La seguridad de los servicios alojados es la principal prioridad para la primera OSC de Adobe

Adobe Systems designó a Brad Arkin, director senior de seguridad de la compañía para productos y servicios, para convertirse en su primera OSC. Con un programa maduro de seguridad de productos ya implementado, las principales prioridades para el nuevo jefe de seguridad de Adobe son fortalecer la seguridad de los servicios alojados de la compañía y su infraestructura interna.

Jefe de seguridad de Adobe, Brad Arkin

Durante los últimos años, Arkin ha supervisado los esfuerzos de seguridad de los productos de software de Adobe como líder del Equipo de Ingeniería de Software Seguro de Adobe (ASSET) y del Equipo de Respuesta a Incidentes de Seguridad de Producto de Adobe (PSIRT). Durante este tiempo, Adobe Reader y Flash Player, dos aplicaciones que son atacadas con frecuencia por los atacantes debido a su gran base de usuarios, han recibido importantes mejoras de seguridad, incluidos mecanismos anti-explotación como sandboxing y actualizaciones automáticas silenciosas.

[Más información: cómo para eliminar el malware de su PC con Windows]

Mientras el trabajo de ingeniería de software seguro continuará, el enfoque de Arkin es fortalecer la seguridad de los servicios alojados de la compañía, como Adobe Creative Cloud y Adobe Marketing Cloud.

"Creo que nuestro ciclo de vida del producto seguro y el trabajo que hemos estado haciendo con nuestros productos empaquetados son muy maduros ", dijo Arkin. "Hemos estado haciendo esto durante años".

Sin embargo, la compañía no ha estado realizando servicios alojados durante el tiempo que ha estado desarrollando un software estándar, "por lo que continuamos mejorando nuestra supervisión y operación seguridad en esa área ", dijo Arkin.

" En este momento estoy más centrado en hacer todo lo posible para proteger los datos de nuestros clientes ", dijo. "Ya estamos haciendo un gran trabajo allí, pero aún hay más trabajo que hemos planeado y lo vamos a hacer, y es un proceso que nunca termina. Esto es parte de la ejecución de servicios alojados. "

Existe una hoja de ruta de seguridad para los servicios alojados y con cada nueva versión del código, que ocurre cada tres semanas, se agrega una nueva característica de seguridad o mejora o se endurece el código. hecho en esos servicios, dijo Arkin.

Además de mejorar la seguridad de sus servicios alojados, la compañía también planea enfocarse en fortalecer su infraestructura de TI y sistemas internos de alto valor contra ataques.

Los malos son en realidad creativo en los tipos de ataques que usan contra las empresas conectadas a Internet, dijo Arkin. "Estamos trabajando con proveedores de seguridad y otros en la comunidad de defensores para asegurarnos de que estamos estableciendo las defensas robustas en nuestra infraestructura interna".

La compañía ha experimentado ataques dirigidos sofisticados en el pasado, dijo Arkin. Un ejemplo es el incidente revelado por Adobe en septiembre de 2012, cuando los atacantes lograron poner en peligro uno de los servidores internos de firma de código de la compañía y lo utilizaron para firmar malware con un certificado digital de Adobe, dijo.

Este tipo de ataque, que apunta a la infraestructura de la empresa y no al código que produce ni a sus usuarios, representa un riesgo potencial que necesita ser gestionado y abordado, dijo Arkin. "Defender nuestras operaciones internas, así como nuestros servicios alojados externos y el código que estamos escribiendo, están todos dentro del alcance de las responsabilidades en las que estoy trabajando".

Desde su nuevo puesto, Arkin supervisará el trabajo del recientemente creado Equipo de Seguridad de Infraestructura de Ingeniería, que mantiene la infraestructura de creación, firma y lanzamiento de software de la compañía, además de la de los grupos ASSET y PSIRT. También supervisará Adobe Security Coordination Center, un grupo que coordina actividades de respuesta a incidentes de seguridad de red y de productos en toda la empresa.

Los esfuerzos de Adobe para fortalecer la seguridad de sus productos de software, especialmente los programas ampliamente utilizados, han tenido un impacto visible en el panorama de las amenazas en los últimos años. El número de ataques dirigidos a Adobe Reader utilizados en ataques activos ha disminuido considerablemente, lo que obligó a los atacantes a cambiar su enfoque a Java de Oracle y a otro software ampliamente utilizado. Un exploit desconocido de cero días previamente para Adobe Reader X que se encontró en febrero fue el primero en eludir el mecanismo de espacio aislado del programa desde su lanzamiento en 2010.

Flash Player ahora también está protegido con Google Chrome, Mozilla Firefox y Internet Explorer 10 en Windows 8, haciendo que la explotación exitosa de las vulnerabilidades de Flash Player sea mucho más difícil que en el pasado.

La opción de actualización automática silenciosa agregada a Flash Player y Reader y el trabajo de la compañía con socios de plataforma como Microsoft. Apple, Mozilla y Google, han llevado a la mayoría de los usuarios a actualizarse a las últimas y más seguras versiones de esos productos, dijo Arkin.

En el mercado de consumo, solo un pequeño número de usuarios todavía usa Adobe Reader 9 y menos "Más del 1 por ciento están ejecutando una versión anterior que ya no es compatible y no recibe actualizaciones de seguridad", dijo Arkin. La mayoría de los entornos empresariales se han actualizado a Reader XI, pero "hay más personas de las que me gustaría que sigan usando la versión 9", dijo Arkin.

La empresa está siendo muy agresiva para trasladar personas de la versión 9 de Reader a la XI o al menos a X, especialmente desde que la versión 9 llegará al final de la vida útil a fines de junio, dijo Arkin. "Estamos utilizando el mecanismo de actualización para impulsar actualizaciones a la última versión y no solo actualizaciones de seguridad para la versión instalada".

Idealmente, la compañía desea que las personas usen Reader XI porque ofrece el mejor nivel de seguridad. Reader XI tiene un segundo componente de sandboxing conocido como Protected View, además del primero introducido en Reader X, pero desafortunadamente esta característica no está activada de manera predeterminada.

La razón por la cual Reader XI no se envía con la Vista protegida habilitada por el predeterminado es que rompe algunos flujos de trabajo ya que el nivel de protección que ofrece es incompatible con los lectores de pantalla u otras tareas comunes como la impresión, dijo Arkin. Con cada actualización, la compañía está tratando de resolver algunas de las incompatibilidades para que pueda activar la función por defecto, dijo Arkin. Sin embargo, las personas en entornos altamente específicos todavía pueden activarlo ahora y usar varias soluciones para acceder a la funcionalidad requerida, dijo.

En lo que respecta a Flash Player, el objetivo inmediato es hacer más pruebas de seguridad y segmentar endurecimiento del código para identificar y corregir fallas potenciales, dijo Arkin. También se están realizando pequeños cambios en el motor ActionScript Virtual Machine 2 (AVM2) en función de los comentarios de los socios de la plataforma y las personas en los equipos de Chrome e IE 10, para hacerlo más robusto contra bytecode corruptos, dijo.

El título de CSO era necesario en Adobe porque la importancia de la ciberseguridad en el mundo ha aumentado, tanto desde un punto de vista técnico, con nuevos tipos de ataques apareciendo, y también desde un punto de vista regulatorio, con la nueva orden ejecutiva de ciberseguridad en los EE. UU. la estrategia de ciberseguridad en la UE, dijo Arkin.

"Crear un puesto de jefe de seguridad ahora es una forma de que podamos comunicar internamente la escala del trabajo que estamos haciendo en seguridad internamente", dijo. "También ayuda a transmitir el peso y la naturaleza seria de los problemas y cómo Adobe los enfrenta de frente".