La sicurezza dei servizi ospitati è la massima priorità per il primo CSO di Adobe

Adobe Systems ha nominato Brad Arkin, senior director of security per prodotti e servizi, per diventare il suo primo CSO. Con un programma di protezione dei prodotti maturo già in essere, le priorità principali del nuovo capo della sicurezza di Adobe sono il rafforzamento della sicurezza dei servizi ospitati dell'azienda e della sua infrastruttura interna.

Responsabile della sicurezza di Adobe Brad Arkin

Negli ultimi anni, Arkin ha supervisionato le attività di sicurezza dei prodotti software di Adobe in qualità di leader del team Adobe Secure Software Engineering (ASSET) e del team Adobe Response Security Incident Response (PSIRT). Durante questo periodo, Adobe Reader e Flash Player, due applicazioni che sono spesso oggetto di attacchi da parte di utenti malintenzionati a causa della loro vasta base di utenti, hanno ricevuto significativi miglioramenti della sicurezza, inclusi meccanismi anti-exploitation come sandboxing e aggiornamenti automatici silenziosi.

[Ulteriori letture: How per rimuovere malware dal PC Windows]

Mentre proseguirà il lavoro di ingegneria del software sicuro, l'attenzione di Arkin sta rafforzando la sicurezza dei servizi in hosting dell'azienda, come Adobe Creative Cloud e Adobe Marketing Cloud.

"Penso che il nostro ciclo di vita sicuro del prodotto e il lavoro che abbiamo svolto con i nostri prodotti termoretraibili sono molto maturi ", ha affermato Arkin. "Lo stiamo facendo da anni."

Tuttavia, la società non ha svolto servizi in hosting per tutto il tempo in cui ha sviluppato software "pronto all'uso", quindi continuiamo a migliorare il monitoraggio e l'operatività sicurezza in quella zona ", ha detto Arkin.

" In questo momento sono più concentrato nel fare le cose che possiamo per proteggere i dati dei nostri clienti ", ha affermato. "Stiamo già facendo un ottimo lavoro, ma c'è ancora più lavoro che abbiamo programmato e che faremo ed è un processo senza fine. Questo è qualcosa che fa parte dei servizi in hosting. "

Esiste una roadmap sulla sicurezza per i servizi ospitati e con ogni nuova release di codice, che avviene ogni tre settimane, c'è una nuova funzionalità di sicurezza o miglioramenti o un rafforzamento del codice essendo realizzato in questi servizi, ha affermato Arkin.

Oltre a migliorare la sicurezza dei servizi ospitati, la società prevede anche di concentrarsi sul rafforzamento dell'infrastruttura IT e dei sistemi interni di alto valore contro gli attacchi.

I cattivi sono davvero creativo nei tipi di attacchi che usano contro le aziende collegate a Internet, ha detto Arkin. "Stiamo collaborando con i fornitori di sicurezza e altri nella comunità dei difensori per assicurarci che stiamo implementando le robuste difese sulla nostra infrastruttura interna."

La società ha subito attacchi mirati e sofisticati in passato, ha detto Arkin. Un esempio è l'incidente rivelato da Adobe nel settembre 2012, quando gli hacker sono riusciti a compromettere uno dei server interni di firma del codice dell'azienda e l'hanno usato per firmare malware con un certificato digitale Adobe, ha detto.

Questo tipo di attacco, che si rivolge l'infrastruttura della società e non il codice che produce o i suoi utenti, rappresenta un potenziale rischio che deve essere gestito e affrontato, ha detto Arkin. "La difesa delle nostre operazioni interne, così come i nostri servizi esterni ospitati e il codice che stiamo scrivendo, sono tutti nell'ambito delle responsabilità per ciò su cui sto lavorando."

Dalla sua nuova posizione, Arkin supervisionerà il lavoro del team di sicurezza dell'infrastruttura ingegneristica di recente creazione, che mantiene l'infrastruttura di sviluppo, firma e rilascio della società, oltre a quella dei gruppi ASSET e PSIRT. Supervisionerà inoltre Adobe Security Coordination Center, un gruppo che coordina le attività di risposta agli incidenti di sicurezza di rete e prodotto in tutta l'azienda.

Gli sforzi di Adobe per rafforzare la sicurezza dei suoi prodotti software, in particolare i programmi ampiamente utilizzati, hanno avuto un impatto visibile sul panorama delle minacce negli ultimi anni. Il numero di exploit che hanno come target Adobe Reader utilizzato negli attacchi attivi è diminuito considerevolmente, costringendo gli hacker a spostare il loro focus su Oracle Java e su altri software ampiamente utilizzati. Un exploit zero day-before-unknown per Adobe Reader X trovato in febbraio è stato il primo a bypassare il meccanismo sandbox del programma dal suo rilascio nel 2010.

Flash Player ora è anche sandbox con Google Chrome, Mozilla Firefox e Internet Explorer 10 su Windows 8, sfruttando con successo le vulnerabilità di Flash Player molto più difficile rispetto al passato.

L'opzione di aggiornamento automatico silenzioso aggiunta a Flash Player e Reader e il lavoro svolto dalla società con partner di piattaforme come Microsoft, Apple, Mozilla e Google hanno portato la maggior parte degli utenti ad aggiornare le versioni più recenti e sicure di tali prodotti, ha affermato Arkin.

Nel mercato consumer, solo un numero limitato di utenti utilizza ancora Adobe Reader 9 e meno oltre l'1% utilizza una versione precedente che non è più supportata e non riceve aggiornamenti di sicurezza, ha affermato Arkin. La maggior parte degli ambienti aziendali è stata aggiornata a Reader XI, tuttavia "più persone di quanto vorrei continuassero a utilizzare la versione 9", ha affermato Arkin.

La società è molto aggressiva nel trasferire persone da Reader versione 9 alla versione XI o almeno X, soprattutto perché la versione 9 arriverà alla fine del mondo alla fine di giugno, ha detto Arkin. "Stiamo utilizzando il meccanismo di aggiornamento per trasferire gli aggiornamenti alla versione più recente e non solo agli aggiornamenti di sicurezza per la versione installata."

Idealmente, la società vorrebbe che la gente utilizzasse Reader XI perché offre il miglior livello di sicurezza. Reader XI ha un secondo componente sandboxing noto come Vista protetta, oltre a quello introdotto per la prima volta in Reader X, ma sfortunatamente questa funzione non è attivata per impostazione predefinita.

Il motivo per cui Reader XI non viene fornito con Vista protetta abilitata da l'impostazione predefinita è che interrompe alcuni flussi di lavoro poiché il livello di protezione che offre è incompatibile con gli screen reader o con altri compiti comuni come la stampa, ha detto Arkin. Con ogni aggiornamento, la società sta cercando di risolvere alcune delle incompatibilità in modo che possa attivare la funzione di default, ha detto Arkin. Tuttavia, le persone in ambienti altamente mirati possono ancora accenderlo ora e utilizzare vari work-around per accedere alle funzionalità richieste, ha detto.

Per quanto riguarda Flash Player, l'obiettivo immediato è fare più test di sicurezza e mirati indurimento del codice al fine di identificare e correggere potenziali difetti, ha detto Arkin. Piccole modifiche sono state apportate al motore ActionScript Virtual Machine 2 (AVM2) in base al feedback dei partner della piattaforma e delle persone nei team di Chrome e IE 10, al fine di renderlo più efficace contro il bytecode corrotto, ha affermato.

The Adobe aveva bisogno del titolo CSO perché l'importanza della sicurezza informatica nel mondo è aumentata, sia da un punto di vista tecnico, con nuovi tipi di attacchi, sia dal punto di vista normativo, con il nuovo ordine esecutivo della sicurezza informatica negli Stati Uniti e Strategia di sicurezza informatica nell'UE, Arkin ha detto.

"Creare una posizione di capo della sicurezza ora è un modo per comunicare all'esterno la portata del lavoro che stiamo facendo internamente alla sicurezza", ha affermato. "Aiuta anche a trasmettere il peso e la natura seria dei problemi e come Adobe li sta affrontando a testa alta."