O Programa de Detecções de Segurança
O Programa de Detecções de Segurança da Atlassian
Na Atlassian, a gente tem consciência de que não dá para abaixar a guarda quando se trata de segurança. Um de nossos principais valores é “Seja a mudança que você quer”, e a gente pretende dar vida a esse valor, sempre melhorando a abordagem de segurança à medida que o cenário de ameaças cibernéticas continua a evoluir.
Um exemplo de como a gente sempre está melhorando pode ser observado por meio do Programa de Detecções de Segurança.
O que é o Programa de Detecções de Segurança?
As detecções são, em primeiro lugar, pesquisas executadas com iniciativa de acordo com um cronograma na plataforma de gerenciamento de eventos e incidentes de segurança da Atlassian. Essas pesquisas são projetadas para detectar atividades maliciosas direcionadas à Atlassian e seus clientes. Por exemplo, detecções geradas para analisar cabeçalhos de e-mails recebidos, detectar comportamentos maliciosos de extensões do navegador ou procurar por padrões suspeitos de tráfego DNS.
No final de 2018, a Atlassian introduziu um Programa de Detecções de Segurança formal e o transformou na abordagem principal da equipe de Detecção e Resposta. O foco do programa é diminuir o tempo de detecção de atividades maliciosas. Para alcançar essa meta, novas regras de detecção são criadas com frequência, as regras existentes são ajustadas e melhoradas e as respostas são automatizadas.
O Programa de Detecções melhora os processos existentes de Gerenciamento de incidentes de segurança da Atlassian. Embora a Segurança da Atlassian tenha confiança nesses processos, o programa foi estabelecido a partir do reconhecimento de que, à medida que a Atlassian continua crescendo e atendendo mais clientes em todo o mundo, é necessário:
Melhorar a capacidade de detectar incidentes com mais rapidez em um cenário de ameaças cada vez mais complexo; e
Garantir que a abordagem ao gerenciamento de incidentes leve em consideração não apenas as ameaças que a gente enfrenta, mas também antecipe e se prepare com suficiência para o cenário de ameaças que a gente vai enfrentar no futuro.
Os objetivos do Programa de Detecções
Os principais objetivos da introdução do Programa de Detecções do ponto de vista da Atlassian foram:
Aumentar a proporção de incidentes de segurança identificados como resultado de alertas de detecções que a segurança criou e reduzir aqueles que poderiam ter sido, mas, em vez disso, chegou até a gente através de outra fonte (ex. relatórios externos/notificações);
Compreender e melhorar a cobertura de detecção em várias dimensões, incluindo produtos, tipos de ataque e fontes de registro, com o objetivo final de levar a cobertura o mais próximo possível de 100%; e
Ter uma maneira clara de medir e validar a abordagem da nossa equipe para detectar incidentes de segurança para que, como equipe, exista a certeza de que a gente está caminhando na direção certa e melhorando nossos recursos de detecção e resposta a incidentes ao longo do tempo.
Devido ao programa, as equipes de Regra de detecção e Resposta conseguiram refinar suas habilidades na plataforma de dados de análise e na criação de regras de detecção gerais, já que os analistas de segurança da Atlassian agora dedicam tempo à discussão e ao desenvolvimento de novas ideias.
Como o programa funciona
Como parte do programa, cada analista da equipe de Detecção e Resposta se concentra em escrever pelo menos uma nova regra de detecção de segurança por mês.
Quando um analista escreve uma nova detecção, ele também produz:
- Documentação detalhada descrevendo como a detecção funciona e quais são suas implicações de segurança;
- Um runbook sobre como responder a uma detecção quando ela gera um alerta. Esses runbooks podem ser acessados a partir de tickets do Jira criados para alertas de detecção, para que os analistas tenham todas as informações necessárias para lidar com esses alertas com rapidez.
- Uma análise documentada das razões de verdadeiros positivos e falsos positivos de detecção ao longo do tempo;
- Classificação da detecção para seu produto, serviço e fonte de registro associados da Atlassian, bem como o vetor de ataque ou a técnica que está cobrindo (o que ajuda a gente a ter uma boa visão geral da cobertura da detecção).
Cada detecção também está sujeita a um processo de revisão por pares para oferecer um nível de garantia em torno da qualidade das detecções que a gente escreve e permitir o compartilhamento de conhecimentos entre toda a equipe.
Quando uma regra de detecção encontra algo que pode ser malicioso, um alerta é disparado para ser respondido pela equipe de Detecção e Resposta. O resultado do alerta pode variar entre ser reconhecido como um evento de baixa importância ou falso positivo até dar início a uma investigação ou a criação de um incidente de segurança.
Padronização das detecções
A Segurança da Atlassian percebeu desde cedo a necessidade de ter um método para alcançar um alto nível de consistência e qualidade entre as detecções escritas por analistas. Sem um processo de padronização, a equipe correu o risco de ter detecções com nomeações inconsistentes, processos rudimentares de controle de fontes, dados históricos incompletos e nenhuma capacidade de entender a cobertura das detecções em nossos vários produtos e serviços.
Para ajudar cumprir esse objetivo, a equipe criou um esquema padrão para classificar as detecções. Quando um analista escreve uma nova detecção, ela passa por um processo automatizado para garantir que atenda aos requisitos do esquema. O fluxo de trabalho, em termos gerais, é o seguinte:
- Um analista de detecção e resposta cria um item no Jira para todas as novas execuções de regra de detecção que escreve. O Jira é excelente como a única fonte de verdade para todas as regras de detecção.
- Os analistas têm um tipo de item personalizado que a gente criou, com um conjunto básico de dados que eles preenchem para criar uma nova detecção, incluindo produtos, serviços e infraestrutura no escopo, tipos de ataque e campos de texto para a lógica de pesquisa do Splunk.
- Depois que a detecção é criada, a gente a padroniza executando uma ferramenta de interface de linha de comando, personalizada pela equipe de automação da Atlassian. Essa ferramenta ajuda a validar e propagar a detecção pelos vários sistemas e componentes que compõem o pipeline de alertas. Em específico, ela:
- lê o item do Jira em um objeto do Jira;
- valida campos no item e adiciona rótulos-chave;
- gera um nome padrão para a detecção e cria pull requests (PRs) para ela. O PR contém a estrofe, as chaves e os parâmetros do Splunk necessários para que as detecções executem pesquisas agendadas e propaguem alertas para o Jira; e
- cria e preenche uma página do Confluence que os analistas podem adicionar à medida que respondem ao alerta, vinculando ao item correspondente do Jira. Essa ação ajuda a criar mais visibilidade e captura informações históricas sobre as detecções. Ele também oferece uma “visão de nível executivo” das informações mais importantes necessárias para a geração de relatórios.

O processo de padronização também permite que a equipe classifique cada regra de detecção conforme o tipo de ataque e o produto, serviço ou infraestrutura da Atlassian à qual pertence, oferecendo uma visão de um único "painel de vidro" da cobertura geral das equipes de regra de detecção e resposta e, em específico, destacando áreas onde podem existir lacunas que precisam ser resolvidas.
Hoje em dia, a equipe de Detecção e Resposta usa a estrutura MITRE ATT&CK como ponto de partida para classificar as regras de detecção com base no tipo de ataque. Essa estrutura é complementada pelas operações da equipe vermelha de Segurança da Atlassian, os incidentes anteriores e a compreensão da equipe sobre novas ameaças e métodos de ataque para identificar áreas prioritárias com as quais as equipes devem se preocupar ao escrever novas regras de detecção.

***As informações e números acima são para fins ilustrativos.
Na Atlassian, a gente acredita que essa abordagem seja um grande passo adiante para oferecer clareza e direção para o Programa de Detecções, além de garantir um alto nível de consistência e qualidade nas detecções escritas.
Sistema de prevenção de intrusão (IPS)
A Atlassian usa o Cloudflare Enterprise no firewall de aplicativos web, DDOS e com protocolo TLS 1.2. Dentro do firewall, a solução tem o AlertLogic IDS ativado.
Um breve resumo
O Programa de Detecções de Segurança é uma parte importante da abordagem proativa da Atlassian para detecção e resposta a incidentes. A gente também acredita que a abordagem adotada para a padronização é algo do qual as equipes de segurança de muitas organizações poderiam se beneficiar. Se você quiser saber mais, entre em contato com a Equipe de suporte.
Quer saber mais?
A gente publicou vários outros recursos que você pode acessar para saber mais sobre a abordagem para lidar com incidentes de segurança e a abordagem geral de segurança.