Abordagem em relação aos testes de segurança externos
A Atlassian recebe pedidos regulares para divulgar relatórios de testes de intrusão por parte dos clientes que procuram saber sobre a garantia dos processos para identificar (e corrigir) vulnerabilidades de segurança nos Produtos e Cloud da Atlassian. Com a abordagem de testes de segurança externos estruturada em torno do conceito de "garantia contínua", em vez de um teste de intrusão em momentos específicos, o modelo de testes usado está sempre ativo e funcionando, além de oferecer uma recompensa por bug por meio de crowdsourcing.
Filosofia e abordagem da Atlassian
A Atlassian é muito conhecida por seus valores, que influenciam mesmo tudo o que a gente faz — incluindo a abordagem para testes de segurança. Na prática, esses valores conduzem até as seguintes filosofias e abordagens:
- Bugs são uma parte inevitável do processo de desenvolvimento. A pergunta não é se temos bugs, mas sim com que eficiência e rapidez eles são encontrados e solucionados. Isso não significa que a gente gosta de bugs ou não está constantemente buscando novas maneiras de reduzir sua frequência e gravidade. Porém, quando se trata de bugs de software, a negação não é uma abordagem eficaz.
- O objetivo da Atlassian é aumentar o custo de localização e exploração de vulnerabilidades dos produtos e serviços — ao identificar e solucionar rápido os problemas, a tendência é aumentar o custo econômico de encontrar bugs de segurança. Aumentando o custo de exploração de uma vulnerabilidade (fazendo com que dure mais, exigindo maior conhecimento e mais recursos dos caras maus), seu retorno sobre o investimento cai. Se esse retorno diminuir o bastante, vai se tornar proibitivo ou nada atraente para eles.
- A Atlassian apoia e usa os padrões da indústria. A padronização na terminologia e abordagem ajuda a garantir que a gente não está esquecendo de nada e ajuda os clientes a entender o que a gente faz. Por exemplo, as classificações de vulnerabilidades comuns usando o Common Vulnerability Scoring System (CVSS) garantem clareza no entendimento da gravidade de uma vulnerabilidade específica para a gente e os clientes. Os processos de gerenciamento de vulnerabilidades descritos na ISO 27001 e na Cloud Security Alliance (CSA) também são seguidos.
- Os pesquisadores de segurança externos são uma extensão valiosa da equipe: se um produto da Atlassian apresentar alguma vulnerabilidade, é do interesse de todos – da Atlassian e dos clientes — que ela seja encontrada e resolvida o mais rápido possível. A Atlassian incentiva que os pesquisadores externos identifiquem vulnerabilidades nos produtos por meio de prêmios em dinheiro do programa de recompensas por bugs. Com a ajuda dos pesquisadores de segurança externos, é possível escalar a equipe muito além das abordagens tradicionais!
- A Atlassian é aberta e transparente com relação ao programa de testes de segurança. O Programa de Recompensas por Bugs traz estatísticas sobre os bugs encontrados, a velocidade com que se tenta corrigir bugs de segurança não é segredo, e relatórios resumidos dos testes são disponibilizados na parte inferior desta página, quando possível.
Garantia de segurança contínua
Teste de intrusão
A gente usa empresas de consultoria especializadas em segurança para concluir os testes de intrusão em infraestruturas e produtos de alto risco. Esta pode ser uma nova infraestrutura configurada para a gente (por exemplo, o ambiente Cloud), um novo produto (como o Trello) ou uma rearquitetura fundamental (como o uso extensivo de microsserviços).
Nesses casos, a Atlassian tem uma abordagem para testes de intrusão extremamente direcionada e focada. Em geral, esses testes são:
- Caixa branca - os testadores vão receber a documentação do projeto e briefings dos nossos engenheiros de produtos como base para seus testes
- Código assistido - os testadores vão ter acesso completo à base de códigos relevantes para ajudar a diagnosticar qualquer comportamento inesperado do sistema durante o teste e para identificar potenciais alvos
- Com base em ameaças - o teste vai se concentrar em um cenário de ameaça específico, como presumir que uma instância comprometida existe e testar o movimento lateral a partir desse ponto inicial
A gente publica Cartas de Avaliações (LoA, em inglês) de parceiros de Teste de Intrusão, disponíveis para uso externo na parte final desta página. Pela grande quantidade de informações internas disponibilizadas aos testadores durante essas avaliações, não são oferecidos relatórios completos. A maioria desses sistemas e produtos vai ser, em outro momento, incluída no programa público de recompensas por bugs, oferecendo a garantia externa contínua que os clientes buscam. Todas as descobertas dessas avaliações passam por triagem e são corrigidas de acordo com o SLO de vulnerabilidade de segurança pública.
Recompensa por bugs
O programa de recompensa por bugs da Atlassian é hospedado pelo Bugcrowd. O objetivo desse programa é garantir que os produtos sejam testados constantemente para checar vulnerabilidades de segurança. Esta é a peça central do programa de testes de segurança externos da Atlassian e é o resultado de pesquisa, análise e comparação significativas entre modelos de testes.
Acreditamos que o grupo de pesquisadores de segurança independentes que participam do programa de recompensa por bugs oferece o processo de testes de segurança externos mais eficaz porque:
- Uma recompensa por bugs está sempre ativa. Em geral, os testes de intrusão são limitados a algumas semanas. Em um ambiente de desenvolvimento ágil de verdade, com lançamentos frequentes, o teste contínuo é uma necessidade.
- Uma recompensa por bug atrai mais de 60.000 testadores em potencial. Os testes de intrusão geralmente têm uma ou duas pessoas. Não importa se esses indivíduos são bons ou não; eles jamais vão superar a capacidade total da equipe de participantes de recompensas por bugs.
- Os pesquisadores que buscam recompensas por bugs desenvolvem ferramentas especializadas e têm processamentos verticais (tipos de bugs específicos) e horizontais (recompensas específicas). Essa especialização oferece uma chance maior de identificar vulnerabilidades obscuras, mas significativas.
A gente continua usando testes de intrusão e consultores de segurança especializados para suporte interno, mas para o programa externo de cobertura ampla, a recompensa por bugs é a melhor saída. A Atlassian acredita que a combinação de abordagens aumenta as chances de encontrar vulnerabilidades.
Mais de 25 dos produtos ou ambientes da Atlassian — abrangendo produtos de servidor, aplicativos móveis e produtos Cloud — estão dentro do escopo do programa de recompensa por bugs. Informações sobre o número de vulnerabilidades relatadas, o tempo médio de resposta e média de pagamento são encontrados no site do Bugcrowd, com mais de 800 testadores registrados especificamente no programa da Atlassian.
O programa de recompensas por bugs é uma tentativa de identificar vulnerabilidades, como os tipos comuns capturados no Projeto Aberto de Segurança em Aplicações Web (OWASP) e nas listas de ameaças do Web Application Security Consortium (WASC). Isso inclui:
- Acesso/Vazamento de dados entre instâncias
- Execução Remota de Código (RCE)
- Server-Side Request Forgery (SSRF)
- Cross-site Scripting (XSS)
- Cross-site Request Forgery (CSRF)
- Injeção SQL (SQLi)
- Ataques de XXE (XML External Entity Attacks)
- Vulnerabilidades no controle de acesso (problemas de referência direta de objetos inseguros, etc.)
- Problemas transversais de diretório/caminho
Como parte da iniciativa de abertura e transparência, todos estão convidados a visitar a página do programa de recompensa por bugs, fazer a inscrição e testar os produtos.
Aplicativos do Marketplace - Os aplicativos do Marketplace não fazem parte do Programa de Recompensas por Bugs principal da Atlassian. Contudo, eles fazem parte de outros programas de recompensas por bugs oferecidos pela gente, como o Programa de Divulgação de Vulnerabilidades e o Programa de Recompensas por Bugs em Aplicativos Desenvolvidos pela Atlassian.
Testes iniciados pelos clientes - Em alinhamento com os Termos de Uso dos produtos de nuvem oferecidos, a gente permite a realização de testes iniciados pelos clientes. A Atlassian tem o compromisso de ser aberta e vai continuar publicando estatísticas do programa de recompensas por bugs com frequência.
Os Programas de Recompensa por Bugs oferecem um método mais eficiente e econômico para avaliar a segurança de produtos e serviços, mas talvez você queira testar a segurança por conta própria. A gente permite a realização de avaliações de segurança (testes de intrusão e avaliações de vulnerabilidade) por parte dos clientes. A gente só pede que você siga algumas regras para que todos permaneçam seguros.
Relatório de vulnerabilidade
Se quiser comunicar à Atlassian itens que tiver encontrado, confira as instruções sobre como relatar vulnerabilidades.
Um dos valores da Atlassian é ser uma empresa aberta, sem papo-furado, e a divulgação de vulnerabilidades faz parte desse valor. A gente busca corrigir as vulnerabilidades de segurança relevantes nos Objetivos de Nível de Serviço (SLOs) relevantes. Solicitações de divulgação são aceitas por meio dos Programas de Recompensas por Bugs depois que os itens foram corrigidos e lançados na produção. Porém, se o relatório contiver dados de clientes, a solicitação vai ser rejeitada. Se você planeja não fazer a divulgação por meio dos Programas de Recompensas por Bugs, a gente pede que você avise em tempo razoável e espere até o SLO associado ter passado.
Exclusões dos nossos programas de testes de segurança
A gente é transparente sobre os testes que a gente faz. Da mesma forma, a gente é transparente sobre os testes não realizados ou aos quais a gente não dá suporte no momento. Estão excluídos do programa de testes de segurança:
Certos tipos de vulnerabilidade de baixo risco - os produtos da Atlassian são desenvolvidos para desbloquear o potencial de cada equipe, o que requer colaboração. As vulnerabilidades relacionadas à enumeração e coleta de informações geralmente não são consideradas riscos significativos.
Medindo aquilo que importa
A gente tem uma Política de atualização de segurança que especifica os intervalos dos Objetivos de Nível de Serviço (SLO) para corrigir vulnerabilidades com base na gravidade e no produto. Ao avaliar habilidades, o Common Vulnerability Scoring System é utilizado, o que ajuda na comunicação da gravidade das vulnerabilidades para os clientes.
Além disso, o objetivo é aumentar o custo para encontrar e explorar vulnerabilidades nos produtos. A gente utiliza os Programas de Recompensas por Bugs para quantificar esse custo. À medida que a postura de segurança melhora, o número de bugs identificados por meio dos Programas de Recompensas por Bugs deve diminuir e, então, vai ser necessário aumentar a quantia paga por eles se a gente quiser continuar recebendo relatórios de qualidade. Por exemplo, se, no fim das contas, a quantidade de esforço necessário para encontrar uma vulnerabilidade com uma recompensa de US$ 3.000,00 acabar não valendo a pena (já que o esforço vale mais do que US$ 3.000,00), vai ser preciso aumentar o custo para encontrar essa vulnerabilidade.
Em outras palavras, você vai ver os pagamentos de recompensa aumentarem com o tempo.
Um breve resumo
A Atlassian tem um programa de teste de segurança externo transparente, aberto e maduro, estruturado em torno de recompensas por bugs.
Quer saber mais?
Neste breve artigo, alguns outros documentos e recursos são citados. Com eles, você pode entender melhor a abordagem da Atlassian em relação aos testes de segurança.
- Atlassian Trust Center
- Práticas de segurança da Atlassian
- CSA STAR da Atlassian
- Política de correção de bugs da Atlassian
- Página do relatório de vulnerabilidades da Atlassian
- Responsabilidades por incidentes de segurança da Atlassian
- Página inicial da recompensa por bugs da Atlassian
- Programas de Recompensa por Bugs da Atlassian
- Aplicativos do Marketplace desenvolvidos pela Recompensa por Bugs da Atlassian
- Aplicativos do Marketplace desenvolvidos pela Recompensa por Bugs de fornecedores externos
- Recompensa por Bugs do Opsgenie
- Recompensa por Bugs do Statuspage
- Recompensas por bugs do Trello
- Recompensas por bugs do Halp
- Recompensa por Bugs da Atlassian para todos os outros produtos (Jira, Confluence, Bitbucket, etc.)
Baixe os relatórios atuais de recompensas por bugs
Todas as vulnerabilidades identificadas nos relatórios abaixo são rastreadas no Jira interno à medida que passam pelo processo de captação do Programa de Recompensa por Bugs, e todas as descobertas desse programa passam por triagem e são corrigidas de acordo com o SLO de vulnerabilidade de segurança pública.
- Baixe o relatório de recompensas por bugs mais recente da Atlassian (2023-01)
- Baixe o relatório de recompensas por bugs mais recente do Halp (2023-01)
- Baixe o relatório de recompensas por bugs mais recente do Jira Align (2023-01)
- Baixe o relatório de recompensas por bugs mais recente do Opsgenie (2023-01)
- Baixe o relatório de recompensas por bugs mais recente do Statuspage (2023-01)
- Baixe o relatório de recompensas por bugs mais recente do Trello (2023-01)
Baixe as Cartas de Avaliação (LoA)
Todas as vulnerabilidades identificadas nos relatórios abaixo são rastreadas no Jira interno à medida que passam pelo processo de geração de relatório do teste de intrusão, e todas as descobertas dessas avaliações passam por triagem e são corrigidas de acordo com o SLO de vulnerabilidade de segurança pública.
- Carta de Avaliação do Jira Align (04/2022)
- Carta de Avaliação do Bitbucket Pipelines (2022-05)
- Carta de Avaliação do Trello (2022-08)
- Carta de avaliação do Bitbucket Server e DC (2022-09)
- Carta de avaliação do Confluence Cloud (2022-10)
- Carta de avaliação do Jira Service Management Data Center (2022/10)
- Carta de avaliação do Jira Cloud Google OAuth (10/2022)
- Carta de avaliação da Biblioteca Atlassian Log4j para Confluence e Jira (2022-12)
- Carta de avaliação do Confluence Server (2022/12)
- Carta de avaliação do Jira Work Management Cloud (2022/12)
- Carta de avaliação do Bitbucket Cloud (2022-12)
- Carta de avaliação do Statuspage Cloud (2022-12)
- Carta de avaliação do Jira Software (Cloud) (2023-02)