KESELAMATAN DIUTAMAKAN
Adobe Systems telah melantik Brad Arkin, pengarah kanan syarikat keselamatan untuk produk dan perkhidmatan, menjadi CSO pertama. Dengan program keselamatan produk dewasa yang sudah sedia ada, keutamaan teratas untuk ketua keselamatan baru Adobe adalah untuk memperkuat keamanan perkhidmatan yang dihoskan oleh syarikat dan infrastruktur dalamannya.
Selama beberapa tahun yang lalu, Arkin telah menyelia usaha keselamatan produk perisian Adobe sebagai ketua Pasukan Kejuruteraan Adobe Secure Software (ASSET) dan Pasukan Respons Insiden Keselamatan Produk Adobe (PSIRT). Pada masa ini, Adobe Reader dan Flash Player, dua aplikasi yang sering disasarkan oleh penyerang kerana pangkalan pengguna yang besar, telah mendapat peningkatan keselamatan yang ketara termasuk mekanisme anti eksploitasi seperti sandboxing dan kemas kini automatik yang senyap.
Walaupun kerja-kerja kejuruteraan perisian yang selamat akan diteruskan, tumpuan Arkin mengukuhkan keselamatan perkhidmatan yang dihoskan oleh syarikat, seperti Adobe Creative Cloud dan Adobe Marketing Cloud.
kitaran hayat produk kami yang selamat dan kerja yang kami lakukan dengan produk shrinkwrapped kami sangat matang, "kata Arkin. "Kami telah melakukan ini selama bertahun-tahun sekarang."
Walau bagaimanapun, syarikat itu tidak melakukan perkhidmatan tuan rumah selagi ia telah membangunkan perisian luar biasa, "jadi kami terus meningkatkan pemantauan dan operasi kami Keselamatan di kawasan itu, "kata Arkin.
" Sekarang ini saya lebih tertumpu untuk melakukan perkara-perkara yang kami dapat untuk melindungi data pelanggan kami, "katanya. "Kami banyak melakukan kerja hebat di sana, tetapi ada lebih banyak kerja yang kami telah merancang dan kami akan lakukan dan ini proses yang tidak pernah berakhir. Ini adalah sesuatu yang hanya menjadi sebahagian daripada perkhidmatan yang dihoskan. "
Terdapat pelan keselamatan untuk perkhidmatan yang dihoskan dan dengan setiap pelepasan kod baru, yang berlaku setiap tiga minggu, terdapat ciri keselamatan atau pembaikan baru yang ditambah atau beberapa kod pengerasan
Selain meningkatkan keamanan perkhidmatan yang dihoskan, syarikat juga merancang untuk memperkuat infrastruktur IT dan sistem dalaman bernilai tinggi terhadap serangan.
kreatif dalam jenis serangan yang mereka gunakan terhadap syarikat-syarikat yang berkaitan dengan Internet, kata Arkin. "Kami sedang bekerjasama dengan vendor keselamatan dan pihak lain dalam pertahanan untuk memastikan kami meletakkan pertahanan yang mantap di atas infrastruktur dalaman kami."
Syarikat itu telah mengalami serangan sasaran yang canggih pada masa lalu, kata Arkin. Salah satu contohnya ialah insiden yang didedahkan oleh Adobe pada September 2012, apabila penyerang berjaya mengompromi salah satu pelayan penandaan kod dalaman syarikat itu dan menggunakannya untuk menandatangani perisian hasad dengan sijil digital Adobe, katanya.
Jenis serangan mensasarkan infrastruktur syarikat dan bukan kod yang dihasilkan atau penggunanya, mewakili potensi risiko yang perlu diuruskan dan ditangani, kata Arkin. "Mempertahankan operasi dalaman kami, serta perkhidmatan tuan rumah kami yang luar dan kod yang kami tulis, semuanya berada dalam skop tanggungjawab untuk apa yang saya kerjakan."
Dari kedudukan barunya, Arkin akan mengawasi kerja Pasukan Keselamatan Infrastruktur Kejuruteraan yang baru dibuat, yang mengekalkan pembinaan perisian syarikat, menandatangani dan melepaskan infrastruktur, sebagai tambahan kepada kumpulan ASSET dan PSIRT. Beliau juga akan mengawasi Pusat Penyelarasan Keselamatan Adobe, sebuah kumpulan yang menyelaras aktiviti tindak balas kejadian rangkaian dan keselamatan produk di seluruh syarikat.
Usaha Adobe untuk mengukuhkan keselamatan produk perisiannya, terutama sekali program yang digunakan secara meluas, mempunyai kesan yang nyata terhadap landskap ancaman pada tahun-tahun kebelakangan ini. Bilangan eksploit yang menyasarkan Adobe Reader yang digunakan dalam serangan aktif telah menurun dengan ketara, memaksa penyerang menukar fokus mereka ke Java Oracle dan perisian lain yang banyak digunakan. Eksploitasi yang tidak diketahui sebelum ini yang tidak diketahui sebelum ini untuk Adobe Reader X yang dijumpai pada bulan Februari adalah yang pertama untuk memintas mekanisme kotak pasir program sejak dibebaskan pada tahun 2010.
Flash Player kini juga di kotak pasir di bawah Google Chrome, Mozilla Firefox dan Internet Explorer 10 pada Windows 8, yang menjadikan eksploitasi kelemahan Flash Player berjaya lebih sukar daripada sebelumnya.
Pilihan kemas kini auto senyap ditambah kepada Flash Player dan Reader dan kerja yang dilakukan oleh syarikat dengan rakan platform seperti Microsoft, Apple, Mozilla dan Google, telah menyebabkan kebanyakan pengguna naik taraf kepada versi produk terbaru dan paling selamat, kata Arkin.
Di pasaran pengguna, hanya sebilangan kecil pengguna yang masih menggunakan Adobe Reader 9 dan kurang daripada 1 peratus menjalankan versi lama yang tidak lagi disokong dan tidak menerima kemas kini keselamatan, kata Arkin. Kebanyakan persekitaran perusahaan telah dinaik taraf kepada Reader XI, namun "lebih banyak orang daripada yang saya mahu masih menggunakan versi 9," kata Arkin.
Syarikat itu sangat agresif untuk memindahkan orang dari pembaca versi 9 ke versi XI atau sekurang-kurangnya X, terutamanya sejak versi 9 akan mencapai akhir hayat pada akhir bulan Jun, kata Arkin. "Kami menggunakan mekanisme kemas kini untuk menaikkan taraf kepada versi terkini dan bukan sekadar kemas kini keselamatan untuk versi yang dipasang."
Idealnya, syarikat itu ingin orang menggunakan Reader XI kerana ia menawarkan tahap keselamatan yang terbaik. Reader XI mempunyai komponen sandboxing kedua yang dikenali sebagai Protected View, selain yang pertama kali diperkenalkan di Reader X, tapi sayangnya ciri ini tidak diaktifkan secara lalai.
Alasan mengapa Reader XI tidak dikirimkan dengan Perlindungan View yang diaktifkan oleh lalai adalah bahawa ia memecahkan beberapa aliran kerja kerana tahap perlindungan yang ditawarkannya tidak serasi dengan pembaca skrin atau beberapa tugas lain seperti percetakan, kata Arkin. Dengan setiap kemas kini, syarikat sedang cuba menyelesaikan beberapa ketidaksesuaian supaya ia dapat menjadikan ciri tersebut secara lalai, kata Arkin. Walau bagaimanapun, orang yang sangat tertumpu di persekitaran masih boleh menghidupkannya sekarang dan menggunakan pelbagai kerja untuk mengakses fungsi yang diperlukan.
Setakatnya dengan Flash Player, matlamat serta-merta adalah melakukan lebih banyak pengujian dan sasaran keselamatan kod pengerasan untuk mengenal pasti dan membetulkan kelemahan berpotensi, kata Arkin. Perubahan kecil juga dilakukan pada mesin ActionScript Virtual Machine 2 (AVM2) berdasarkan maklum balas dari rakan kongsi platform dan orang-orang di Chrome dan pasukan IE 10, untuk menjadikannya lebih mantap dengan bytecode yang rosak, katanya. Tajuk CSO diperlukan di Adobe kerana pentingnya keselamatan siber di dunia telah meningkat, baik dari sudut pandangan teknikal, dengan jenis serangan baru yang muncul, dan juga dari sudut pandangan peraturan, dengan perintah eksekutif siber baru di AS dan strategi keselamatan siber di EU, kata Arkin.
"Mencipta kedudukan ketua pegawai keselamatan sekarang adalah satu cara bagi kita untuk menyampaikan secara eksternal skala kerja yang kita lakukan untuk keselamatan secara dalaman," katanya. "Ia juga membantu menyampaikan berat dan sifat serius isu-isu dan bagaimana Adobe menangani mereka di kepala."
Sebagai sebahagian daripada merancang untuk beralih daripada menyediakan perisian di premis kepada gabungan perisian dan perkhidmatan yang dihoskan, Microsoft awal tahun depan akan mula menawarkan suite produktiviti perniagaan yang dihoskan termasuk Exchange Online, Office SharePoint Online, Office Communications Online dan Mesyuarat Live Office untuk AS $ 15 Rakan-rakan perkhidmatan yang dihoskan oleh Microsoft sudah dapat menawarkan pelan
Secara individu, Microsoft akan menjual Exchange Online yang dihoskan untuk $ 10 per pengguna, per bulan; SharePoint Online untuk $ 7.25 setiap pengguna, sebulan; Pejabat Komunikasi Online untuk $ 2.50 setiap pengguna, sebulan; dan Office Live Meeting Online untuk $ 4.50 setiap pengguna, sebulan
Perisian Oz juga membawa perkhidmatan e-mel Internet dari AOL, Yahoo, Google dan Microsoft ke telefon bimbit. direka bentuk untuk bekerja pada pelbagai jenis telefon, termasuk telefon bimbit rendah. Walaupun sebahagian besar penyedia e-mel Web mempunyai pilihan pelayar atau berasaskan perisian untuk mengakses perkhidmatan mereka dari telefon bimbit, beberapa tawaran tersebut adalah rumit untuk digunakan dan tidak tersedia pada setiap jenis telefon. Selain itu, para pengguna klien Oz boleh mengak
Perolehan perisian Oz dapat membantu Nokia lebih baik meneruskan strateginya untuk memberi tumpuan kepada perkhidmatan Internet pengguna. Pada hari Isnin, pembuat telefon bimbit mengumumkan bahawa ia akan berhenti mengembangkan platform e-mel mudah alih Intellisync yang berfokus pada perniagaan, sebaliknya bergantung kepada produk e-mel perusahaan yang membentuk vendor lain termasuk Microsoft, IBM dan Cisco.
Microsoft menggunakan acara rakan kongsi untuk menunjukkan aplikasi Office Web, versi host Office suite, dan untuk mempromosikan penggunaan persekitaran "perisian plus perkhidmatan" hibrid - sesuatu yang telah ditolak untuk beberapa waktu - untuk pelanggan yang ingin beralih dari perisian premis ke arah beberapa perkhidmatan dalam talian.
Presiden Bahagian Perniagaan Microsoft, Stephen Elop memberitahu rakan-rakan pada pameran itu bahawa sembilan daripada 10 pelanggan mereka mahu menggunakan perkhidmatan yang dihoskan dalam Produktiviti Perniagaan Online (BPOS) Microsoft, tetapi pelanggan harus mempunyai pilihan antara membeli perisian atau perkhidmatan, atau menggunakan gabungan kedua-duanya.