Keamanan layanan yang dihosting adalah prioritas utama untuk Adobe CSO pertama

Adobe Systems telah menunjuk Brad Arkin, direktur senior perusahaan keamanan untuk produk dan layanan, untuk menjadi CSO pertama. Dengan program keamanan produk yang matang sudah ada, prioritas utama untuk kepala keamanan baru Adobe adalah untuk memperkuat keamanan layanan host perusahaan dan infrastruktur internalnya.

Kepala petugas keamanan Adobe Brad Arkin

Selama beberapa tahun terakhir, Arkin telah mengawasi upaya keamanan produk perangkat lunak Adobe sebagai pemimpin Tim Rekayasa Perangkat Lunak Aman Adobe (ASSET) dan Tim Respons Insiden Keamanan Produk Adobe (PSIRT). Selama ini, Adobe Reader dan Flash Player, dua aplikasi yang sering ditargetkan oleh penyerang karena basis penggunanya besar, telah menerima peningkatan keamanan yang signifikan termasuk mekanisme anti-eksploitasi seperti sandboxing dan pembaruan otomatis senyap.

[Bacaan lebih lanjut: Bagaimana untuk menghapus malware dari PC Windows Anda

Sementara pekerjaan rekayasa perangkat lunak yang aman akan terus berlanjut, fokus Arkin adalah memperkuat keamanan layanan yang dihosting perusahaan, seperti Adobe Creative Cloud dan Adobe Marketing Cloud.

"Saya pikir bahwa Siklus hidup produk kami yang aman dan pekerjaan yang telah kami lakukan dengan produk kami yang menyusut sangat matang, ”kata Arkin. “Kami sudah melakukan ini selama bertahun-tahun sekarang.”

Namun, perusahaan belum melakukan layanan yang di-host selama itu telah mengembangkan perangkat lunak di luar rak, "jadi kami terus meningkatkan pemantauan dan operasi kami keamanan di daerah itu, "kata Arkin.

" Saat ini saya paling fokus melakukan hal-hal yang dapat kami lakukan untuk melindungi data pelanggan kami, "katanya. “Kami sudah melakukan banyak pekerjaan hebat di sana, tetapi ada lebih banyak lagi pekerjaan yang telah kami rencanakan dan akan kami lakukan dan itu adalah proses yang tidak pernah berakhir. Ini adalah sesuatu yang hanya bagian dari menjalankan layanan yang dihosting. "

Ada peta jalan keamanan untuk layanan yang dihosting dan dengan setiap rilis kode baru, yang terjadi setiap tiga minggu, ada fitur keamanan baru atau peningkatan yang ditambahkan atau beberapa kode yang mengeras menjadi dibuat dalam layanan tersebut, kata Arkin.

Selain meningkatkan keamanan layanan yang di-host, perusahaan juga berencana untuk fokus pada penguatan infrastruktur TI dan sistem internal bernilai tinggi terhadap serangan.

Orang-orang jahat benar-benar kreatif dalam jenis serangan yang mereka gunakan terhadap perusahaan yang terhubung ke Internet, kata Arkin. "Kami bekerja dengan vendor keamanan dan yang lain di komunitas pembela HAM untuk memastikan bahwa kami menempatkan pertahanan kuat pada infrastruktur internal kami."

Perusahaan telah mengalami serangan yang ditargetkan canggih di masa lalu, kata Arkin. Salah satu contoh adalah insiden yang diungkapkan oleh Adobe pada bulan September 2012, ketika penyerang berhasil berkompromi dengan salah satu server penandatanganan kode internal perusahaan dan menggunakannya untuk menandatangani malware dengan sertifikat digital Adobe, katanya.

Jenis serangan ini, yang target infrastruktur perusahaan dan bukan kode yang dihasilkan atau penggunanya, mewakili potensi risiko yang perlu dikelola dan ditangani, kata Arkin. "Membela operasi internal kami, serta layanan yang di-host eksternal dan kode yang kami tulis, semuanya dalam lingkup tanggung jawab untuk apa yang saya kerjakan."

Dari posisi barunya, Arkin akan mengawasi pekerjaan Tim Keamanan Infrastruktur Teknik yang baru dibentuk, yang mempertahankan pembangunan perangkat lunak perusahaan, menandatangani dan melepaskan infrastruktur, selain itu dari ASET dan kelompok-kelompok PSIRT. Dia juga akan mengawasi Pusat Koordinasi Keamanan Adobe, sebuah kelompok yang mengoordinasikan aktivitas respon insiden keamanan jaringan dan produk di seluruh perusahaan.

Upaya Adobe untuk memperkuat keamanan produk perangkat lunaknya, terutama program yang banyak digunakan, memiliki dampak yang terlihat pada lanskap ancaman dalam beberapa tahun terakhir. Jumlah eksploitasi penargetan Adobe Reader yang digunakan dalam serangan aktif telah berkurang secara signifikan, memaksa penyerang untuk mengalihkan fokus mereka ke Java Oracle dan perangkat lunak lain yang banyak digunakan. Eksploitasi zero-day-previous-unknown sebelumnya untuk Adobe Reader X yang ditemukan pada bulan Februari adalah yang pertama kali mem-bypass mekanisme kotak pasir program sejak diluncurkan kembali pada tahun 2010.

Flash Player sekarang juga di-sandbox di bawah Google Chrome, Mozilla Firefox dan Internet Explorer 10 pada Windows 8, membuat eksploitasi kerentanan Flash Player yang sukses jauh lebih sulit daripada di masa lalu.

Opsi pembaruan otomatis yang diam ditambahkan ke Flash Player dan Reader dan pekerjaan yang telah dilakukan perusahaan dengan mitra platform seperti Microsoft, Apple, Mozilla, dan Google, telah menyebabkan sebagian besar pengguna meningkatkan versi terbaru dan paling aman dari produk tersebut, kata Arkin.

Di pasar konsumen, hanya sejumlah kecil pengguna yang masih menggunakan Adobe Reader 9 dan lebih sedikit dari 1 persen menjalankan versi lama yang tidak lagi didukung dan tidak menerima pembaruan keamanan, kata Arkin. Sebagian besar lingkungan perusahaan telah ditingkatkan ke Reader XI, namun "lebih banyak orang daripada yang saya inginkan masih menggunakan versi 9," kata Arkin.

Perusahaan ini sangat agresif untuk memindahkan orang-orang dari Reader versi 9 ke versi XI atau setidaknya X, terutama karena versi 9 akan mencapai akhir kehidupan di akhir Juni, kata Arkin. "Kami menggunakan mekanisme pembaruan untuk mendorong peningkatan ke versi terbaru dan bukan hanya pembaruan keamanan untuk versi yang terinstal."

Idealnya, perusahaan ingin orang-orang menggunakan Reader XI karena menawarkan tingkat keamanan terbaik. Pembaca XI memiliki komponen kotak pasir kedua yang dikenal sebagai Tampilan Terproteksi, selain yang pertama kali diperkenalkan di Pembaca X, tapi sayangnya fitur ini tidak diaktifkan secara default.

Alasan mengapa Pembaca XI tidak dikirimkan dengan Tampilan Terproteksi yang diaktifkan oleh defaultnya adalah ia merusak beberapa alur kerja karena tingkat perlindungan yang ditawarkan tidak sesuai dengan pembaca layar atau beberapa tugas umum lainnya seperti pencetakan, kata Arkin. Dengan setiap pembaruan, perusahaan mencoba menyelesaikan beberapa ketidaksesuaian sehingga dapat mengaktifkan fitur secara default, kata Arkin. Namun, orang-orang di lingkungan yang sangat bertarget masih dapat mengaktifkannya sekarang dan menggunakan berbagai pekerjaan untuk mengakses fungsi yang diperlukan, katanya.

Sejauh menyangkut Flash Player, tujuan langsungnya adalah untuk melakukan pengujian keamanan dan ditargetkan lebih lanjut. pengerasan kode untuk mengidentifikasi dan memperbaiki kekurangan potensial, kata Arkin. Perubahan kecil juga dilakukan pada mesin ActionScript Virtual Machine 2 (AVM2) berdasarkan umpan balik dari mitra platform dan orang-orang di Chrome dan IE 10 tim, untuk membuatnya lebih kuat terhadap bytecode yang rusak, katanya.

Judul CSO diperlukan di Adobe karena pentingnya cybersecurity di dunia telah meningkat, baik dari sudut pandang teknis, dengan jenis serangan baru yang muncul, dan juga dari sudut pandang peraturan, dengan tatanan keamanan cybersecurity baru di AS dan strategi cybersecurity di Uni Eropa, kata Arkin.

"Menciptakan posisi kepala petugas keamanan sekarang adalah cara bagi kita untuk berkomunikasi secara eksternal skala pekerjaan yang kita lakukan pada keamanan secara internal," katanya. "Ini juga membantu untuk menyampaikan bobot dan sifat serius dari masalah dan bagaimana Adobe menangani mereka secara langsung."