होस्टेड सेवाओं की सुरक्षा एडोब के पहले सीएसओ के लिए सर्वोच्च प्राथमिकता है

एडोब सिस्टम्स ने कंपनी के वरिष्ठ सुरक्षा निदेशक ब्रैड आर्किन को नियुक्त किया है उत्पादों और सेवाओं, अपने पहले सीएसओ बनने के लिए। परिपक्व उत्पाद सुरक्षा कार्यक्रम पहले से ही मौजूद है, एडोब के नए सुरक्षा प्रमुख के लिए शीर्ष प्राथमिकताओं कंपनी की होस्ट की गई सेवाओं और इसके आंतरिक आधारभूत संरचना की सुरक्षा को मजबूत करना है।

एडोब मुख्य सुरक्षा अधिकारी ब्रैड आर्किन

पिछले कई सालों से, आर्किन ने एडोब सिक्योर सॉफ्टवेयर इंजीनियरिंग टीम (एएसएसईटी) और एडोब प्रोडक्ट सिक्योरिटी इंकेंटेंट रिस्पांस टीम (पीएसआईआरटी) के नेता के रूप में एडोब के सॉफ्टवेयर उत्पाद सुरक्षा प्रयासों की निगरानी की है। इस समय के दौरान, एडोब रीडर और फ्लैश प्लेयर, दो बड़े अनुप्रयोग जिन्हें अक्सर अपने बड़े उपयोगकर्ता आधार के कारण हमलावरों द्वारा लक्षित किया जाता है, को सैंडबॉक्सिंग और चुप स्वचालित अपडेट जैसे विरोधी शोषण तंत्र सहित महत्वपूर्ण सुरक्षा सुधार प्राप्त हुए हैं।

[आगे पढ़ने: कैसे अपने विंडोज पीसी से मैलवेयर हटाने के लिए]

जबकि सुरक्षित सॉफ्टवेयर इंजीनियरिंग काम जारी रहेगा, आर्किन का फोकस कंपनी की होस्टेड सेवाओं की सुरक्षा को मजबूत कर रहा है, जैसे एडोब क्रिएटिव क्लाउड और एडोब मार्केटिंग क्लाउड।

"मुझे लगता है कि हमारे सुरक्षित उत्पाद जीवन चक्र और जो काम हम अपने संकुचित उत्पादों के साथ कर रहे हैं वह बहुत परिपक्व है, "आर्किन ने कहा। "हम अब वर्षों से ऐसा कर रहे हैं।"

हालांकि, कंपनी तब तक होस्टेड सेवाएं नहीं कर रही है जब तक कि यह ऑफ-द-शेल्फ सॉफ्टवेयर विकसित हो रही है, "इसलिए हम अपनी निगरानी और संचालन को जारी रखते हैं उस क्षेत्र में सुरक्षा, "आर्किन ने कहा।

" अभी हम उन चीजों को करने पर अधिक ध्यान केंद्रित कर रहे हैं जो हम अपने ग्राहकों के डेटा की रक्षा के लिए कर सकते हैं। " "हम पहले से ही बहुत सारे काम कर रहे हैं, लेकिन हमने और भी काम किया है जिसे हमने योजना बनाई है और हम करेंगे और यह कभी खत्म होने वाली प्रक्रिया नहीं है। यह ऐसा कुछ है जो होस्टेड सेवाओं को चलाने का एक हिस्सा है। "

होस्टेड सेवाओं के लिए एक सुरक्षा रोडमैप है और कोड की हर नई रिलीज के साथ, जो हर तीन सप्ताह में होता है, वहां एक नई सुरक्षा सुविधा या सुधार जोड़ा जा रहा है या कुछ कोड सख्त होने जा रहा है उन सेवाओं में बनाया गया, आर्किन ने कहा।

अपनी होस्टेड सेवाओं की सुरक्षा को बढ़ाने के अलावा, कंपनी भी आईटी इंफ्रास्ट्रक्चर और उच्च मूल्य वाले आंतरिक प्रणालियों को हमलों के खिलाफ मजबूत करने पर ध्यान केंद्रित करने की योजना बना रही है।

बुरे लोग वास्तव में हैं आर्किन ने कहा कि वे इंटरनेट से जुड़े कंपनियों के खिलाफ हमलों के प्रकारों में रचनात्मक हैं। "हम सुरक्षा विक्रेताओं और दूसरों के साथ डिफेंडर समुदाय में काम कर रहे हैं यह सुनिश्चित करने के लिए कि हम अपने आंतरिक आधारभूत संरचना पर मजबूत सुरक्षा डाल रहे हैं।"

कंपनी ने अतीत में परिष्कृत लक्षित हमलों का अनुभव किया है, अरकिन ने कहा। एक उदाहरण यह है कि एडोब द्वारा सितंबर 2012 में खुलासा किया गया था, जब हमलावर कंपनी के आंतरिक कोड-हस्ताक्षर सर्वरों में से एक समझौता करने में कामयाब रहे और एडोब डिजिटल सर्टिफिकेट के साथ मैलवेयर पर हस्ताक्षर करने के लिए इसका इस्तेमाल किया।

इस प्रकार का हमला, जो आर्किन ने कहा कि कंपनी के बुनियादी ढांचे को लक्षित करता है और न कि उसके द्वारा उत्पादित कोड या उसके उपयोगकर्ता, संभावित जोखिम का प्रतिनिधित्व करते हैं जिन्हें प्रबंधित और संबोधित करने की आवश्यकता होती है। "हमारे आंतरिक परिचालनों के साथ-साथ हमारी बाहरी होस्ट की गई सेवाओं और कोड जो हम लिख रहे हैं, की रक्षा करने के लिए जिम्मेदारियों के दायरे में हैं।"

अपनी नई स्थिति से, आर्किन पर्यवेक्षण करेंगे हाल ही में निर्मित इंजीनियरिंग इंफ्रास्ट्रक्चर सिक्योरिटी टीम का काम, जो कंपनी की सॉफ्टवेयर बिल्डिंग को बनाए रखता है, एएसईएसटी और पीएसआईआरटी समूहों के अलावा बुनियादी ढांचे पर हस्ताक्षर और रिहाई करता है। वह एडोब सिक्योरिटी कोऑर्डिनेशन सेंटर, एक समूह की भी निगरानी करेगा जो कंपनी भर में नेटवर्क और उत्पाद सुरक्षा घटना प्रतिक्रिया गतिविधियों दोनों का समन्वय करता है।

अपने सॉफ्टवेयर उत्पादों, विशेष रूप से व्यापक रूप से उपयोग किए जाने वाले कार्यक्रमों की सुरक्षा को मजबूत करने के एडोब के प्रयासों ने हाल के वर्षों में खतरे के परिदृश्य पर एक प्रभावशाली प्रभाव डाला है। सक्रिय हमलों में उपयोग किए जाने वाले एडोब रीडर को लक्षित करने वाले शोषण की संख्या में कमी आई है, हमलावरों को ओरेकल के जावा और अन्य व्यापक रूप से उपयोग किए जाने वाले सॉफ़्टवेयर पर अपना ध्यान केंद्रित करने के लिए मजबूर किया गया है। फरवरी में पाया गया एडोब रीडर एक्स के लिए शून्य-दिन पहले अज्ञात-शोषण 2010 में रिलीज होने के बाद प्रोग्राम के सैंडबॉक्स तंत्र को बाईपास करने वाला पहला व्यक्ति था।

फ्लैश प्लेयर अब Google क्रोम, मोज़िला फ़ायरफ़ॉक्स और विंडोज 8 पर इंटरनेट एक्सप्लोरर 10, फ्लैश प्लेयर भेद्यता के सफल शोषण को अतीत की तुलना में अधिक कठिन बना रहा है।

मूक ऑटो-अपडेट विकल्प फ़्लैश प्लेयर और रीडर में जोड़ा गया है और कंपनी ने माइक्रोसॉफ्ट जैसे मंच भागीदारों के साथ काम किया है, ऐप्पल ने कहा कि ऐप्पल, मोज़िला और Google ने उन उत्पादों के नवीनतम और सबसे सुरक्षित संस्करणों में अपग्रेड करने वाले अधिकांश उपयोगकर्ताओं को जन्म दिया है।

उपभोक्ता बाजार में, केवल कुछ ही उपयोगकर्ता एडोब रीडर 9 और कम का उपयोग कर रहे हैं Arkin ने कहा कि 1 प्रतिशत से अधिक पुराने संस्करण चला रहे हैं जो अब समर्थित नहीं है और सुरक्षा अद्यतन प्राप्त नहीं कर रहा है। आर्किंक ने कहा, "अधिकांश एंटरप्राइज़ वातावरण रीडर एक्सआई में अपग्रेड किए गए हैं, फिर भी" मैं जितना चाहूं उतना अधिक संस्करण 9 संस्करण का उपयोग कर रहा हूं। "99

कंपनी रीडर संस्करण 9 से संस्करण XI या कम से कम एक्स तक लोगों को स्थानांतरित करने के लिए बहुत आक्रामक है।, विशेष रूप से संस्करण 9 जून के अंत में जीवन के अंत तक पहुंच जाएगा, आर्किन ने कहा। "हम नवीनतम संस्करण में उन्नयन को धक्का देने के लिए अद्यतन तंत्र का उपयोग कर रहे हैं न कि स्थापित संस्करण के लिए केवल सुरक्षा अद्यतन।"

आदर्श रूप से, कंपनी लोगों को रीडर इलेवन का उपयोग करना चाहती है क्योंकि यह सुरक्षा का सर्वोत्तम स्तर प्रदान करती है। रीडर एक्सआई में एक दूसरा सैंडबॉक्सिंग घटक है जिसे संरक्षित दृश्य के रूप में जाना जाता है, इसके अलावा रीडर एक्स में पहली बार पेश किया गया है, लेकिन दुर्भाग्यवश यह सुविधा डिफ़ॉल्ट रूप से चालू नहीं होती है।

रीडर XI को संरक्षित दृश्य द्वारा सक्षम नहीं किया गया है डिफ़ॉल्ट यह है कि यह कुछ वर्कफ़्लोज़ तोड़ता है क्योंकि यह सुरक्षा के स्तर को स्क्रीन पाठकों या कुछ अन्य सामान्य कार्यों जैसे मुद्रण के साथ असंगत है, अरकिन ने कहा। प्रत्येक अद्यतन के साथ, कंपनी कुछ असंगतताओं को हल करने की कोशिश कर रही है ताकि यह सुविधा को डिफ़ॉल्ट रूप से चालू कर सके, आर्किन ने कहा। हालांकि, अत्यधिक लक्षित वातावरण में लोग अभी भी इसे चालू कर सकते हैं और आवश्यक कार्यक्षमता तक पहुंचने के लिए विभिन्न कार्य-आस-पास का उपयोग कर सकते हैं।

जहां तक ​​फ़्लैश प्लेयर का संबंध है, तत्काल लक्ष्य अधिक सुरक्षा परीक्षण और लक्षित करना है आर्किन ने कहा कि संभावित त्रुटियों की पहचान करने और उन्हें ठीक करने के लिए कोड सख्त बनाना। उन्होंने कहा कि भ्रष्ट बाइटकोड के खिलाफ इसे और मजबूत बनाने के लिए प्लेटफार्म भागीदारों और क्रोम और आईई 10 टीमों के लोगों के फीडबैक के आधार पर एक्शनस्क्रिप्ट वर्चुअल मशीन 2 (एवीएम 2) इंजन में छोटे बदलाव किए जा रहे हैं।

एडोब में सीएसओ शीर्षक की आवश्यकता थी क्योंकि अमेरिका में नए साइबर सुरक्षा कार्य के आदेश के साथ, तकनीकी दृष्टि से, नए प्रकार के हमलों के साथ-साथ नियामक दृष्टिकोण से, दुनिया में साइबर सुरक्षा के महत्व में वृद्धि हुई है। यूरोपीय संघ में साइबर सुरक्षा रणनीति, अरकिन ने कहा।

"एक मुख्य सुरक्षा अधिकारी की स्थिति बनाना अब हमारे लिए आंतरिक रूप से सुरक्षा के काम के पैमाने पर संचार करने का एक तरीका है।" "यह मुद्दों के वजन और गंभीर प्रकृति को व्यक्त करने में मदद करता है और कैसे एडोब उनसे निपट रहा है।"