Close

Nossa abordagem para gerenciar incidentes de segurança


Nossa abordagem para gerenciar incidentes de segurança

A Atlassian tem um conjunto abrangente de medidas de segurança para garantir a proteção das informações dos clientes e oferecer os serviços mais confiáveis e seguros possíveis. Porém, também reconhecemos que os incidentes de segurança ainda podem acontecer (e acontecem) e, por isso, tão importante quanto prevenir é ter métodos eficazes para lidar com eles, caso surjam.

Como resultado, temos uma abordagem com definições claras para responder a incidentes de segurança que afetam nossos serviços ou infraestrutura. Nossa abordagem de resposta a incidentes inclui registro e monitoramento abrangentes dos produtos e infraestrutura para garantir a detecção rápida de possíveis incidentes, auxiliados por processos definidos com cuidado que garantem a clareza do que precisamos fazer em todas as etapas do incidente. Isso é sustentado por uma equipe de gerentes de incidentes de plantão muito qualificados, com experiência significativa na coordenação de respostas eficazes. Também temos acesso a uma série de especialistas externos para ajudar a investigar e responder da forma mais eficaz possível. Estruturamos nossa abordagem de gerenciamento de incidentes com orientação do NIST 800-61 Computer Security Incident Handling Guide e catalogamos nossos incidentes de acordo com a Estrutura VERIS da Verizon.

Mais sobre nossa filosofia e abordagem

Consideramos um incidente de segurança qualquer instância em que exista um impacto negativo real ou iminente na confidencialidade, integridade ou disponibilidade dos dados de nossos clientes, dados da Atlassian ou serviços da Atlassian.

Antes, qualificamos o impacto com a palavra "intencional", mas ela foi removida para incluir vazamentos acidentais de dados etc.

A essência da maneira como respondemos a incidentes de segurança é garantir que defendamos nossos valores, e, em particular, garantir que não estamos "ferrando a vida do cliente" (DFTC). Estamos focados em implementar os melhores processos para lidar com incidentes de segurança de uma maneira sempre alinhada com os melhores interesses de nossos clientes e garantir que eles continuem a ter uma experiência excelente ao usar nossos produtos. Para esse fim, desenvolvemos um processo de resposta a incidentes que é robusto e incorpora vários recursos discutidos abaixo.

Várias vias para detecção rápida de possíveis incidentes

Temos vários mecanismos de monitoramento em vigor para detectar falhas ou anomalias em nossos produtos e infraestrutura que podem ser um indicador de um possível incidente de segurança. Esses sistemas enviam alertas imediatos se for detectada uma atividade que exija mais investigação. Temos uma plataforma agregada de captura e análise de logs que coleta logs em um único local, para que nossos analistas possam fazer uma investigação rápida e completa, e nossos Engenheiros de confiabilidade do site monitoram a plataforma para garantir que ela esteja sempre disponível. Também criamos alertas em nossas informações de segurança e aplicativos de eventos que enviam notificações por conta própria para nossas equipes.

Também mantemos canais de relatórios externos através dos quais podemos tomar conhecimento de vulnerabilidades ou incidentes, incluindo o Programa de recompensa de bugso portal de suporte ao cliente e números de telefone e caixas de entrada de e-mail de segurança definidos.

Uma estrutura estabelecida para gerenciar incidentes de segurança

Para garantir que nosso processo de resposta a incidentes seja consistente, repetível e eficiente, temos uma estrutura interna com definições claras que abrange as etapas que precisamos seguir em cada fase do processo de resposta a incidentes. Documentamos esquemas táticos em atualização contínua, que definem em detalhes as etapas que precisamos seguir para ter respostas efetivas a diferentes tipos de incidentes. Em termos gerais, nossa estrutura de resposta abrange:

Detecção e análise de incidentes – as etapas que seguimos após as notificações iniciais que recebemos sobre um possível incidente, incluindo como confirmamos se ocorreu um incidente de segurança (para minimizar os falsos positivos), para entender os vetores de ataque, o escopo do comprometimento e o impacto para a Atlassian e seus clientes.

Categorização de gravidade do incidente – Depois de entendermos o que aconteceu por meio de uma análise apropriada, usamos essas informações para determinar a gravidade do incidente. Designamos um dos quatro níveis de gravidade para um incidente:

Descrição da Gravidade do Incidente
Gravidade Descrição
0 Incidente de crise com impacto máximo
1 Incidente crítico com impacto muito alto
2 Incidente grave com impacto significativo
3 Incidente leve com baixo impacto

 

Usamos diversos indicadores para determinar a gravidade de um incidente. Eles variam dependendo do produto envolvido, mas sempre consideram se há uma interrupção total do serviço (e o número de clientes afetados), se a funcionalidade principal foi prejudicada e se houve perda de dados.

Contenção, erradicação e recuperação – Considerando a gravidade do incidente, determinamos e implementamos as etapas necessárias para conter o incidente, erradicar as causas subjacentes e iniciar nossos processos de recuperação para garantir que voltemos aos negócios o mais rápido possível. É claro que as medidas que tomarmos nesta fase vão ter variações significativas dependendo da natureza do incidente. Sempre que for para benefício dos clientes (ou conforme exigido pelas obrigações legais ou contratuais), a Atlassian também vai entrar em contato com eles sobre o incidente e seus possíveis impactos durante esta fase do processo de resposta a incidentes.

Notificação - Nosso objetivo é notificar qualquer cliente no prazo de 72 horas ou sem demora injustificada se seus dados estiverem envolvidos em um incidente ou violação. No início talvez não sejam muitas informações, mas daremos todas as informações conforme forem sendo disponibilizadas.

Um processo robusto de revisão pós-incidente – Depois que todo incidente é resolvido, analisamos as lições que podemos aprender com o que aconteceu que podem informar o desenvolvimento de soluções técnicas, melhorias de processo e a introdução de práticas recomendadas adicionais, para que possamos continuar a oferecer a melhor experiência para nossos clientes e dificultar ainda mais o trabalho de pessoas mal-intencionadas na próxima vez.

Funções e responsabilidades com definições claras

Todo incidente que vivenciamos é gerenciado por um Gerente de Incidentes Principais (ou MIM). Os MIMs são experientes e muito qualificados. Em geral, os MIMs tomam decisões relacionadas à segurança, supervisionam o processo de resposta e alocam tarefas internamente para facilitar o processo de resposta. Os MIMs também são auxiliados por analistas de incidentes que lideram a investigação e análise de incidentes, além de várias outras funções que ajudam no processo de resposta. Em muitos casos, se um incidente tiver impacto em mais de um local, dois MIMs são atribuídos a um incidente para garantir que sempre haja alguém responsável por manter o processo de resposta ativo e que as atividades de contenção ou recuperação não sejam interrompidas ou afetadas por diferenças de horário.

No caso de incidentes de grande escala, pode haver casos em que um MIM de uma equipe diferente (o mais comum é ser o Engenheiro de confiabilidade do site) vai ser chamado para ajudar a gerenciar o processo de resposta. Você pode ler mais informações sobre as funções e responsabilidades atribuídas em casos de incidentes de segurança.

Acesso a especialistas externos quando necessário

Às vezes, podemos precisar da ajuda de especialistas externos para investigar um incidente. Mantemos os serviços de consultores especializados em segurança cibernética e especialistas forenses para casos em que podemos precisar de análises forenses aprofundadas ou suporte forense para descoberta eletrônica em casos de processos judiciais.

Como usamos nossas próprias ferramentas para gerenciar incidentes de segurança

Usamos versões de muitos de nossos próprios produtos com configurações especiais para ajudar a garantir o tratamento de incidentes mais metódico, consistente e dinâmico possível. Essas versões incluem:

Confluence – Usamos o Confluence para criar, documentar e atualizar nossos processos de resposta a incidentes em colaboração e em um local central e garantir que esses processos sejam disseminados para toda a equipe e possam ter atualizações rápidas em resposta às lições aprendidas com base em incidentes anteriores. Também usamos o Confluence para documentar nossos testes e buscas.

Jira – Usamos o Jira para criar chamados para gerir a investigação inicial de incidentes suspeitos e facilitar e acompanhar nosso processo de resposta se nossas investigações iniciais confirmarem que um incidente ocorreu. Esses chamados nos ajudam a agregar informações sobre um incidente, desenvolver resoluções e executar outro trabalho logístico (como delegar tarefas como parte do processo de resposta e entrar em contato com outras equipes da empresa, quando necessário). Também usamos o Jira para rastrear quais buscas executamos e o sucesso ou fracasso de cada busca. 

Bitbucket – Utilizamos o Bitbucket como nossa ferramenta de controle de código-fonte quando desenvolvemos soluções baseadas em código para problemas-limite únicos que surgem com certos tipos de incidentes. As soluções que desenvolvemos podem ser combinadas internamente e testadas, mantendo-se privadas e facilitando iterações rápidas conforme necessário. Também usamos o Bitbucket em combinação com um plano de Integração Contínua / Entrega Contínua, código de lançamento para ajudar a mitigar a causa de um incidente ou auxiliar na detecção ou prevenção de futuros incidentes.

Por fim, o uso dessas ferramentas nos ajuda a estabelecer uma estrutura de resposta que garanta que os incidentes, não importa de qual tipo, comecem a ter um certo nível de estrutura e familiaridade, para que possamos avançar o mais rápido possível para encontrar uma solução.

Um breve resumo

A Atlassian emprega uma abordagem robusta e abrangente para lidar com incidentes de segurança, centrada no uso das mesmas ferramentas que disponibilizamos para nossos clientes. Isso nos permite responder a incidentes com um alto grau de consistência, previsibilidade e eficácia e minimizar o potencial de danos aos nossos clientes, parceiros e à própria Atlassian.

Quer saber mais?

Publicamos vários outros recursos que você pode acessar para aprender sobre nossa abordagem para gerenciar incidentes de segurança e nossa abordagem geral sobre segurança.