SlideShare a Scribd company logo

Stu r36 b

S
SelectedPresentations
1 of 18
Download to read offline
Session ID: Session Classification: Brad Arkin Sr. Director, Product & Services Security Adobe Systems STU-R36B Intermediate To the Cloud! Software Security Evolution at Adobe
Fall of 2011 (Then)
1. APT attacks leveraging 0-day exploits in Adobe software 2. “Un-coordinated” security researcher activity 3. CVE counts in Adobe Product Security Bulletins Then: Key Problems
 Product Security Team  Strategy:  Exploit cost  Effective response  Secure Product Lifecycle (SPLC) for Runtimes  Security Training  Product Security Incident Response team (PSIRT)  Metrics  Security Community (inside and outside Adobe) Then: Key Resources
In November 2011… To the Cloud!
New Assignment: Secure Hosted Services, Oh No!
What to do? ► Different: ► skills ► process ► mindset ► timeframes New Assignment: Secure Hosted Services New Leadership Challenge!
Now: Secure Hosted Services launched Adobe Marketing Cloud Adobe Creative Cloud
Then: 1. APT attacks leveraging 0day exploits in Adobe software 2. “Uncoordinated” Security Researcher activity 3. CVE counts in Adobe Product Security Bulletins Key Problems Now: 1. Security Operations / Monitoring 2. Governance 3. Authentication
Then and Now: Key Resources Product Security Team Expanded team with SaaS expertise Strategy Strategy Exploit cost Attack difficulty Effective response Effective monitoring & response SPLC for Runtimes SPLC for SaaS Security Training Security training for SaaS PSIRT Security Coordination Center (SCC) Community Community (inside and outside Adobe) (inside and outside Adobe)      
Now: Our Security Investment Reactive (PSIRT) Reactive (SCC) Proactive (ASSET) Security-trained engineers across all product lines Executive Commitment Op Sec B Op Sec A Op Sec C
► Added centralized incident response coordination ► Improve internal monitoring and detection of issues ► Monitor external sources to gather information ► Provide cross-functional consistency for processes ► Interface with Legal, PR, Marketing, … Now: Response (Security Coordination Center)
Goal metrics for response: ► Response time for high priority issues <5 days ► Response time for SaaS incidents measured in minutes/hours Now: Response Metrics
► Universe consists of three distinct demographics ► Product engineering teams ► Adobe IT ► 3rd party vendors ► Tools ► Dashboards & Roadmaps ► Automation ► Policy Governance
► Implementation ► Password storage ► Account alerts based on activity ► Long list of pending features ► Offline interaction ► Response to the “Mat Honan” problem ► Real-time monitoring ► Defensive actions in response to suspicious activity Authentication
► Change can be scary ► Leverage what you already have/modify to fit new needs ► Acknowledge when a new approach is required ► Identify all related and interested parties ► Take advantage of existing strengths ► Build out process where needed ► Emphasize efficient communication ► Employ benchmarks and reporting dashboards Summary
Resources ► Security portal (customers and channel partners): http://adobe.com/security ► Advisories and updates http://www.adobe.com/support/security ► ASSET blog: http://blogs.adobe.com/asset ► PSIRT blog: http://blogs.adobe.com/psirt ► Documentation wiki: http://learn.adobe.com/wiki/display/security/Home ► Adobe Security on Twitter: @AdobeSecurity ► My Twitter Handle: @BradArkin
Stu r36 b

Recommended

Outpost24 Webinar - Creating a sustainable application security program to dr...
Outpost24 Webinar - Creating a sustainable application security program to dr...Outpost24 Webinar - Creating a sustainable application security program to dr...
Outpost24 Webinar - Creating a sustainable application security program to dr...Outpost24
 
Secure Software Development Lifecycle
Secure Software Development LifecycleSecure Software Development Lifecycle
Secure Software Development Lifecycle1&1
 
Cyber Security testing in an agile environment
Cyber Security testing in an agile environmentCyber Security testing in an agile environment
Cyber Security testing in an agile environmentArthur Donkers
 
Dmitriy Desyatkov "Secure SDLC or Security Culture to be or not to be"
Dmitriy Desyatkov "Secure SDLC or Security Culture to be or not to be"Dmitriy Desyatkov "Secure SDLC or Security Culture to be or not to be"
Dmitriy Desyatkov "Secure SDLC or Security Culture to be or not to be"WrikeTechClub
 
Basic of SSDLC
Basic of SSDLCBasic of SSDLC
Basic of SSDLCChitpong Wuttanan
 
Key metrics and process in cyber security case scenario
Key metrics and process in cyber security case scenarioKey metrics and process in cyber security case scenario
Key metrics and process in cyber security case scenarioAkingbade Akinfenwa
 
Data Connectors San Antonio Cybersecurity Conference 2018
Data Connectors San Antonio Cybersecurity Conference 2018Data Connectors San Antonio Cybersecurity Conference 2018
Data Connectors San Antonio Cybersecurity Conference 2018Interset
 
Agile and Secure SDLC
Agile and Secure SDLCAgile and Secure SDLC
Agile and Secure SDLCNazar Tymoshyk, CEH, Ph.D.
 

Recommended

Outpost24 Webinar - Creating a sustainable application security program to dr...
Outpost24 Webinar - Creating a sustainable application security program to dr...Outpost24 Webinar - Creating a sustainable application security program to dr...
Outpost24 Webinar - Creating a sustainable application security program to dr...Outpost24
 
Secure Software Development Lifecycle
Secure Software Development LifecycleSecure Software Development Lifecycle
Secure Software Development Lifecycle1&1
 
Cyber Security testing in an agile environment
Cyber Security testing in an agile environmentCyber Security testing in an agile environment
Cyber Security testing in an agile environmentArthur Donkers
 
Dmitriy Desyatkov "Secure SDLC or Security Culture to be or not to be"
Dmitriy Desyatkov "Secure SDLC or Security Culture to be or not to be"Dmitriy Desyatkov "Secure SDLC or Security Culture to be or not to be"
Dmitriy Desyatkov "Secure SDLC or Security Culture to be or not to be"WrikeTechClub
 
Basic of SSDLC
Basic of SSDLCBasic of SSDLC
Basic of SSDLCChitpong Wuttanan
 
Key metrics and process in cyber security case scenario
Key metrics and process in cyber security case scenarioKey metrics and process in cyber security case scenario
Key metrics and process in cyber security case scenarioAkingbade Akinfenwa
 
Data Connectors San Antonio Cybersecurity Conference 2018
Data Connectors San Antonio Cybersecurity Conference 2018Data Connectors San Antonio Cybersecurity Conference 2018
Data Connectors San Antonio Cybersecurity Conference 2018Interset
 
Agile and Secure SDLC
Agile and Secure SDLCAgile and Secure SDLC
Agile and Secure SDLCNazar Tymoshyk, CEH, Ph.D.
 
Information Security and the SDLC
Information Security and the SDLCInformation Security and the SDLC
Information Security and the SDLCBDPA Charlotte - Information Technology Thought Leaders
 
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...Outpost24
 
Nist 800 53 deep dive 20210813
Nist 800 53 deep dive 20210813Nist 800 53 deep dive 20210813
Nist 800 53 deep dive 20210813Kinetic Potential
 
Application Hackers Have A Handbook. Why Shouldn't You?
Application Hackers Have A Handbook. Why Shouldn't You?Application Hackers Have A Handbook. Why Shouldn't You?
Application Hackers Have A Handbook. Why Shouldn't You?London School of Cyber Security
 
Integrating Security Across SDLC Phases
Integrating Security Across SDLC PhasesIntegrating Security Across SDLC Phases
Integrating Security Across SDLC PhasesIshrath Sultana
 
Wipro's Compliance as a Service [CAAS]
Wipro's Compliance as a Service [CAAS]Wipro's Compliance as a Service [CAAS]
Wipro's Compliance as a Service [CAAS]Symantec
 
Roadmap to IT Security Best Practices
Roadmap to IT Security Best PracticesRoadmap to IT Security Best Practices
Roadmap to IT Security Best PracticesGreenway Health
 
Identity-Driven Security with Forsyte I.T. Solutions - Demos and Discovery
Identity-Driven Security with Forsyte I.T. Solutions - Demos and DiscoveryIdentity-Driven Security with Forsyte I.T. Solutions - Demos and Discovery
Identity-Driven Security with Forsyte I.T. Solutions - Demos and DiscoveryForsyte I.T. Solutions
 
The security sdlc
The security sdlcThe security sdlc
The security sdlcMohamed Siraj
 
Algo sec suite overview 2013 05
Algo sec suite overview 2013 05Algo sec suite overview 2013 05
Algo sec suite overview 2013 05hoanv
 
PaaS security challenges and solutions (salesforce vision)
PaaS security challenges and solutions (salesforce vision)PaaS security challenges and solutions (salesforce vision)
PaaS security challenges and solutions (salesforce vision)Olga Lavrentieva
 
Elastic SIEM (Endpoint Security)
Elastic SIEM (Endpoint Security)Elastic SIEM (Endpoint Security)
Elastic SIEM (Endpoint Security)Kangaroot
 
Azure Sentinel Jan 2021 overview deck
Azure Sentinel Jan 2021 overview deck Azure Sentinel Jan 2021 overview deck
Azure Sentinel Jan 2021 overview deck Matt Soseman
 
The Path to Proactive Application Security
The Path to Proactive Application SecurityThe Path to Proactive Application Security
The Path to Proactive Application SecurityCigital
 
Palestra de abertura: Evolução e visão do Elastic Security
Palestra de abertura: Evolução e visão do Elastic SecurityPalestra de abertura: Evolução e visão do Elastic Security
Palestra de abertura: Evolução e visão do Elastic SecurityElasticsearch
 
Cybersecurity Audit
Cybersecurity AuditCybersecurity Audit
Cybersecurity AuditEC-Council
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity frameworkShriya Rai
 
Building Your Information Security Program: Frameworks & Metrics
Building Your Information Security Program: Frameworks & MetricsBuilding Your Information Security Program: Frameworks & Metrics
Building Your Information Security Program: Frameworks & MetricsRob Arnold
 
Audit Practice at CipherTechs
Audit Practice at CipherTechsAudit Practice at CipherTechs
Audit Practice at CipherTechsMordecai Kraushar
 
부평휴게텔≪다솜넷≫마포오피≪대전건마,선릉역오피방
부평휴게텔≪다솜넷≫마포오피≪대전건마,선릉역오피방부평휴게텔≪다솜넷≫마포오피≪대전건마,선릉역오피방
부평휴게텔≪다솜넷≫마포오피≪대전건마,선릉역오피방dasom52
 
대전휴게텔≪다솜넷≫인천오피≪서현건마,인천오피방
대전휴게텔≪다솜넷≫인천오피≪서현건마,인천오피방대전휴게텔≪다솜넷≫인천오피≪서현건마,인천오피방
대전휴게텔≪다솜넷≫인천오피≪서현건마,인천오피방dasom52
 
ECS draws attention to Asia market
ECS draws attention to Asia marketECS draws attention to Asia market
ECS draws attention to Asia marketAbeer Ray
 

More Related Content

What's hot

Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...Outpost24
 
Nist 800 53 deep dive 20210813
Nist 800 53 deep dive 20210813Nist 800 53 deep dive 20210813
Nist 800 53 deep dive 20210813Kinetic Potential
 
Integrating Security Across SDLC Phases
Integrating Security Across SDLC PhasesIntegrating Security Across SDLC Phases
Integrating Security Across SDLC PhasesIshrath Sultana
 
Wipro's Compliance as a Service [CAAS]
Wipro's Compliance as a Service [CAAS]Wipro's Compliance as a Service [CAAS]
Wipro's Compliance as a Service [CAAS]Symantec
 
Roadmap to IT Security Best Practices
Roadmap to IT Security Best PracticesRoadmap to IT Security Best Practices
Roadmap to IT Security Best PracticesGreenway Health
 
Identity-Driven Security with Forsyte I.T. Solutions - Demos and Discovery
Identity-Driven Security with Forsyte I.T. Solutions - Demos and DiscoveryIdentity-Driven Security with Forsyte I.T. Solutions - Demos and Discovery
Identity-Driven Security with Forsyte I.T. Solutions - Demos and DiscoveryForsyte I.T. Solutions
 
Algo sec suite overview 2013 05
Algo sec suite overview 2013 05Algo sec suite overview 2013 05
Algo sec suite overview 2013 05hoanv
 
PaaS security challenges and solutions (salesforce vision)
PaaS security challenges and solutions (salesforce vision)PaaS security challenges and solutions (salesforce vision)
PaaS security challenges and solutions (salesforce vision)Olga Lavrentieva
 
Elastic SIEM (Endpoint Security)
Elastic SIEM (Endpoint Security)Elastic SIEM (Endpoint Security)
Elastic SIEM (Endpoint Security)Kangaroot
 
Azure Sentinel Jan 2021 overview deck
Azure Sentinel Jan 2021 overview deck Azure Sentinel Jan 2021 overview deck
Azure Sentinel Jan 2021 overview deck Matt Soseman
 
The Path to Proactive Application Security
The Path to Proactive Application SecurityThe Path to Proactive Application Security
The Path to Proactive Application SecurityCigital
 
Palestra de abertura: Evolução e visão do Elastic Security
Palestra de abertura: Evolução e visão do Elastic SecurityPalestra de abertura: Evolução e visão do Elastic Security
Palestra de abertura: Evolução e visão do Elastic SecurityElasticsearch
 
Cybersecurity Audit
Cybersecurity AuditCybersecurity Audit
Cybersecurity AuditEC-Council
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity frameworkShriya Rai
 
Building Your Information Security Program: Frameworks & Metrics
Building Your Information Security Program: Frameworks & MetricsBuilding Your Information Security Program: Frameworks & Metrics
Building Your Information Security Program: Frameworks & MetricsRob Arnold
 
Audit Practice at CipherTechs
Audit Practice at CipherTechsAudit Practice at CipherTechs
Audit Practice at CipherTechsMordecai Kraushar
 

What's hot (19)

Information Security and the SDLC
Information Security and the SDLCInformation Security and the SDLC
Information Security and the SDLC
 
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
 
Nist 800 53 deep dive 20210813
Nist 800 53 deep dive 20210813Nist 800 53 deep dive 20210813
Nist 800 53 deep dive 20210813
 
Application Hackers Have A Handbook. Why Shouldn't You?
Application Hackers Have A Handbook. Why Shouldn't You?Application Hackers Have A Handbook. Why Shouldn't You?
Application Hackers Have A Handbook. Why Shouldn't You?
 
Integrating Security Across SDLC Phases
Integrating Security Across SDLC PhasesIntegrating Security Across SDLC Phases
Integrating Security Across SDLC Phases
 
Wipro's Compliance as a Service [CAAS]
Wipro's Compliance as a Service [CAAS]Wipro's Compliance as a Service [CAAS]
Wipro's Compliance as a Service [CAAS]
 
Roadmap to IT Security Best Practices
Roadmap to IT Security Best PracticesRoadmap to IT Security Best Practices
Roadmap to IT Security Best Practices
 
Identity-Driven Security with Forsyte I.T. Solutions - Demos and Discovery
Identity-Driven Security with Forsyte I.T. Solutions - Demos and DiscoveryIdentity-Driven Security with Forsyte I.T. Solutions - Demos and Discovery
Identity-Driven Security with Forsyte I.T. Solutions - Demos and Discovery
 
The security sdlc
The security sdlcThe security sdlc
The security sdlc
 
Algo sec suite overview 2013 05
Algo sec suite overview 2013 05Algo sec suite overview 2013 05
Algo sec suite overview 2013 05
 
PaaS security challenges and solutions (salesforce vision)
PaaS security challenges and solutions (salesforce vision)PaaS security challenges and solutions (salesforce vision)
PaaS security challenges and solutions (salesforce vision)
 
Elastic SIEM (Endpoint Security)
Elastic SIEM (Endpoint Security)Elastic SIEM (Endpoint Security)
Elastic SIEM (Endpoint Security)
 
Azure Sentinel Jan 2021 overview deck
Azure Sentinel Jan 2021 overview deck Azure Sentinel Jan 2021 overview deck
Azure Sentinel Jan 2021 overview deck
 
The Path to Proactive Application Security
The Path to Proactive Application SecurityThe Path to Proactive Application Security
The Path to Proactive Application Security
 
Palestra de abertura: Evolução e visão do Elastic Security
Palestra de abertura: Evolução e visão do Elastic SecurityPalestra de abertura: Evolução e visão do Elastic Security
Palestra de abertura: Evolução e visão do Elastic Security
 
Cybersecurity Audit
Cybersecurity AuditCybersecurity Audit
Cybersecurity Audit
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity framework
 
Building Your Information Security Program: Frameworks & Metrics
Building Your Information Security Program: Frameworks & MetricsBuilding Your Information Security Program: Frameworks & Metrics
Building Your Information Security Program: Frameworks & Metrics
 
Audit Practice at CipherTechs
Audit Practice at CipherTechsAudit Practice at CipherTechs
Audit Practice at CipherTechs
 

Viewers also liked

부평휴게텔≪다솜넷≫마포오피≪대전건마,선릉역오피방
부평휴게텔≪다솜넷≫마포오피≪대전건마,선릉역오피방부평휴게텔≪다솜넷≫마포오피≪대전건마,선릉역오피방
부평휴게텔≪다솜넷≫마포오피≪대전건마,선릉역오피방dasom52
 
대전휴게텔≪다솜넷≫인천오피≪서현건마,인천오피방
대전휴게텔≪다솜넷≫인천오피≪서현건마,인천오피방대전휴게텔≪다솜넷≫인천오피≪서현건마,인천오피방
대전휴게텔≪다솜넷≫인천오피≪서현건마,인천오피방dasom52
 
ECS draws attention to Asia market
ECS draws attention to Asia marketECS draws attention to Asia market
ECS draws attention to Asia marketAbeer Ray
 
Manish_Pandey-Cover Letter
Manish_Pandey-Cover LetterManish_Pandey-Cover Letter
Manish_Pandey-Cover LetterManish Panday
 
7 tips for a successful first visit to
7 tips for a successful first visit to7 tips for a successful first visit to
7 tips for a successful first visit toDr Ankur Shah
 
Exercícios de torque
Exercícios de torqueExercícios de torque
Exercícios de torqueRobsoncn
 
Rost Brand - Креативные решения для бизнеса. (Рortfolio)
Rost Brand - Креативные решения для бизнеса. (Рortfolio)Rost Brand - Креативные решения для бизнеса. (Рortfolio)
Rost Brand - Креативные решения для бизнеса. (Рortfolio)Rost_Group
 

Viewers also liked (13)

부평휴게텔≪다솜넷≫마포오피≪대전건마,선릉역오피방
부평휴게텔≪다솜넷≫마포오피≪대전건마,선릉역오피방부평휴게텔≪다솜넷≫마포오피≪대전건마,선릉역오피방
부평휴게텔≪다솜넷≫마포오피≪대전건마,선릉역오피방
 
대전휴게텔≪다솜넷≫인천오피≪서현건마,인천오피방
대전휴게텔≪다솜넷≫인천오피≪서현건마,인천오피방대전휴게텔≪다솜넷≫인천오피≪서현건마,인천오피방
대전휴게텔≪다솜넷≫인천오피≪서현건마,인천오피방
 
ECS draws attention to Asia market
ECS draws attention to Asia marketECS draws attention to Asia market
ECS draws attention to Asia market
 
Tech w22
Tech w22Tech w22
Tech w22
 
Manish_Pandey-Cover Letter
Manish_Pandey-Cover LetterManish_Pandey-Cover Letter
Manish_Pandey-Cover Letter
 
Stu w25 b
Stu w25 bStu w25 b
Stu w25 b
 
Stu t19 b encore-stu-t19b
Stu t19 b encore-stu-t19bStu t19 b encore-stu-t19b
Stu t19 b encore-stu-t19b
 
7 tips for a successful first visit to
7 tips for a successful first visit to7 tips for a successful first visit to
7 tips for a successful first visit to
 
College project
College projectCollege project
College project
 
Exercícios de torque
Exercícios de torqueExercícios de torque
Exercícios de torque
 
Worksheet foodpyramid
Worksheet foodpyramidWorksheet foodpyramid
Worksheet foodpyramid
 
Rost Brand - Креативные решения для бизнеса. (Рortfolio)
Rost Brand - Креативные решения для бизнеса. (Рortfolio)Rost Brand - Креативные решения для бизнеса. (Рortfolio)
Rost Brand - Креативные решения для бизнеса. (Рortfolio)
 
Business coaching models ch5 1
Business coaching models ch5 1Business coaching models ch5 1
Business coaching models ch5 1
 

Similar to Stu r36 b

Owasp Summit - Wednesday evening briefing master
Owasp Summit - Wednesday evening briefing masterOwasp Summit - Wednesday evening briefing master
Owasp Summit - Wednesday evening briefing masterDinis Cruz
 
2018 11-29 - Future Of SharePoint - SharePoint Keynote and Security
2018 11-29 - Future Of SharePoint - SharePoint Keynote and Security2018 11-29 - Future Of SharePoint - SharePoint Keynote and Security
2018 11-29 - Future Of SharePoint - SharePoint Keynote and SecurityCreate IT
 
Cmgt 400 Entire Course NEW
Cmgt 400 Entire Course NEWCmgt 400 Entire Course NEW
Cmgt 400 Entire Course NEWshyamuop
 
CMGT 400 Entire Course NEW
CMGT 400 Entire Course NEWCMGT 400 Entire Course NEW
CMGT 400 Entire Course NEWshyamuopfive
 
Digital Product Security
Digital Product SecurityDigital Product Security
Digital Product SecuritySoftServe
 
iDEAFest Enteprise InfoSec Program Lessons Learned
iDEAFest Enteprise InfoSec Program Lessons LearnediDEAFest Enteprise InfoSec Program Lessons Learned
iDEAFest Enteprise InfoSec Program Lessons LearnedMichael King
 
NIST CSF review - Essential Protections (a K12 perspective)
NIST CSF review - Essential Protections (a K12 perspective)NIST CSF review - Essential Protections (a K12 perspective)
NIST CSF review - Essential Protections (a K12 perspective)April Mardock CISSP
 
7 Steps to Build a SOC with Limited Resources
7 Steps to Build a SOC with Limited Resources7 Steps to Build a SOC with Limited Resources
7 Steps to Build a SOC with Limited ResourcesLogRhythm
 
A Successful SAST Tool Implementation
A Successful SAST Tool ImplementationA Successful SAST Tool Implementation
A Successful SAST Tool ImplementationCheckmarx
 
PPT-Security-for-Management.pptx
PPT-Security-for-Management.pptxPPT-Security-for-Management.pptx
PPT-Security-for-Management.pptxRSAArcher
 
Patch Management Best Practices
Patch Management Best Practices Patch Management Best Practices
Patch Management Best Practices Ivanti
 
FireEye: Seamless Visibility and Detection for the Cloud
FireEye: Seamless Visibility and Detection for the CloudFireEye: Seamless Visibility and Detection for the Cloud
FireEye: Seamless Visibility and Detection for the CloudAmazon Web Services
 
4_25655_SE731_2020_1__2_1_Lecture 1 - Course Outline and Secure SDLC.ppt
4_25655_SE731_2020_1__2_1_Lecture 1 - Course Outline and Secure SDLC.ppt4_25655_SE731_2020_1__2_1_Lecture 1 - Course Outline and Secure SDLC.ppt
4_25655_SE731_2020_1__2_1_Lecture 1 - Course Outline and Secure SDLC.pptgealehegn
 
Embarking on Your ServiceNow SecOps Journey: A Secure and Efficient Path
Embarking on Your ServiceNow SecOps Journey: A Secure and Efficient PathEmbarking on Your ServiceNow SecOps Journey: A Secure and Efficient Path
Embarking on Your ServiceNow SecOps Journey: A Secure and Efficient PathAelum Consulting
 
Designing NextGen Threat Identification Solutions
Designing NextGen Threat Identification SolutionsDesigning NextGen Threat Identification Solutions
Designing NextGen Threat Identification SolutionsArun Prabhakar
 
Application Portfolio Risk Ranking: Banishing FUD With Structure and Numbers
Application Portfolio Risk Ranking: Banishing FUD With Structure and NumbersApplication Portfolio Risk Ranking: Banishing FUD With Structure and Numbers
Application Portfolio Risk Ranking: Banishing FUD With Structure and NumbersDenim Group
 
VWO - Mark de Winter - Run more experiments with fewer resources.pdf
VWO - Mark de Winter - Run more experiments with fewer resources.pdfVWO - Mark de Winter - Run more experiments with fewer resources.pdf
VWO - Mark de Winter - Run more experiments with fewer resources.pdfVWO
 
Run more experiments with fewer resources
Run more experiments with fewer resourcesRun more experiments with fewer resources
Run more experiments with fewer resourcesVWO
 
Accelerating OT - A Case Study
Accelerating OT - A Case StudyAccelerating OT - A Case Study
Accelerating OT - A Case StudyDigital Bond
 

Similar to Stu r36 b (20)

Owasp Summit - Wednesday evening briefing master
Owasp Summit - Wednesday evening briefing masterOwasp Summit - Wednesday evening briefing master
Owasp Summit - Wednesday evening briefing master
 
Many products-no-security (1)
Many products-no-security (1)Many products-no-security (1)
Many products-no-security (1)
 
2018 11-29 - Future Of SharePoint - SharePoint Keynote and Security
2018 11-29 - Future Of SharePoint - SharePoint Keynote and Security2018 11-29 - Future Of SharePoint - SharePoint Keynote and Security
2018 11-29 - Future Of SharePoint - SharePoint Keynote and Security
 
Cmgt 400 Entire Course NEW
Cmgt 400 Entire Course NEWCmgt 400 Entire Course NEW
Cmgt 400 Entire Course NEW
 
CMGT 400 Entire Course NEW
CMGT 400 Entire Course NEWCMGT 400 Entire Course NEW
CMGT 400 Entire Course NEW
 
Digital Product Security
Digital Product SecurityDigital Product Security
Digital Product Security
 
iDEAFest Enteprise InfoSec Program Lessons Learned
iDEAFest Enteprise InfoSec Program Lessons LearnediDEAFest Enteprise InfoSec Program Lessons Learned
iDEAFest Enteprise InfoSec Program Lessons Learned
 
NIST CSF review - Essential Protections (a K12 perspective)
NIST CSF review - Essential Protections (a K12 perspective)NIST CSF review - Essential Protections (a K12 perspective)
NIST CSF review - Essential Protections (a K12 perspective)
 
7 Steps to Build a SOC with Limited Resources
7 Steps to Build a SOC with Limited Resources7 Steps to Build a SOC with Limited Resources
7 Steps to Build a SOC with Limited Resources
 
A Successful SAST Tool Implementation
A Successful SAST Tool ImplementationA Successful SAST Tool Implementation
A Successful SAST Tool Implementation
 
PPT-Security-for-Management.pptx
PPT-Security-for-Management.pptxPPT-Security-for-Management.pptx
PPT-Security-for-Management.pptx
 
Patch Management Best Practices
Patch Management Best Practices Patch Management Best Practices
Patch Management Best Practices
 
FireEye: Seamless Visibility and Detection for the Cloud
FireEye: Seamless Visibility and Detection for the CloudFireEye: Seamless Visibility and Detection for the Cloud
FireEye: Seamless Visibility and Detection for the Cloud
 
4_25655_SE731_2020_1__2_1_Lecture 1 - Course Outline and Secure SDLC.ppt
4_25655_SE731_2020_1__2_1_Lecture 1 - Course Outline and Secure SDLC.ppt4_25655_SE731_2020_1__2_1_Lecture 1 - Course Outline and Secure SDLC.ppt
4_25655_SE731_2020_1__2_1_Lecture 1 - Course Outline and Secure SDLC.ppt
 
Embarking on Your ServiceNow SecOps Journey: A Secure and Efficient Path
Embarking on Your ServiceNow SecOps Journey: A Secure and Efficient PathEmbarking on Your ServiceNow SecOps Journey: A Secure and Efficient Path
Embarking on Your ServiceNow SecOps Journey: A Secure and Efficient Path
 
Designing NextGen Threat Identification Solutions
Designing NextGen Threat Identification SolutionsDesigning NextGen Threat Identification Solutions
Designing NextGen Threat Identification Solutions
 
Application Portfolio Risk Ranking: Banishing FUD With Structure and Numbers
Application Portfolio Risk Ranking: Banishing FUD With Structure and NumbersApplication Portfolio Risk Ranking: Banishing FUD With Structure and Numbers
Application Portfolio Risk Ranking: Banishing FUD With Structure and Numbers
 
VWO - Mark de Winter - Run more experiments with fewer resources.pdf
VWO - Mark de Winter - Run more experiments with fewer resources.pdfVWO - Mark de Winter - Run more experiments with fewer resources.pdf
VWO - Mark de Winter - Run more experiments with fewer resources.pdf
 
Run more experiments with fewer resources
Run more experiments with fewer resourcesRun more experiments with fewer resources
Run more experiments with fewer resources
 
Accelerating OT - A Case Study
Accelerating OT - A Case StudyAccelerating OT - A Case Study
Accelerating OT - A Case Study
 

More from SelectedPresentations

Длительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияДлительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияSelectedPresentations
 
Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.SelectedPresentations
 
Варианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваВарианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваSelectedPresentations
 
Новые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийНовые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийSelectedPresentations
 
Управление безопасностью мобильных устройств
Управление безопасностью мобильных устройствУправление безопасностью мобильных устройств
Управление безопасностью мобильных устройствSelectedPresentations
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...SelectedPresentations
 
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиКадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиSelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...SelectedPresentations
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...SelectedPresentations
 
Запись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхЗапись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхSelectedPresentations
 
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...SelectedPresentations
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБSelectedPresentations
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийSelectedPresentations
 
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...SelectedPresentations
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...SelectedPresentations
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИSelectedPresentations
 

More from SelectedPresentations (20)

Длительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияДлительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решения
 
Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.
 
Варианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваВарианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройства
 
Новые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийНовые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решений
 
Управление безопасностью мобильных устройств
Управление безопасностью мобильных устройствУправление безопасностью мобильных устройств
Управление безопасностью мобильных устройств
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
 
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиКадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасности
 
Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...
 
Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...
 
Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
 
Запись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхЗапись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данных
 
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложений
 
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
 

Stu r36 b

  • 1. Session ID: Session Classification: Brad Arkin Sr. Director, Product & Services Security Adobe Systems STU-R36B Intermediate To the Cloud! Software Security Evolution at Adobe
  • 2. Fall of 2011 (Then)
  • 3. 1. APT attacks leveraging 0-day exploits in Adobe software 2. “Un-coordinated” security researcher activity 3. CVE counts in Adobe Product Security Bulletins Then: Key Problems
  • 4.  Product Security Team  Strategy:  Exploit cost  Effective response  Secure Product Lifecycle (SPLC) for Runtimes  Security Training  Product Security Incident Response team (PSIRT)  Metrics  Security Community (inside and outside Adobe) Then: Key Resources
  • 6. New Assignment: Secure Hosted Services, Oh No!
  • 7. What to do? ► Different: ► skills ► process ► mindset ► timeframes New Assignment: Secure Hosted Services New Leadership Challenge!
  • 8. Now: Secure Hosted Services launched Adobe Marketing Cloud Adobe Creative Cloud
  • 9. Then: 1. APT attacks leveraging 0day exploits in Adobe software 2. “Uncoordinated” Security Researcher activity 3. CVE counts in Adobe Product Security Bulletins Key Problems Now: 1. Security Operations / Monitoring 2. Governance 3. Authentication
  • 10. Then and Now: Key Resources Product Security Team Expanded team with SaaS expertise Strategy Strategy Exploit cost Attack difficulty Effective response Effective monitoring & response SPLC for Runtimes SPLC for SaaS Security Training Security training for SaaS PSIRT Security Coordination Center (SCC) Community Community (inside and outside Adobe) (inside and outside Adobe)      
  • 11. Now: Our Security Investment Reactive (PSIRT) Reactive (SCC) Proactive (ASSET) Security-trained engineers across all product lines Executive Commitment Op Sec B Op Sec A Op Sec C
  • 12. ► Added centralized incident response coordination ► Improve internal monitoring and detection of issues ► Monitor external sources to gather information ► Provide cross-functional consistency for processes ► Interface with Legal, PR, Marketing, … Now: Response (Security Coordination Center)
  • 13. Goal metrics for response: ► Response time for high priority issues <5 days ► Response time for SaaS incidents measured in minutes/hours Now: Response Metrics
  • 14. ► Universe consists of three distinct demographics ► Product engineering teams ► Adobe IT ► 3rd party vendors ► Tools ► Dashboards & Roadmaps ► Automation ► Policy Governance
  • 15. ► Implementation ► Password storage ► Account alerts based on activity ► Long list of pending features ► Offline interaction ► Response to the “Mat Honan” problem ► Real-time monitoring ► Defensive actions in response to suspicious activity Authentication
  • 16. ► Change can be scary ► Leverage what you already have/modify to fit new needs ► Acknowledge when a new approach is required ► Identify all related and interested parties ► Take advantage of existing strengths ► Build out process where needed ► Emphasize efficient communication ► Employ benchmarks and reporting dashboards Summary
  • 17. Resources ► Security portal (customers and channel partners): http://adobe.com/security ► Advisories and updates http://www.adobe.com/support/security ► ASSET blog: http://blogs.adobe.com/asset ► PSIRT blog: http://blogs.adobe.com/psirt ► Documentation wiki: http://learn.adobe.com/wiki/display/security/Home ► Adobe Security on Twitter: @AdobeSecurity ► My Twitter Handle: @BradArkin