Hvorfor skal jeg bekymre mig om PDF applikationssikkerhed?



Relaterede dokumenter
Tag PDF-sikkerhed op på et nyt niveau med Adobe Reader og Adobe Acrobat Acrobat X produktfamilien hæver niveauet

og smartphones. Optimer grafik og internetindhold for at vise det på en ensartet måde på tværs af enheder.

Brug af Adobe Acrobat X til forbedring af samarbejdet med Microsoft SharePoint og Microsoft Office

Ingen kompromier - Bedste beskyttelse til alle computerere CLIENT SECURITY

BESKYT DIN VIRKSOMHED UANSET HVOR DEN FØRER DIG HEN. Protection Service for Business

Adobe Flash Professional CS6

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).

1. trin: Aktivering af brugerkontostyring

Komplet dækning til din virksomhed

Den nemme måde til sikkerhed og enkelhed

Lumia med Windows Phone

Plantronics Blackwire C610-M Blackwire C620-M

HASP-fejlfindingsvejledning

Safe Work Space service beskrivelse. Microsoft Windows version. Version (Maj 2018)

Kvikguide til McAfee Wireless Protection

F-Secure Anti-Virus for Mac 2015

EFFEKTIV OG SKALERBAR HÅNDTERING AF SÅRBARHEDER. F-Secure Radar

STYRKEN I DET ENKLE. Business Suite

Ciscos problemløsningsguide. Få mest ud af din it 10 grundlæggende tips om sikkerhed for din virksomhed

Adobe Audition CS6. Lyd bedst muligt ADOBE AUDITION CS6 AU3 CS5.5 CS6. Adobe Audition CS6 Versionssammenligning LYDREDIGERING OG MULTISPOR-MIXNING

Intro til Client Management

FOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER

Online Backup. ndgå hovedbrud hvis uheldet er ude! fra kr. 125 pr. md

Toshiba EasyGuard i brug:


Hvad er Secure endpoints?

TEKNISK ARTIKEL MERE END DATASIKKERHED MERE END DATASIKKERHED

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Kundeservicevejledning

IT- SIKKERHED. Omfanget og konsekvensen af IT-kriminalitet

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Startvejledning

Med et filarkiv kan du give dine besøgende på din hjemmeside adgang til at hente dokumenter i Word, PDF, PowerPoint og Excel.

FORSKNING VISER, AT PRINTERE EFTER- LADES SÅRBARE OVER FOR CYBERANGREB

VEDLIGEHOLDELSE OG SIKKERHED PÅ DIN COMPUTER.

guide til it-sikkerhed

NSi Output Manager Hyppigt stillede spørgsmål. Version 3.2

BESKYT DIN VIRKSOMHED UANSET HVOR DU ER. Protection Service for Business

Præsentation af Curanets sikringsmiljø

SAXOTECH Cloud Publishing

O Guide til it-sikkerhed

Mariendal IT - Hostingcenter

QL-500 QL-560 QL-570 QL-650TD QL-1050

Sådan beskytter du dig. mod piratkopiering

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne

Jabra SPEAK 410. Brugervejledning.

STUXNET. Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller

Kvikguide McAfee PC Protection Plus

20 GODE GRUNDE TIL AT ALLE BØR VÆLGE EN THINKPAD ELLER EN THINKCENTRE NÆSTE GANG. THINKVANTAGE -TEKNOLOGI OG DESIGN

Sikker deling og kommunikation F-SECURE PROTECTION FOR SERVERS, AND COLLABORATION

Afinstaller alle andre programmer Vigtigt! Fjern alle andre antivirus programmer før du installerer Panda Internet Security Mere end et antiviru

FORTROLIGHEDSPOLITIK. Herbalife Europe Limiteds websteder vigtige oplysninger

Få det maksimale ud af uniflow

Backup Applikation. Microsoft Dynamics C5 Version Sikkerhedskopiering

Sikkerhed. Brugervejledning

Sæt it-sikkerheden på autopilot

Logitech Webcam C930e Setup Guide. Logitech for Business

ReadSoft er den naturlige start på al elektronisk fakturahåndtering

Adobe Creative Suite 6 Design Standard

Trusselsvurdering Cyberangreb mod leverandører

Eksempler på de mest almindelige Firewall programmer: Norton Internet Security, ZoneAlarm, PC-Cillin.

CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN

Torben Waage Partner

FREMTIDENS SIKKERHED LEVERET I DAG. Protection Service for Business


Boot Camp Installerings- & indstillingshåndbog

DEDIKERET SUPPORT - EN AFGØRENDE FORUDSÆTNING FOR DIN SUCCES

INFLUENCERS. Nemt igang på internettet. Kom hurtigt igang med det du er god til. Klar, start! w w w. i n f l u e n c e r s. d k

IT- SIKKERHED. Praktiske Råd til hvordan du forbedrer din sikkerhed i dag

SMART Notebook 11.3 software til Windows - og Maccomputere

SW6 SAI. Services 1: (Fil) service admin torsdag 7/4 05

Sikker forretning i en digitaliseret tid!

ESET NOD32 ANTIVIRUS 6

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Microsoft Dynamics C5. Nyheder Kreditorbetalinger

Kapitel 1: Introduktion...3

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

MDA200. Audioomskifter. Brugervejledning

Bliv klogere på din computer. René Schou

Hyper V og System Center løsninger

Citrix CSP og Certificate Store Provider

Boot Camp Installerings- og indstillingsvejledning

Boot Camp Installerings- & indstillingshåndbog

CFCS Beretning Center for Cybersikkerhed.

Adobe Acrobat Professional 11. ISBN nr.:

Gemmer I på skjulte data i Office-filer? Vejledning om risici ved skjulte data i Office-filer

Her ser i hvorledes man nemt kan installere en række nyttige programmer, uden at få andet end selv programmet installeret. på

Sådan startes P-touch Editor

Kravspecifikation OBS. ALLE nedenstående 36 minimumskrav SKAL være accepteret, ellers skal tilbud forkastes.

// Mamut Business Software Installationsguide: Basis

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Morten Juul Nielsen Produktchef Microsoft Danmark

Mobil Print/Scan vejledning til Brother iprint&scan

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Video Management Software. Produktbrochure

Nyheder fra Adobe - og lidt til...

VDI-GUIDE FOR AALESTRUP REALSKOLE

Brother Image Viewerbrugsanvisning

Bilag. Planlægning. Kravspecifikation. Tidsplan

Politik om cookies. Introduktion Om cookies

Transkript:

Hvorfor skal jeg bekymre mig om PDF applikationssikkerhed? Hvad du har brug for at vide for at minimere din risiko Indhold 1: Programnedbrud udgør en mulighed for angreb 2: Led efter software, der fuldt ud bruger operativsystemmitigeringer for at mindske risikoen 3: Sådan evalueres en udbyders tilgang til sikkerheden 4: Adobe Acrobat X-familiens sikkerhed og uafhængige testresultater fra andre producenter 5: Oversigt I en undersøgelse fra 2010 på tværs af fem lande i Nordamerika, Europa, Mellemøsten og Afrika (EMEA) samt Asien, har forskere fra Ponemon Institute fundet frem til, at den gennemsnitlige omkostning for en organisation ved brud på datasikkerheden var steget til 4 millioner US$, med 18 % i forhold til det tidligere år. En anden undersøgelse af 45 organisationer med base i USA fandt frem til, at cyber-kriminalitet medførte omkring et succesrigt angreb hver uge, til en årlig gennemsnitlig omkostning på 3,8 millioner US$ pr. virksomhed og kunne nå helt op på 52 millioner US$. Det bliver lettere for cyber-kriminelle at ramme virksomheder, men det bliver ikke lettere at fange eller retsforfølge dem. I dag kæmper virksomhederne mod cyber-angribere, der har til hensigt at stjæle data, fremkalde systemnedbrud, skade omdømmer eller bare vil vise, hvor gode hackere de er. En af hackerens foretrukne angrebskanaler er også virksomhedernes foretrukne kanal for data, dokumenter og ophavsrettigheder: universelt anvendte filtyper. Ved at indlejre skadelig kode i filer, forsøger angribere at få adgang til systemer. PDF er blevet en sådan universelt anvendt filtype, takket være PDF-formatets status som en frit tilgængelig publiceret standard. Mange udviklere har anvendt standarden til at skabe deres egne PDF-værktøjer, hvilket giver cyber-kriminelle bedre muligheder. Eftersom hackere forsøger at udnytte svaghederne i programmerne, der skaber og viser PDF-filer, skal virksomhederne nu udvise forsigtighed, når de beslutter sig for, hvilken software de tillader i deres virksomhedsmiljøer. Denne hvidbog diskuterer konsekvenserne ved et brud, de applikationsmæssige sikkerhedsforanstaltninger du bør lede efter for at forhindre angreb, og de leverandørkarakteristika, der giver sikker software. Den deler også andre producenters resultater fra sikkerhedstests for at vise, hvordan Adobe Acrobat X og Adobe Reader X-software udkonkurrerer andre PDF-løsninger på markedet, når det handler om at beskytte organisationer mod angreb, der kan have katastrofale konsekvenser. Den forklarer, hvorfor virksomheder skal vurdere sikkerheden ved de applikationer, de bruger til at få vist og skabe PDF-filer med den samme intense gransken, som de bruger til at vurdere deres mest forretningskritiske applikationer ved bl.a. at stille spørgsmål om: Hvilke operativsystemmitigeringer er indbygget i softwaren? Indeholder softwaren foranstaltninger, der kan forhindre et sammenbrud i at blive udnyttet? Hvilken type af processer er på plads - fra produktudvikling til spørgsmål og svar (QA) - til at håndtere kommende sikkerhedstrusler? Hvordan leverer udbyderen sikkerhed uden at gå på kompromis med funktionaliteten? Hvad sker der efter frigivelse? Fortsætter udbyderen med aktivt at forbedre produktsikkerheden? Hvor involveret er udbyderen med det bredere sikkerhedsmiljø? Uden dette niveau med granskning blotter organisationer sig for ekstraordinær risiko. Programnedbrud udgør en mulighed for angreb En af de mest almindelige metoder, som hackere bruger, er at forsyne et system med fejlbehæftede filer, der får det til at bryde ned, normalt ved at narre en dokumentmodtager til at tro, at en skadelig fil er ægte. Nedbrud er ødelæggende og forstyrrer produktiviteten, men de er ikke i sig selv meget ødelæggende. Det største problem forekommer, når angribere forsøger at udnytte fejl, der ødelægger hukommelsen. Hvis et nedbrud skaber en åbning, som angribere med held kan udnytte, indsætter de skadelig kode, der kører på systemet. Det er det, der sætter angribere i stand til at stjæle data som f.eks. kreditkortnumre, installere malware, slette filer eller ændre andre systeminformationer på en maskine, der mangler tilstrækkeligt lagdelt forsvar. Denne slags angreb er slet ikke unik for PDF-filtypen. Hackere har brugt det i mange år mod internetprogrammer, operativsystemer og alle fælles software- og filtyper.

Virkningen af et angrebsforsøg kan være minimale, hvis organisationer har den rette software. Ellers kan konsekvenserne være katastrofale. Dit omdømme og varemærke kan lide uoprettelig skade. Dine kunder kan miste tilliden og opsøge dine konkurrenter. Du kan måske også drages juridisk til ansvar for brud og blive ramt at omfattende sagsomkostninger, bødestraf og forlig. Desværre er de værst tænkelige tilfælde ikke ualmindelige. En enkel nyhedssøgning på en given dag vil kunne vise utallige historier om organisationer, der er ramt af sikkerhedsbrud. Det kan virke som om, angriberne kun rammer de mest synlige organisationer, men mindre virksomheder og offentlige organisationer rammes også ofte, og hackerer rammer specifikke datatyper. Led efter software, der fuldt ud bruger operativsystemmitigeringer for at mindske risikoen Sikkerhedseksperter er generelt enige om, at det bedste forsvar er et lagdelt forsvar i dybden, fordi det sætter ind på flere fronter vha. værktøjer, der er indbygget i både applikationen og operativsystemet. Alle de efterfølgende mitigeringer bør være til stede i enhver PDF-løsning, som du evaluerer for din organisation. En løsning med kun nogle få af disse funktioner tilbyder ikke det sikkerhedsniveau, som alle disse funktioner i kombination kan tilbyde. Applikationssandbox Med en sandbox skaber operativsystemet et indesluttet driftsmiljø til kørsel af programmer med begrænsede rettigheder eller privilegier. Sandboxes beskytter brugernes systemer, så de ikke bliver skadet af ikke-sikre dokumenter, der kan indeholde eksekverbar kode. Denne metode med adgangskontrol virker ved at tildele integritetsniveauer. En proces, der er skabt med lav integritet, er stærkt begrænset vedrørende de objekter, der kan åbnes. Andre mekanismer, der ofte bruges til at skabe en applikationssandbox, indeholder begrænsede tokens og jobobjektgrænser. Forhindring af datakørsel Data Execution Prevention (DEP) forhindrer placering af data eller skadelig kode på hukommelsessteder, der defineres som beskyttet af Windows -operativssystemet. DEP tilbyder hardware- og softwarehukommelseskontroller. Ikke-eksekverbar hukommelse Hardware-DEP fremkalder en undtagelse, når der eksekveres kode fra et såkaldt ikke-eksekverbart (NX) hukommelsessted. Understøttede CPU'er opnår dette ved at aktivere NX-bitten, og markere specifikke hukommelsesområder som ikke-eksekverbare. Sikker struktureret undtagelseshåndtering Software-forbedret DEP kontrollerer ægtheden af frembragte undtagelser i et program for at forhindre skadelig kode i at udnytte undtagelseshåndteringsfunktionen. Dette kaldes sikker struktureret undtagelseshåndtering (SafeSEH). ASLR (address space layout randomization) Selv når DEP anvendes, er det stadig muligt at eksekvere kode ved at omdirigere et funktionskald til adressen på et eksekverbart hukommelsesområde i processen. For at forhindre sådanne angreb er det muligt at bruge ASLR (address space layout randomization). Denne teknik skjuler hukommelse og sidefilplaceringer for systemkomponenter, hvilket gør det svært for angribere at finde og ramme disse komponenter. Både Windows og Mac OS X v10.6 bruger ASLR. Stack cookies Buffersikkerhedskontrollen er en compilerfunktion, hvor en stack cookie suppleres for at undgå udnyttelse fra stack-baserede bufferoverløb. Denne programdækkende cookie kopieres mellem de lokale variabler og returadresserne. Derefter tilføjer compileren kode til prologen og epilogen af funktionerne for at standse eksekveringen, hvis der ændres på cookien. Af de 12 testede PDF-løsninger er Adobe Reader X og Adobe Acrobat X de eneste løsninger, der tilbyder alle fem kritiske sikkerhedslag for at undgå udnyttelse af et brud på Windows. Produktivitet Sandbox Stack cookies NX ASLR SafeSEH Adobe Reader X Adobe Acrobat X 2

Andre sikkerhedsfunktioner Acrobat og Reader tilbyder mange andre mitigeringsmuligheder, herunder beskyttelser på tværs af domæner og JavaScript hvid- og sortliste. Beskyttelser på tværs af domæner mitigerer specifikt på tværs af script-baserede angreb, der er blevet mere fremherskende på internettet. Hvidlistning forsyner organisationer med evnen til kun at aktivere JavaScript i forbindelse med deres sikre arbejdsgange og sortlistning beskytter brugerne mod angreb, der rammer specifikke JavaScript API-kald. Sådan evalueres en udbyders tilgang til sikkerheden Den største sikkerhedmæsssige udfordring it-teamet står over for er et "levende mål". Der udvikles nye trusler hver dag. Det er derfor, at det ved evaluering af sikkerhed af PDF-softvaren er nødvendigt at tage hensyn til både det, som udbyderen bygger ind i et produkt fra starten, og det som udbyderen gør for at sikre, at softwarens sikkerhed forbliver robust i tidens løb. At forblive årvågen mht. software-sikkerhed betyder utrættelig test og korrektion af fejl, og samtidig udvikle nye former for beskyttelse for at forsvare sig mod et trusselsbillede, der hurtigt ændrer sig. Hvordan skal en udbyder håndtere software-udvikling og -test? Sikkerhedsdedikerede produktteams sikkerhed bør integreres på ethvert trin af produktets levetid Proaktive sikkerheds- og kodekorrekturer proaktive hændelsesanalyser og -korrekturer, samt styrkelse af eksisterende kode, fremmer yderligere forbedringer af applikationssikkerheden Deltagelse i brancheførende sikkerhedsprogrammer avanceret informationsudveksling af produktsvagheder med udbydere af sikkerhedssoftware som f.eks. udbydere af antivirus og indbrudsregistrering og -forebyggelse, så branchen kan samarbejde om at reducere risikoen for sårbarheder Hvordan skal en udbyder understøtte opdateringsprocessen? Forudsigelige rettelsessplaner rettelser nedbringer it- og slutbrugerproduktivitet, så det bør forekomme på en forudsigelig og ikke-for-hyppig tidsplan - for eksempel den samme dag hver måned eller kvartal Enkel konfigurations post-udrulning en softwareløsning skal udnytte værktøjer på operativsystemniveau, som f.eks. Group Policy på Windows og Property List på Mac OS, der letter processerne med ændring af indstillinger efter udrulning Understøttelse af udrulningsværktøjer i organisationer, der skal opdatere tusindvis af maskiner er understøttelse af udrulningsværktøjer af afgørende betydning. I særdeleshed kan understøttelse af de nyeste softwarehåndteringssystemer, som f.eks. Microsoft System Center Configuration Manager (SCCM) og Microsoft System Center Updates Publisher (SCUP), gøre det lettere og mere effektivt at opdatere software på tværs af organisationen. Hvordan skal en udbyder understøtte softwaren efter frigivelse? Løbende forbedringer udbydere skal fortsat proaktivt arbejde på at gøre softwaren mere robust og angrebssikker end blot at reagere på eksisterende trusler. Undtagelsesmæssige opdateringer skal udrulle disse forbedringer. Branchesamarbejde det er vigtigt, at udbyderne er aktivt involveret i sikkerhedsmiljøet, så de er på forkant med de nyeste trusler og innovationer - og kan håndtere dem Hvordan skal en udbyder reagere på sikkerhedsfejl? Åbenhed udbydere bør være åbne om sikkerhedsemner og hvad de betyder, for at gøre deres software mere robust. Udbydere som tager sikkerhed alvorligt, udsender og reagerer proaktivt på trusler - også kendt som Almindelige svagheder og eksponeringer - i internationalt anerkendte databaser som f.eks. National Vulnerability Database. Manglende afsløringer af svagheder betyder ikke, at et produkt ikke kan udnyttes af hackere. Det betyder snarere, at den udbyder, der har frigivet produktet, ikke håndterer sikkerhedsspørgsmål proaktivt. 3

Adobe Acrobat X Familiens sikkerhed og uafhængige testresultater fra andre producenter Med sikkerhed i fokus integrerer Acrobat X og Reader X brancheførende sikkerhedsteknikker. Adobe udkonkurrerer andre PDF-løsninger inden for sikkerhedstestning I december 2011 gennemførte tredjeparts sikkerhedskonsulentvirksomheden isec produktsammenligningstest af 12 løsninger til visning, oprettelse eller redigering af PDF-dokumenter, som blev publiceret i rapporten, PDF Produktsammenligning. Testerne udsatte hvert produkt for det samme sæt af bevidst skadelige filer i et forsøg på at fremkalde fejl. Når der opstod nedbrud, blev de automatisk klassificeret som udnytbare eller ikke-udnytbare. Selv i det mindre hyppige tilfælde, hvor test kunne foretages for at forårsage et nedbrud, blev ikke et eneste nedbrud af Reader X eller Acrobat X klassificeret som udnytbar. Der kunne kun fremkaldes nedbrud på Reader X og Acrobat X hhv. 7 og 13 unikke gange. I sammenligning brød andre PDF readere ned op til 134 unikke gange, og andre PDF writere brød ned op til 132 unikke gange på et stort korpus af PDF testfiler. Testerne tilskrev dette resultat med nul udnytbare nedbrud et komplet sæt af operativsystemmitigeringer og lagdelte forsvar, der blev fundet i Reader X og Acrobat X, herunder applikationssandboxing, NX hukommelse, ASLR, SafeSEH og stack cookies. På den anden side oplevede visse testede PDF readere uden disse operativsystemmitigeringer op til 16 udnytbare nedbrud, og visse PDF writere oplevede helt op til 22 udnytbare nedbrud. I uafhængig treparts test oplevede Reader X og Acrobat X 0 nedbrud, der kan udnyttes, når de blev udsat for skadelige filer. Sikkerhedsfunktioner som f.eks. sandboxing forebygger muligheden for udnyttelser, når der sker et nedbrud. Løsning Antal nedbrud, der kan udnyttes Adobe Reader X 0 Adobe Acrobat X 0 Adobe investerer i sikkerhed og reducerer ekstraordinære sikkerhedsopdateringer Sikkerhedsforbedringer er en del af de omfattende tekniske investeringer, Adobe har foretaget for at hjælpe med at styrke Acrobat produktfamilien mod aktuelle og nye trusler. Ved løbende at gøre softwaren mere robust mod angrebsforsøg kan Adobe hjælpe med at reducere eller eliminere behovet for ekstraordinære sikkerhedsopdateringer og sænke vigtigheden af regelmæssigt planlagte opdateringer. Dette er med til at øge driftsfleksibiliteten og reducerer omkostningerne i produktets levetid (TCO), specielt i store miljøer med høje sikkerhedskrav. Når der kommer patches, hjælper Adobes integration med førende styringsværktøjer med at sikre, at administrerede Windows computere altid er up-to-date med de nyeste sikkerhedspatches og opdateringer, og at patches i sig selv er hurtige og enkle. 4

Oversigt Eftersom PDF-filtypen kan bruges til angreb, er tiderne med licenser og udrulning af de billigste PDFværktøjer uden nøje granskning af sikkerheden forsvundet for længst. Når en organisations omdømme og overlevelse afhænger af deres sikkerhedsforsvars evne til at holde skansen, hvis de rammes af gentagne angreb, er det af afgørende betydning, at de forlanger en højere standard fra applikationsudbyderne. Adobe tilbyder omfattende mitigeringer for at hjælpe med at forhindre angreb i at nå målet: Nyeste sandboxing-teknologi JavaScript hvid- og sortliste Deaktiveret adgang på tværs af domæner Strømlinede rettelsesfunktioner Forbedrede værktøjer til udrulning og administration Adobe fortsætter også med at investere i sine produkter lang tid efter frigivelsen, for at gøre dem endnu mere robuste, så kunderne kan være sikre på, at deres sikkerhedsforanstaltninger fortsat vil tilpasse sig et trusselsbillede, der er i konstant forandring. Adobe Systems Nordic AB Box 47, 164 93 Kista, Sverige www.adobe.dk, www.adobe.com Adobe, the Adobe logo, Acrobat, and Reader are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States and/or other countries. Mac OS is a trademark of Apple Inc., registered in the U.S. and other countries. Windows is either a registered trademark or a trademark of Microsoft Corporation in the United States and/or other countries. All other trademarks are the property of their respective owners. 2012 Adobe Systems Incorporated. All rights reserved. Printed in Denmark. 2/12

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback