företaget också att fokusera på att stärka sin IT-infrastruktur och höga interna system mot attacker.

De dåliga killarna är verkligen kreativa i de typer attacker som de använder mot företag som är anslutna till Internet, säger Arkin. "Vi arbetar med säkerhetsleverantörer och andra i försvarargemenskapen för att se till att vi sätter det robusta försvaret på plats på vår interna infrastruktur."

Företaget har upplevt sofistikerade riktade attacker tidigare, sa Arkin. Ett exempel är den incident som Adobe visade i september 2012 när attacker lyckades kompromissa med ett av bolagets interna kodsigneringsservrar och använde det för att signera skadlig kod med ett digitalt Adobe-certifikat, sade han.

Denna typ av attack som riktar sig mot företagets infrastruktur och inte koden som den producerar eller dess användare, utgör en potentiell risk som måste hanteras och hanteras, sa Arkin. "Försvaret av vår interna verksamhet, såväl som våra externa värdtjänster och koden som vi skriver är alla inom ramen för ansvaret för det jag jobbar med."

Arkin kommer från sin nya position att övervaka Arbetet i det nyligen skapade Security Security Teamet, som upprätthåller företagets programvarubyggnad, signering och släpp infrastruktur, utöver Asset- och PSIRT-gruppernas. Han kommer också att övervaka Adobe Security Coordination Center, en grupp som samordnar både nätverks- och produktsäkerhetshanteringsinsatser inom företaget.

Adobes ansträngningar att stärka säkerheten för sina mjukvaruprodukter, särskilt de allmänt använda programmen, har haft en synlig inverkan på hotlandskapet de senaste åren. Antalet utnyttjanden som riktar sig mot Adobe Reader som används i aktiva attacker har minskat avsevärt och tvingar angriparna att byta fokus till Oracle Java och annan allmänt använd programvara. En nolldagars tidigare okänd exploatering för Adobe Reader X som hittades i februari var den första som kringgav programmets sandlåsmekanism sedan den släpptes tillbaka 2010.

Flash Player är nu också sandlåst under Google Chrome, Mozilla Firefox och Internet Explorer 10 på Windows 8, vilket gör det framgångsrikt att utnyttja Flash Player-sårbarheter mycket svårare än tidigare.

Den tysta auto-uppdateringsalternativet till Flash Player and Reader och det arbete företaget har gjort med plattformspartners som Microsoft, Apple, Mozilla och Google har lett till att majoriteten av användarna uppgraderar till de senaste och säkraste versionerna av dessa produkter, säger Arkin.

På konsumentmarknaden använder fortfarande bara ett fåtal användare Adobe Reader 9 och mindre än 1 procent kör en äldre version som inte längre stöds och inte får säkerhetsuppdateringar, sa Arkin. De flesta företagsmiljöer har uppgraderats till Reader XI, men "mer än jag skulle vilja använda fortfarande version 9", säger Arkin.

Företaget är mycket aggressivt för att flytta människor från Reader version 9 till version XI eller åtminstone X, speciellt sedan version 9 kommer att nå slutet av livet i slutet av juni, sade Arkin. "Vi använder uppdateringsmekanismen för att driva uppgraderingar till den senaste versionen och inte bara säkerhetsuppdateringar för den installerade versionen."

Företrädesvis vill företaget att människor använder Reader XI eftersom det ger den bästa säkerhetsnivån. Reader XI har en andra sandboxing komponent som kallas Protected View, förutom den som introducerades i Reader X, men tyvärr är den här funktionen inte aktiverad som standard.

Anledningen till att Reader XI inte skickas med Protected View aktiverad av standard är att det bryter vissa arbetsflöden eftersom skyddsnivån det erbjuder är oförenligt med skärmsläsare eller några andra vanliga uppgifter som utskrift, säger Arkin. Med varje uppdatering försöker företaget lösa några av inkompatibiliteterna så att det kan aktivera funktionen som standard, säger Arkin. Men människor i mycket riktade miljöer kan fortfarande slå på det nu och använda olika arbetsgrupper för att komma åt den nödvändiga funktionaliteten, sa han.

När det gäller Flash Player är det omedelbara målet att göra mer säkerhetstest och riktade kodhärdning för att identifiera och fixa potentiella brister, sa Arkin. Små förändringar görs även för ActionScript Virtual Machine 2 (AVM2) -motorn baserat på feedback från plattformspartner och personer i Chrome och IE 10-lagen, för att göra den mer robust mot korrupt bytecode, sa han. CSO-titel behövdes hos Adobe eftersom vikten av cybersäkerhet i världen har ökat, både från teknisk synvinkel, med nya typer av attacker som uppträder, och även från en rättssynpunkt, med den nya cybersecurity-ordern i USA och strategin för cybersäkerhet i EU, säger Arkin. "Att skapa en chef för säkerhetsansvarig nu är ett sätt för oss att kommunicera externt med omfattningen av det arbete vi gör på säkerhet internt", sa han. "Det bidrar också till att förmedla problemens vikt och allvarliga karaktär och hur Adobe tar itu med dem."