Adobe 최초의 CSO에 호스팅 서비스의 보안이 최우선 과제

Adobe Systems는 Brad Arkin, 제품 및 서비스를 최초로 CSO로 채택했습니다. 성숙한 제품 보안 프로그램이 이미 갖추어져 있기 때문에 Adobe의 새로운 보안 책임자가 최우선 적으로 고려해야 할 사항은 회사의 호스팅 서비스 및 내부 인프라의 보안을 강화하는 것입니다.

Adobe 수석 보안 담당자 Brad Arkin

지난 몇 년 동안 Arkin은 Adobe 보안 소프트웨어 엔지니어링 팀 (ASSET) 및 Adobe 제품 보안 사건 대응 팀 (PSIRT)의 리더로서 Adobe의 소프트웨어 제품 보안 노력을 감독했습니다. 이 기간 동안 사용자 기반이 크기 때문에 공격자가 자주 목표로 삼는 두 가지 응용 프로그램 인 Adobe Reader 및 Flash Player는 샌드 박싱 및 자동 자동 업데이트와 같은 악용 방지 메커니즘을 포함하여 중요한 보안 향상을 얻었습니다.

[추가 정보: Windows PC에서 악성 코드를 제거하는 방법]

안전한 소프트웨어 엔지니어링 작업이 계속되는 동안 Arkin은 Adobe Creative Cloud 및 Adobe Marketing Cloud와 같은 회사 호스팅 서비스의 보안을 강화하고 있습니다.

" 우리의 안전한 제품 수명주기 및 수축 포장 제품으로 수행 한 작업은 매우 성숙했습니다. "Arkin의 말이다. "우리는 지금 수년간이 작업을 해오 고 있습니다."그러나 회사는 상용 소프트웨어를 개발하는 동안 호스트 서비스를 수행하지 않았습니다. "그래서 우리는 계속해서 모니터링과 운영을 향상 시켰습니다. 그는 "현재 고객 데이터를 보호하기 위해 할 수있는 일들에 집중하고있다"고 말했다. "우리는 이미 많은 훌륭한 일을하고 있습니다. 그러나 우리가 계획하고 수행해야 할 작업이 많이 있으며 끝이없는 과정입니다. 이것은 호스팅 서비스를 운영하는 일부일뿐입니다. "

호스팅 서비스에 대한 보안 로드맵과 3 주마다 발생하는 새로운 코드 배포마다 새로운 보안 기능이나 개선 사항이 추가되거나 코드 강화

호스팅 서비스의 보안 강화 외에도 IT 인프라 및 고 부가가치 내부 시스템을 공격으로부터 강화하는 데 주력 할 계획이다.

악의적 인 사람들은 실제로 Arkin은 인터넷에 연결된 회사들에 대해 사용하는 공격 유형에 창조적이라고 지적했다. "우리는 보안 업체와 수비수 커뮤니티의 다른 사람들과 협력하여 내부 인프라에서 확실한 방어 시스템을 구축하고 있습니다."Arkin은 과거에 정교한 표적 공격을 경험했다고 말했습니다. 한 예로, 공격자가 회사의 내부 코드 서명 서버 중 하나를 손상시키고 Adobe 디지털 인증서로 악성 프로그램에 서명하는 데 사용한 2012 년 9 월에 Adobe가 공개 한 사건이 있습니다.

Arkin은 자사가 생산하는 코드 나 사용자가 아닌, 회사의 인프라를 목표로하고 있으며,이를 관리하고 해결해야하는 잠재적 위험을 나타냅니다. "우리의 내부 운영뿐만 아니라 외부 호스팅 서비스 및 우리가 작성한 코드는 모두 제가 수행중인 업무의 책임 범위에 있습니다."990 그의 새로운 직책에서 Arkin은 ASSET 및 PSIRT 그룹의 소프트웨어 구축, 서명 및 릴리스 인프라를 유지 관리하는 최근 작성된 엔지니어링 인프라 보안 팀의 작업. 그는 회사 전체에서 네트워크 및 제품 보안 사고 대응 활동을 조정하는 그룹 인 Adobe Security Coordination Center도 감독하게됩니다.

소프트웨어 제품, 특히 널리 사용되는 프로그램의 보안을 강화하려는 Adobe의 노력은 최근 몇 년 동안 위협 환경에 눈에 띄는 영향을 미쳤습니다. 능동적 공격에 사용 된 Adobe Reader를 대상으로하는 악용 사례가 크게 감소하여 공격자가 오라클의 Java 및 기타 널리 사용되는 소프트웨어로 집중할 수있게되었습니다. 2 월에 발견 된 Adobe Reader X에 대한 제로 데이 이전에 알려지지 않은 악용 사례는 2010 년 출시 이후 처음으로 프로그램의 샌드 박스 메커니즘을 우회했습니다.

Flash Player는 이제 Google 크롬, Mozilla Firefox 및 Windows 8상의 Internet Explorer 10은 과거보다 훨씬 더 어려운 Flash Player 취약점을 성공적으로 악용했습니다.

Flash Player 및 Reader에 자동 자동 업데이트 옵션이 추가되었으며 회사에서 Microsoft, 애플, 모질라, 구글 등 다수의 사용자들이 가장 안전하고 최신 버전의 제품으로 업그레이드 할 수있게되었다고 Arkin은 말했다.

소비자 시장에서는 여전히 적은 수의 사용자 만이 여전히 Adobe Reader 9를 사용하고있다. 1 % 이상이 더 이상 지원되지 않으며 보안 업데이트를받지 못하는 이전 버전을 실행하고 있다고 Arkin은 말했습니다. Arkin은 "대부분의 기업 환경은 Reader XI로 업그레이드되었지만"내가 바라는 것보다 많은 사람들이 여전히 버전 9를 사용하고있다 "고 말했다. Arkin은 Reader 버전 9에서 버전 XI 또는 X 이상으로 사람들을 이동시키는 데 매우 적극적이다. 특히 버전 9는 6 월말에 수명이 다할 것이기 때문에, Arkin은 말했다. "우리는 업데이트 메커니즘을 사용하여 설치된 버전의 보안 업데이트뿐만 아니라 최신 버전으로 업그레이드를 추진하고 있습니다."

회사는 최상의 보안 수준을 제공하므로 사람들이 Reader XI를 사용하는 것이 이상적입니다. Reader XI에는 Reader X에 처음 도입 된 것 외에도 Protected View라고하는 두 번째 샌드 박스 구성 요소가 있지만 불행하게도이 기능은 기본적으로 설정되어 있지 않습니다.

Reader XI가 보호 된보기를 사용할 수있는 상태로 제공되지 않는 이유는 다음과 같습니다. Arkin은 기본적으로 화면 보호기 또는 인쇄와 같은 일부 일반 작업과 호환되지 않기 때문에 일부 워크 플로를 깨뜨린다고 전했다. 모든 업데이트를 통해 회사는 일부 비 호환성 문제를 해결하기 위해 기본적으로이 기능을 활성화 할 수 있다고 Arkin은 말했습니다. 그러나 고도의 목표가 정해져있는 사람들은 여전히 ​​기능을 켜고 다양한 기능을 사용하여 필요한 기능에 액세스 할 수 있다고 그는 덧붙였다.

Flash Player에 관해서는 즉각적인 목표는 더 많은 보안 테스트를 수행하고 잠재적 인 결함을 확인하고 수정하기 위해 코드를 강화한다고 Arkin이 전했다. 그는 "플래시 가상 머신 2 (AVM2) 엔진은 크롬 및 IE 10 팀의 플랫폼 파트너 및 사람들의 피드백을 토대로 부패한 바이트 코드에 대해보다 강력한 성능을 제공 할 수 있도록 약간의 변경이 이루어지고 있다고 덧붙였다. Adobe에서 CSO 타이틀이 필요했습니다. 새로운 유형의 공격이 등장하는 기술적 인 관점 에서뿐만 아니라 미국의 새로운 사이버 보안 집행 명령과 규제 관점에서도 전세계의 사이버 보안의 중요성이 증가했기 때문입니다. Arkin은 말했다.

"현재 보안 책임자 직책을 세우는 것은 우리가 내부적으로 보안 작업을 수행하는 규모를 외부에서 의사 소통하는 방법이다"라고 그는 말했다. "또한 문제의 무게와 심각성을 전달하고 Adobe가 어떻게 대처해야 하는지를 알려주는데도 도움이됩니다."