يعتبر أمن الخدمات المستضافة أولوية قصوى لمنظمات المجتمع المدني الأولى في نظام Adobe

قامت Adobe Systems بتعيين براد آركين ، كبير مديري أمن الشركة المنتجات والخدمات ، لتصبح أول CSO. مع وجود برنامج أمان منتج ناضج قائم بالفعل ، تتمثل الأولويات الرئيسية لرئيس الأمن الجديد لشركة Adobe في تعزيز أمن الخدمات التي تستضيفها الشركة والبنية التحتية الداخلية لها.

ضابط الأمن في شركة Adobe Brad Arkin

خلال السنوات العديدة الماضية ، أشرف أركين على جهود أمن منتجات برمجيات Adobe كقائد لفريق Adobe Software Software Engineering (ASSET) وفريق الاستجابة لحوادث الأمن في منتج Adobe (PSIRT). خلال هذا الوقت ، تلقى Adobe Reader و Flash Player ، وهما تطبيقان يستهدفان بشكل متكرر من قبل المهاجمين بسبب قاعدتهما الكبيرة من المستخدمين ، تحسينات أمنية كبيرة بما في ذلك آليات مكافحة الاستغلال مثل وضع الحماية والتحديثات التلقائية الصامتة.

[المزيد من القراءة: How لإزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

أثناء استمرار العمل في هندسة البرمجيات الآمنة ، يعمل التركيز على تعزيز أمن الخدمات التي تستضيفها الشركة ، مثل Adobe Creative Cloud و Adobe Marketing Cloud.

"أعتقد أن وقال آركين: "إن دورة حياة منتجاتنا الآمنة والعمل الذي نقوم به من خلال منتجاتنا المتقلصة أمران ناضجان للغاية". "نحن نقوم بذلك منذ سنوات."

ومع ذلك ، لم تكن الشركة تقوم بخدمات مستضافة طالما أنها تطور برنامجًا جاهزًا ، "لذلك نواصل تعزيز عمليات المراقبة والتشغيل قال أركين: "في الوقت الحالي ، أنا أركز بشكل كبير على القيام بالأمور الممكنة لحماية بيانات عملائنا". "إننا نقوم بالكثير من العمل الرائع بالفعل ، ولكن هناك المزيد من العمل الذي خططنا له وسنقوم به وهي عملية لا تنتهي أبدًا. هذا هو مجرد جزء من تشغيل الخدمات المستضافة. "

هناك خارطة طريق أمنية للخدمات المستضافة ومع كل إصدار جديد من التعليمات البرمجية ، والذي يحدث كل ثلاثة أسابيع ، هناك ميزة أمان جديدة أو تحسين إضافة أو بعض التعمية البرمجية في هذه الخدمات ، قال أركان.

بالإضافة إلى تعزيز أمن الخدمات المستضافة ، تخطط الشركة أيضًا للتركيز على تعزيز البنية التحتية لتقنية المعلومات والأنظمة الداخلية عالية القيمة ضد الهجمات.

الأشرار هم حقا وقال أركين إنه مبدع في أنواع الهجمات التي يستخدمونها ضد الشركات المرتبطة بالإنترنت. "نحن نعمل مع البائعين الأمنيين وغيرهم في مجتمع المدافعين للتأكد من أننا نضع الدفاعات القوية في مكانها على البنية التحتية الداخلية لدينا."

شهدت الشركة هجمات مستهدفة متطورة في الماضي ، قال أركين. أحد الأمثلة على ذلك هو الحادث الذي كشفت عنه شركة Adobe في سبتمبر 2012 ، عندما تمكن المهاجمون من اختراق أحد خوادم توقيع الشفرات الداخلية للشركة واستخدمه لتوقيع البرامج الضارة مع شهادة Adobe الرقمية ، حسبما قال.

هذا النوع من الهجوم ، والذي وقال أركين إنه يستهدف البنية التحتية للشركة وليس الشفرة التي تنتجها أو مستخدموها ، ويمثل خطرا محتملا يحتاج إلى إدارة ومعالجة. "إن الدفاع عن عملياتنا الداخلية ، فضلاً عن خدماتنا الخارجية المستضافة والرمز الذي نكتبه ، كلها تقع في نطاق مسؤوليات ما أعمل عليه."

من منصبه الجديد ، سيشرف Arkin على عمل فريق هندسة البنية التحتية الهندسية الذي تم إنشاؤه مؤخرًا ، والذي يحافظ على بناء برامج الشركة ، وتوقيع البنية التحتية وإصدارها ، بالإضافة إلى مجموعة ASSET و PSIRT. وسيشرف أيضًا على مركز Adobe Security Coordination ، وهو مجموعة تقوم بتنسيق أنشطة الاستجابة لحوادث أمن الشبكات والمنتجات عبر الشركة.

جهود Adobe لتعزيز أمن منتجاتها البرمجية ، وخاصة البرامج المستخدمة على نطاق واسع ، كان لها تأثير واضح على مشهد التهديد في السنوات الأخيرة. انخفض عدد عمليات الاستغلال التي تستهدف Adobe Reader المستخدم في الهجمات النشطة إلى حد كبير ، مما اضطر المهاجمين إلى تحويل تركيزهم إلى Java Java والبرامج الأخرى المستخدمة على نطاق واسع. استغل برنامج Adobe Reader X الذي لم يكن معروفًا من قبل لمدة يوم واحد والذي تم العثور عليه في فبراير هو الأول الذي تجاوز آلية رمل البرنامج منذ إطلاقه في عام 2010.

أصبح Flash Player الآن في وضع الحماية تحت Google Chrome و Mozilla Firefox و Internet Explorer 10 على Windows 8 ، مما يجعل الاستغلال الناجح لثغرات Flash Player أصعب بكثير مما كانت عليه في الماضي.

تمت إضافة خيار التحديث التلقائي الصامت إلى Flash Player و Reader والعمل الذي قامت به الشركة مع شركاء النظام الأساسي مثل Microsoft ، وأدت شركة آبل وموزيلا وجوجل إلى قيام غالبية المستخدمين بالترقية إلى أحدث الإصدارات وأكثرها أمانًا من تلك المنتجات.

في السوق الاستهلاكية ، لا يزال عدد قليل من المستخدمين يستخدمون Adobe Reader 9 وأقل وقال أركين إن 1 في المائة يشغلون نسخة قديمة لم تعد مدعومة ولا تتلقى تحديثات أمنية. لقد تمت ترقية معظم بيئات المؤسسات إلى القارئ الحادي عشر ، ولكن "عدد الأشخاص الذين لا يزالون يستخدمون الإصدار 9 ، أكثر من العدد الذي أريده."

<>> تعمل الشركة بقوة على نقل الأشخاص من الإصدار 9 من Reader إلى الإصدار XI أو على الأقل X لا سيما أن الإصدار 9 سيصل إلى نهاية العمر في نهاية يونيو ، قال أركين. "نحن نستخدم آلية التحديث لدفع الترقيات إلى الإصدار الأحدث وليس فقط التحديثات الأمنية للنسخة المثبتة."

من الناحية المثالية ، ترغب الشركة في استخدام الأشخاص للقارئ الحادي عشر لأنها تقدم أفضل مستوى من الأمان. يحتوي Reader XI على عنصر sandboxing آخر يعرف باسم Protected View ، بالإضافة إلى العنصر الذي تم تقديمه لأول مرة في Reader X ، ولكن للأسف لم يتم تشغيل هذه الميزة افتراضيًا.

السبب في عدم شحن Reader XI باستخدام طريقة العرض المحمية التي تم تمكينها بواسطة الافتراضي هو أنه يقطع بعض سير العمل لأن مستوى الحماية التي يقدمها غير متوافق مع قارئات الشاشة أو بعض المهام الأخرى الأخرى مثل الطباعة ، قال أركين. مع كل تحديث ، تحاول الشركة حل بعض حالات عدم التوافق حتى تتمكن من تشغيل الميزة بشكل افتراضي ، حسبما قال أركين. ومع ذلك ، يمكن للناس في البيئات المستهدفة بشكل كبير تشغيلها الآن واستخدام العديد من المهام للوصول إلى الوظائف المطلوبة.

فيما يتعلق ببرنامج Flash Player ، فإن الهدف المباشر هو إجراء المزيد من الاختبارات الأمنية والاستهداف وقال اركين ان التصلب في الشفرات من أجل تحديد وتحديد العيوب المحتملة. وقال إنه يتم إجراء تغييرات صغيرة أيضًا على محرك ActionScript Virtual Machine 2 (AVM2) استنادًا إلى التعليقات الواردة من شركاء النظام الأساسي والأشخاص في فرق Chrome و IE 10 ، وذلك لجعلها أكثر قوة ضد نظام التشفير الفاسد ، على حد قول

كان مطلوبًا الحصول على لقب CSO في Adobe لأن أهمية الأمن السيبراني في العالم قد ازدادت ، من الناحية الفنية ، مع ظهور أنواع جديدة من الهجمات ، وأيضاً من وجهة نظر تنظيمية ، مع صدور الأمر التنفيذي الجديد للأمن السيبراني في الولايات المتحدة و وقال أركين إن استراتيجية الأمن السيبراني في الاتحاد الأوروبي.

"إن إيجاد منصب كبير لضابط أمن الآن هو وسيلة لنا للتواصل خارجياً مع حجم العمل الذي نقوم به بشأن الأمن داخليًا". "كما أنه يساعد على نقل الوزن والطبيعة الخطيرة للقضايا وكيف تقوم Adobe بمواجهتها."