A segurança dos serviços hospedados é prioridade para o primeiro CSO da Adobe

A Adobe Systems nomeou Brad Arkin, diretor sênior de segurança da empresa para produtos e serviços, para se tornar sua primeira OSC. Com um programa maduro de segurança de produtos já em vigor, as principais prioridades do novo chefe de segurança da Adobe são fortalecer a segurança dos serviços hospedados da empresa e sua infraestrutura interna.

Diretor de segurança da Adobe Brad Arkin

Nos últimos anos, Arkin supervisionou os esforços de segurança de produtos de software da Adobe como líder da Equipe de Engenharia de Software Seguro da Adobe (ASSET) e da Equipe de Resposta a Incidentes de Segurança de Produtos da Adobe (PSIRT). Durante esse período, o Adobe Reader e o Flash Player, dois aplicativos que são frequentemente visados ​​por invasores devido à grande base de usuários, receberam melhorias de segurança significativas, incluindo mecanismos de anti-exploração, como sandbox e atualizações automáticas silenciosas. para remover malware do seu PC Windows]

Enquanto o trabalho de engenharia de software seguro continuará, o foco da Arkin é fortalecer a segurança dos serviços hospedados da empresa, como a Adobe Creative Cloud e a Adobe Marketing Cloud.

“Acho que nosso ciclo de vida de produto seguro e o trabalho que temos feito com nossos produtos embalados por retalhos é muito maduro ”, disse Arkin. “Fazemos isso há anos.”

No entanto, a empresa não tem feito serviços hospedados desde que está desenvolvendo software de prateleira, “por isso continuamos a aprimorar nosso monitoramento e operação segurança nessa área ”, disse Arkin.

“ No momento, estou mais focado em fazer o que podemos para proteger os dados de nossos clientes ”, disse ele. “Nós estamos fazendo um ótimo trabalho lá, mas há ainda mais trabalho que planejamos e faremos e é um processo interminável. Isso é algo que faz parte da execução de serviços hospedados. ”

Há um roteiro de segurança para serviços hospedados ea cada nova versão de código, que acontece a cada três semanas, há um novo recurso de segurança ou melhoria sendo adicionado ou algum endurecimento de código Além de aumentar a segurança de seus serviços hospedados, a empresa também planeja se concentrar no fortalecimento de sua infra-estrutura de TI e sistemas internos de alto valor contra ataques.

Os bandidos são realmente criativos nos tipos de ataques que eles usam contra empresas conectadas à Internet, disse Arkin. “Estamos trabalhando com fornecedores de segurança e outros na comunidade de defensores para garantir que estamos colocando as robustas defesas em ação em nossa infraestrutura interna.”

A empresa sofreu ataques direcionados sofisticados no passado, disse Arkin. Um exemplo é o incidente divulgado pela Adobe em setembro de 2012, quando invasores conseguiram comprometer um dos servidores internos de assinatura de código da empresa e o usaram para assinar malware com um certificado digital da Adobe, disse ele.

Esse tipo de ataque, que A empresa tem como alvo a infraestrutura da empresa e não o código que ela produz ou seus usuários, representa um risco potencial que precisa ser gerenciado e tratado, disse Arkin. “Defender nossas operações internas, bem como nossos serviços hospedados externos e o código que estamos escrevendo, estão no escopo das responsabilidades sobre o que eu estou trabalhando.”

De sua nova posição, Arkin irá supervisionar o trabalho da recém-criada Equipe de Segurança de Infraestrutura de Engenharia, que mantém o software da empresa construindo, assinando e liberando infraestrutura, além dos grupos ASSET e PSIRT. Ele também supervisionará o Centro de Coordenação de Segurança da Adobe, um grupo que coordena as atividades de resposta a incidentes de segurança de redes e produtos em toda a empresa.

Os esforços da Adobe para fortalecer a segurança de seus produtos de software, especialmente os amplamente utilizados, tiveram um impacto visível no cenário de ameaças nos últimos anos. O número de explorações direcionadas ao Adobe Reader usado em ataques ativos diminuiu consideravelmente, forçando os invasores a mudar seu foco para o Java da Oracle e outros softwares amplamente usados. Um exploit desconhecido do dia anterior para o Adobe Reader X, encontrado em fevereiro, foi o primeiro a ignorar o mecanismo de sandbox do programa desde seu lançamento em 2010.

O Flash Player agora também está em sandbox no Google Chrome, Mozilla Firefox e Internet Explorer 10 no Windows 8, tornando a exploração bem sucedida de vulnerabilidades do Flash Player muito mais difícil do que no passado.

A opção de atualização automática silenciosa adicionada ao Flash Player e ao Reader e o trabalho da empresa com parceiros de plataforma como a Microsoft, Apple, Mozilla e Google levaram a maioria dos usuários a atualizar para as versões mais recentes e seguras desses produtos, disse Arkin. No mercado de consumo, apenas um pequeno número de usuários ainda está usando o Adobe Reader 9 e menos de 1 por cento estão executando uma versão mais antiga que não é mais suportada e não recebe atualizações de segurança, disse Arkin. A maioria dos ambientes corporativos atualizou para o Reader XI, mas "mais pessoas do que eu gostariam ainda estão usando a versão 9", disse Arkin.

A empresa está sendo muito agressiva para mover pessoas da versão 9 para a versão XI ou pelo menos X, especialmente desde que a versão 9 chegará ao fim da vida no final de junho, disse Arkin. “Estamos usando o mecanismo de atualização para forçar atualizações para a versão mais recente e não apenas atualizações de segurança para a versão instalada.”

Idealmente, a empresa gostaria que as pessoas usassem o Reader XI porque ele oferece o melhor nível de segurança. O Reader XI possui um segundo componente de área restrita conhecido como Modo de Exibição Protegido, além do primeiro introduzido no Reader X, mas infelizmente esse recurso não está ativado por padrão.

O motivo pelo qual o Reader XI não é fornecido com o Modo de Exibição Protegido ativado por O padrão é que ele interrompe alguns fluxos de trabalho, já que o nível de proteção oferecido é incompatível com os leitores de tela ou com algumas outras tarefas comuns, como a impressão, disse Arkin. Com cada atualização, a empresa está tentando resolver algumas das incompatibilidades para que possa ativar o recurso por padrão, disse Arkin. No entanto, pessoas em ambientes altamente segmentados ainda podem ativá-lo agora e usar várias alternativas para acessar a funcionalidade necessária, disse ele.

No que diz respeito ao Flash Player, o objetivo imediato é fazer mais testes de segurança e direcionados endurecimento de código, a fim de identificar e corrigir falhas potenciais, disse Arkin. Pequenas mudanças também estão sendo feitas no mecanismo ActionScript Virtual Machine 2 (AVM2) baseado no feedback de parceiros de plataformas e pessoas das equipes do Chrome e do IE 10, para torná-lo mais robusto contra código de bytes corruptos, disse ele. O título de CSO era necessário na Adobe porque a importância da segurança cibernética no mundo aumentou, tanto do ponto de vista técnico, com novos tipos de ataques aparecendo, como também do ponto de vista regulatório, com a nova ordem executiva de cibersegurança nos EUA e nos EUA. estratégia de segurança cibernética na UE, disse Arkin.

“Criar uma posição de diretor de segurança agora é uma maneira de comunicar externamente a escala do trabalho que estamos fazendo em segurança internamente”, disse ele. “Também ajuda a transmitir o peso e a natureza séria dos problemas e como a Adobe os enfrenta de frente.”