Abordagem da Atlassian ao gerenciamento de incidentes de segurança
Nossa abordagem para gerenciar incidentes de segurança
A Atlassian tem um conjunto abrangente de medidas de segurança para garantir a proteção das informações dos clientes e oferecer os serviços mais confiáveis e seguros possíveis. Porém, a gente também reconhece que os incidentes de segurança ainda podem acontecer (e acontecem). Então a gente considera que, tão importante quanto prevenir, é ter métodos eficazes para lidar com eles, caso surjam.
Como resultado, a gente tem uma abordagem com definições claras para responder a incidentes de segurança que afetam nossos serviços ou infraestrutura. Essa abordagem de resposta a incidentes inclui registro e monitoramento abrangentes dos produtos e infraestrutura para garantir a detecção rápida de possíveis incidentes, auxiliados por processos definidos com cuidado que garantem a clareza do que é preciso fazer em todas as etapas do incidente. A abordagem é sustentada por uma equipe de gerentes de incidentes de plantão muito qualificados, com experiência significativa na coordenação de respostas eficazes. A gente também tem acesso a uma série de especialistas externos para ajudar a investigar e responder da forma mais eficaz possível. A gente estruturou a abordagem de gerenciamento de incidentes com orientação do NIST 800-61 Computer Security Incident Handling Guide e cataloga os incidentes de acordo com a Estrutura VERIS da Verizon.
Mais sobre nossa filosofia e abordagem
A gente considera um incidente de segurança qualquer instância em que exista um impacto negativo real ou iminente na confidencialidade, integridade ou disponibilidade dos dados dos clientes, dados da Atlassian ou serviços da Atlassian.
A gente costumava qualificar o impacto com a palavra “intencional”, mas ela foi removida para incluir vazamentos acidentais de dados etc.
A essência da maneira como a gente responde a incidentes de segurança é garantir a defesa dos valores da Atlassian e, em particular, garantir que a gente não "ferre a vida do cliente". A gente tem como foco implementar os melhores processos para lidar com incidentes de segurança de uma maneira sempre alinhada com o que é melhor para os clientes e garantir que eles continuem a ter uma experiência excelente ao usar os produtos da Atlassian. Para esse fim, a gente desenvolveu um processo de resposta a incidentes que é robusto e incorpora várias funções discutidas abaixo.
Várias vias para detecção rápida de possíveis incidentes
A gente tem vários mecanismos de monitoramento em vigor para detectar falhas ou anomalias nos produtos e infraestrutura que podem ser um indicador de um possível incidente de segurança. Esses sistemas enviam alertas imediatos se for detectada uma atividade que exija mais investigação. A gente tem uma plataforma agregada de captura e análise de registros que reúne os registros em um único local, para que os analistas possam fazer uma investigação rápida e completa, e os engenheiros de confiabilidade do site monitoram a plataforma para garantir que ela esteja sempre disponível. Também criamos alertas no aplicativo de informações de segurança e eventos que enviam notificações por conta própria para as equipes.
A gente também mantém canais de relatórios externos através dos quais a gente pode tomar conhecimento de vulnerabilidades ou incidentes, incluindo o Programa de Recompensas por Bugs, o portal de suporte ao cliente e números de telefone e caixas de entrada de e-mail de segurança definidos.
Uma estrutura estabelecida para gerenciar incidentes de segurança
Para garantir que o processo de resposta a incidentes seja consistente, repetível e eficiente, a gente tem uma estrutura interna com definições claras que abrange as etapas que devem ser seguidas em cada fase do processo de resposta a incidentes. A gente documenta esquemas táticos em atualização contínua que definem em detalhes as etapas que devem ser seguidas para ter respostas efetivas a diferentes tipos de incidentes. Em termos gerais, a estrutura de resposta abrange:
Detecção e análise de incidentes – As etapas que a gente segue após as notificações iniciais recebidas sobre um possível incidente, incluindo desde como a gente confirma se ocorreu um incidente de segurança (para minimizar os falsos positivos), até a compreensão dos vetores de ataque, escopo de comprometimento, e do impacto para a Atlassian e para os clientes.
Categorização da gravidade do incidente – Depois de entender o que aconteceu através da análise apropriada, a gente usa essas informações para determinar a gravidade do incidente. A gente designa um dos quatro níveis de gravidade para o incidente:
Descrição da gravidade do incidente | |
Gravidade | Descrição |
0 | Incidente de crise com impacto máximo |
1 | Incidente crítico com impacto muito alto |
2 | Incidente grave com impacto significativo |
3 | Incidente leve com baixo impacto |
A gente usa diversos indicadores para determinar a gravidade de um incidente. Eles variam dependendo do produto envolvido, mas sempre consideram se há uma interrupção total do serviço (e o número de clientes afetados), se a funcionalidade principal foi prejudicada e se houve perda de dados.
Contenção, erradicação e recuperação – Considerando a gravidade do incidente, a gente determina e implementa as etapas necessárias para conter o incidente, erradicar as causas subjacentes e iniciar os processos de recuperação para garantir que o retorno aos negócios seja o mais rápido possível. É claro que as medidas que a gente toma nesta fase vão ter variações significativas dependendo da natureza do incidente. Sempre que for para benefício dos clientes (ou conforme exigido pelas obrigações legais ou contratuais), a Atlassian também vai entrar em contato com eles sobre o incidente e seus possíveis impactos durante esta fase do processo de resposta a incidentes.
Notificação: a gente tem como objetivo notificar qualquer cliente sem demora injustificada se seus dados estiverem envolvidos em um incidente confirmado. No início, isso pode ser pouco detalhado, mas a gente vai oferecer todos os dados quando eles estiverem disponíveis.
Um processo robusto de revisão pós-incidente – Depois que todo o incidente é resolvido, a gente analisa as lições que podem ser aprendidas com o que aconteceu e que podem informar o desenvolvimento de soluções técnicas, melhorias de processo e a introdução de práticas recomendadas adicionais, para que a gente possa continuar a oferecer a melhor experiência para os clientes e dificultar ainda mais o trabalho de pessoas mal-intencionadas na próxima vez.
Funções e responsabilidades com definições claras
Todo incidente que a gente vivencia é gerenciado por um Gerente de Incidentes graves (ou MIM) experiente e muito qualificado. Em geral, os MIMs tomam decisões relacionadas à segurança, supervisionam o processo de resposta e fazem a alocação interna das tarefas para facilitar o processo de resposta. Os MIMs também são auxiliados por analistas de incidentes que lideram a investigação e análise de incidentes, além de várias outras funções que ajudam no processo de resposta. Em muitos casos, se um incidente tiver impacto em mais de um local, dois MIMs são atribuídos a um incidente para garantir que sempre haja alguém responsável por manter o processo de resposta ativo e que as atividades de contenção ou recuperação não sejam interrompidas ou afetadas por diferenças de horário.
Pode haver casos de incidentes de grande escala em que um MIM de uma equipe diferente (o mais comum é ser o Engenheiro de Confiabilidade do Site) vai ser chamado para ajudar a gerenciar o processo de resposta. Você pode ler mais informações sobre as funções e responsabilidades atribuídas em casos de incidentes de segurança.
Acesso a especialistas externos quando necessário
Às vezes, podemos precisar da ajuda de especialistas externos para investigar um incidente. Mantemos os serviços de consultores especializados em segurança cibernética e especialistas forenses para casos em que podemos precisar de análises forenses aprofundadas ou suporte forense para descoberta eletrônica em casos de processos judiciais.
Como usamos nossas próprias ferramentas para gerenciar incidentes de segurança
A gente usa versões de muitos produtos próprios com configurações especiais para ajudar a garantir o tratamento de incidentes mais metódico, consistente e dinâmico possível. Essas versões incluem:
Confluence – A gente usa o Confluence para criar, documentar e atualizar, de forma colaborativa, os processos de resposta a incidentes em um local central, e garantir que esses processos sejam disseminados para toda a equipe e possam ter atualizações rápidas em resposta às lições aprendidas com base em incidentes anteriores. A gente também usa o Confluence para documentar as táticas e buscas.
Jira – A gente usa o Jira para criar tickets para lidar com a investigação inicial de incidentes suspeitos e para facilitar e rastrear o processo de resposta se as investigações iniciais confirmarem que um incidente ocorreu. Esses tickets ajudam a agregar informações sobre um incidente, desenvolver resoluções e realizar outros trabalhos logísticos (como delegar tarefas como parte do processo de resposta e entrar em contato com outras equipes dentro da empresa, quando necessário). A gente também usa o Jira para rastrear quais buscas foram executadas e o sucesso ou fracasso de cada busca.
Bitbucket – A gente usa o Bitbucket como ferramenta de controle de código-fonte no desenvolvimento de soluções baseadas em código para problemas-limite únicos que surgem com certos tipos de incidentes. As soluções que a gente desenvolve permitem colaboração interna e testes, permanecendo privadas e facilitando iterações rápidas, conforme necessário. A gente também usa o Bitbucket em combinação com um plano de Integração contínua/Entrega contínua, para implementar código que ajuda a mitigar a causa do incidente e auxiliar na detecção ou prevenção de futuros incidentes.
Em última análise, o uso dessas ferramentas ajuda a estabelecer uma estrutura de resposta que garanta que todos os incidentes, não importa de qual tipo, comecem a ter um certo nível de estrutura e familiaridade, para que a gente possa avançar o mais rápido possível para encontrar uma resolução.
Um breve resumo
A Atlassian emprega uma abordagem robusta e abrangente para lidar com incidentes de segurança, centrada no uso das mesmas ferramentas que disponibilizamos para nossos clientes. Isso nos permite responder a incidentes com um alto grau de consistência, previsibilidade e eficácia e minimizar o potencial de danos aos nossos clientes, parceiros e à própria Atlassian.
Quer saber mais?
A gente publicou vários outros recursos que você pode acessar para saber mais sobre a abordagem para lidar com incidentes de segurança e a abordagem geral de segurança.