Обеспечение безопасности в продуктах и услугах Adobe.
Проактивный подход к безопасности данных распространяется на каждый уголок компании. Он влияет на каждый этап разработки, от создания продукта до поставки, и повышает удобство работы при каждом использовании продукта или услуги Adobe. Мы считаем, что каждое действие или взаимодействие с данными должно осуществляться через призму безопасности, чтобы обеспечить безопасность, конфиденциальность и доступность данных наших клиентов.
Жизненный цикл продукта Adobe Secure (SPLC)
Наши организации, занимающиеся продуктами и услугами, используют процесс Adobe Secure Product Lifecycle (SPLC) - набор из нескольких сотен строгих мер безопасности, охватывающих методы, процессы и инструменты разработки программного обеспечения. Adobe SPLC интегрирован в несколько этапов жизненного цикла продукта, от проектирования и разработки до обеспечения качества, тестирования и развертывания. Исследователи безопасности ASSET предоставляют конкретные инструкции SPLC для каждого ключевого продукта или услуги.
Команды безопасности Adobe
Специальная команда отраслевых экспертов по созданию, развертыванию и мониторингу защищенных приложений и сервисов, Adobe Secure Software Engineering Team (ASSET) работает с отдельными командами по безопасности и эксплуатации продуктов Adobe, чтобы помочь достичь наивысшего уровня безопасности для продуктов и услуг Adobe. Эксперты ASSET консультируются с командами разработчиков, чтобы дать рекомендации по передовым методам обеспечения безопасности и создать четкие, воспроизводимые, многофункциональные процессы для разработки, развертывания, эксплуатации и реагирования на инциденты.
Обучение безопасности
Ключевой частью Adobe SPLC является программа сертификации программной безопасности ASSET, которая включает в себя постоянное обучение инженеров и рабочих групп для повышения уровня знаний в области безопасности во всей компании и повышения общей безопасности наших продуктов и услуг. Программа предоставляет всем в Adobe основу для понимания основ безопасности и служит путем для людей, которые хотят стать лидерами безопасности. Участники достигают различных уровней сертификации, называемых «поясами», после завершения личного и онлайн-обучения, а также проектов индивидуальной безопасности.
Непрерывная автоматизированная практика безопасности.
Используя правильный уровень процессов и процедур в сочетании с нашей общей стратегией безопасности, мы обеспечиваем надежную основу для непрерывного управления рисками и помогаем обеспечить безопасность наших операций. Наши процессы и средства управления также предназначены для поддержки многих структур соответствия и следования стандартным производственным практикам.
Системный мониторинг и логирование
Наши команды Ops Security используют набор критериев мониторинга для определения критических стандартов безопасности и доступности для производственных сред наших сервисов. Сотрудники службы безопасности Ops используют сторонние инструменты мониторинга для тщательного отслеживания любых всплесков активности, превышающих предварительно определенные пороговые значения. Мы также развертываем датчики системы обнаружения вторжений (IDS) в критических точках сети, чтобы обнаружить и предупредить нашу команду безопасности о несанкционированных попытках доступа к сети. Оповещения срабатывают для аномалий, и Ops Security использует установленные процедуры для их устранения и любых потенциальных угроз безопасности, которые они могут представлять.
Контроль доступа
Мы используем меры контроля доступа, чтобы наименьшее количество операторов имело доступ к ограниченным данным. Ролевый доступ определяется и развертывается для ограничения привилегированного доступа к информационным ресурсам на основе концепции наименьших привилегий. Авторизация требует одобрения руководства, непосредственно ответственного за конфиденциальность, целостность и доступность затронутых ресурсов.
Автоматизация
В максимально возможной степени мы автоматизируем процессы и процедуры, чтобы помочь повысить эффективность, обеспечить согласованность и повторяемость, а также уменьшить количество ошибок персонала. Мы используем автоматизацию в таких областях, как управление настройками и исправлениями, создание и усиление базовых образов, а также мониторинг системы.
Управление изменениями
Мы внедряем комплексный процесс управления изменениями, чтобы гарантировать, что изменения в сети или производственной среде документируются,
отслеживаются, тестируются, авторизуются и утверждаются до перехода к производству. Мы следим за состоянием оборудования, операционной системы и конфигураций, а также регистрируем и выполняем изменения контролируемым образом. Мы также оцениваем и проверяем журналы на предмет возможных неправильных настроек.
Активное взаимодействие с сообществом безопасности.
Мы гордимся нашими отраслевыми партнерскими отношениями и другими совместными усилиями по обеспечению безопасности. Когда мы инвестируем в обмен идеями, мы помогаем обеспечить соответствие всех наших продуктов и услуг передовым методам обеспечения безопасности, а также повысить безопасность как наших клиентов, так и всего компьютерного сообщества.
Члены групп Adobe Security активно участвуют в следующих отраслевых организациях:
Bay Area CSO Council
Центр интернет-безопасности (CIS)
Альянс облачной безопасности (CSA
Executive Women Forum (EWF))
Форум групп реагирования на инциденты и обеспечения безопасности (FIRST)
Ассоциация аудита и контроля информационных систем (ISACA) Ассоциация безопасности информационных систем (ISSA)
Международная информация Консорциум по сертификации системной безопасности (ISC) 2
Рабочая группа по борьбе с злоупотреблениями, вредоносными программами и мобильными приложениями (M3AAWG)
Программа активной защиты Microsoft (MAPP)
Открытый форум по безопасности веб-приложений (OWASP) Software Assurance Forum для обеспечения совершенства кода (SAFECode)Stop.Think
Adobe соблюдает многие отраслевые стандарты и правила, чтобы помочь сохранить ваши данные в безопасности.
Безопасность от физического воздействия. Мы внедрили основополагающую структуру процессов и средств управления безопасностью, чтобы помочь защитить нашу инфраструктуру, приложения и сервисы, а также помочь нам соблюдать ряд сертификатов, стандартов и правил безопасности.
Отраслевые стандарты и правила.
По мере того, как новые стандарты безопасности и нормативные требования разрабатываются и набирают обороты в отрасли, мы пересматриваем их и принимаем те из них, которые актуальны для наших клиентов. В зависимости от конкретной службы Adobe, она может соответствовать или предоставлять клиентам возможность соблюдать некоторые или все следующие сертификаты, стандарты и правила.
Структура общего контроля.
Устойчивая безопасность.
Common Controls Framework (CCF) от Adobe - это набор мер безопасности и контроля соответствия, которые мы реализуем в наших командах по работе с продуктами, а также в различных частях нашей инфраструктуры и групп приложений. Чтобы создать CCF, мы проанализировали критерии наиболее распространенных сертификатов безопасности и рационализировали более 1000 требований.
Мы создали CCF, чтобы командам было легко наследовать возможности управления от других частей организации. Эта простота позволяет нам постоянно внедрять устойчивые меры безопасности.
Зарегистрируйтесь сейчас и загрузите версию с открытым исходным кодом Common Controls Framework (CCF) от Adobe. Узнайте, как наши эксперты по соответствию согласовали все элементы управления с различными нормативными актами и отраслевыми стандартами для создания действий для групп по продуктам и поддержке. Мы приглашаем вас использовать эту платформу, чтобы ускорить и стандартизировать ваши текущие усилия по обеспечению соответствия.
Быть отзывчивым на угрозы и проблемы безопасности.
Мы постоянно следим за ландшафтом угроз, обмениваемся знаниями с экспертами по безопасности по всему миру, оперативно решаем инциденты, когда они происходят, и передаем информацию нашим командам разработчиков, чтобы помочь обеспечить высочайший уровень защиты безопасности для продуктов и услуг Adobe.
Текущие усилия Adobe
Мониторинг
Мы используем решения для обеспечения безопасности информации и управления событиями (SIEM) для использования и анализа различных источников данных. Информация, которую мы собираем, помогает нам обнаруживать потенциальные угрозы и принимать разумные, обоснованные решения о надлежащих реакциях на каждую угрозу.
Угроза разведки
Мы получаем информацию об угрозах из отраслевых источников и собираем собственные. Мы используем комбинацию проверок автоматизации и сотрудников, чтобы отфильтровать эту информацию и определить необходимый порядок действий.
Обмен знаниями
Мы сотрудничаем с другими технологическими компаниями, а также с отраслевыми организациями, такими как FIRST.ORG, для обмена знаниями и информацией об угрозах безопасности.
Сообщение о проблеме и решение
Когда происходит инцидент с продуктом или услугой Adobe, либо сообщенный нам третьими лицами, либо обнаруженный Adobe, команда
реагирования на инциденты Adobe работает с командами разработчиков Adobe, чтобы идентифицировать, смягчить и решить проблему как можно быстрее.
Криминалистика
У нас имеется современная криминалистическая лаборатория, которая проводит глубокие исследования проблем безопасности и помогает обеспечить максимально полный ответ.
Проверенные системы оповещения
Анти-Фишинг
Иногда называемый «подделкой», фишинг - это подделка или подделка электронных документов, обычно электронной почты. Фишинговые электронные письма, как правило, выглядят так, как будто они были отправлены кем-то, кроме фактического источника. Эти электронные письма утверждают, что они принадлежат законному бизнесу, такому как Adobe, в попытке убедить получателя раскрыть конфиденциальную личную информацию, такую ??как пароли учетных записей в Интернете, номера кредитных карт или данные банковского счета.
Adobe не будет запрашивать вашу личную информацию (или любую информацию о вашей учетной записи Adobe) по электронной почте. Если вы получили сообщение, которое, по вашему мнению, является результатом фишинга, пожалуйста,предупредите нашу команду по борьбе с фишингом , чтобы они могли предпринять соответствующие корректирующие действия.
Предупреждения и обновления безопасности
Когда происходят инциденты, требующие вашего внимания, у нас есть проверенная система оповещения вас. Мы призываем клиентов и других членов сообщества безопасности сообщать о новых уязвимостях и инцидентах непосредственно нам для быстрого и надлежащего устранения. Если вы считаете, что обнаружили потенциальную уязвимость в программном продукте или услуге Adobe, сообщите нам об этом.
Материал подготовлен - ADOBE«МойОфис» представил обновленные версии корпоративных продуктов Squadus 1.7, Squadus PRO 1.7, «МойОфис Частное Облако» 3.2 и «МойОфис Стандартный». Нововведения создают удобное и защищенное пространство для эффективной командной работы. Также, в рамках релиза была значительно расширена функциональность приложений для частных лиц «МойОфис для дома»
Компания «РуБэкап» (входит в «Группу Астра») получила престижную премию FINNEXT на ежегодном форуме финансовых инноваций. Разработчик решения RuBackup признан лидером в специальной номинации «Эффективное импортозамещающее решение для резервного копирования, восстановления и защиты данных для банков»
Компании «Киберпротект» и Orion soft подтвердили взаимную совместимость системы резервного копирования Кибер Бэкап и платформы оркестрации контейнеризированных приложений Nova Container Platform. Вместе решения дают заказчикам инструменты для комплексной защиты данных в контейнерах: не только для гибкого резервного копирования и восстановления информации, но также и для мониторинга и контроля потенциальных уязвимостей
Разработчик ИИ-решений для интеллектуальной обработки информации Content AI и поставщик компьютерного оборудования ПИРИТ договорились о сотрудничестве при продвижении своих продуктов. Компании будут реализовывать сканеры Avision с редактором ContentReader PDF для корпоративных пользователей отечественных операционных систем
В ходе анализа данных телеметрии специалисты вирусной лаборатории «Доктор Веб» выявили образцы вредоносного ПО, которые при ближайшем рассмотрении оказались компонентами активной кампании по майнингу криптовалюты Monero. Эта кампания примечательна тем, что реализована в виде ряда вредоносных цепочек, две из которых построены на запуске скриптов, извлекающих вредоносную нагрузку из файлов изображений в формате BMP
«Лаборатория Касперского» обнаружила вредоносную кампанию, в рамках которой злоумышленники распространяют зловред для ОС Windows под видом приложения на основе нейросетей для изменения голоса
Злоумышленники обновили свою схему, предупреждают эксперты «Лаборатории Касперского»
Кампания нацелена преимущественно на представителей малого бизнеса
Таковы данные ежегодного аналитического отчёта, основанного на статистике срабатываний Kaspersky MDR.
Ваши контактные данные не публикуются на сайте.