Unser Ansatz für die Handhabung von Sicherheitsvorfällen


Unser Ansatz für die Handhabung von Sicherheitsvorfällen

Atlassian verfügt über umfassende Sicherheitsmaßnahmen, um sicherzustellen, dass Kundeninformationen geschützt werden und wir die zuverlässigsten und sichersten Services anbieten können. Uns ist jedoch klar, dass es trotzdem zu Sicherheitsvorfällen kommen kann. Deshalb ist es mindestens so wichtig, effektive Methoden vorweisen zu können, um diese zu beheben.

Demzufolge haben wir einen klar definierten Ansatz für die Reaktion auf Sicherheitsvorfälle, die unsere Services oder die Infrastruktur betreffen. Unser Incident Response-Ansatz beinhaltet eine vollumfängliche Protokollierung und Überwachung unserer Produkte und der Infrastruktur, damit wir mögliche Vorfälle schnell erkennen können. Er wird unterstützt von sorgfältig definierten Prozessen, die sicherstellen, dass alle Beteiligten in jeder Phase eines Vorfalls wissen, was zu tun ist. Hierfür setzen wir ein Team mit hochqualifizierten, auf Abruf stehenden Vorfallmanagern ein, die über umfassende Erfahrungen in der Koordination von effektiven Gegenmaßnahmen verfügen. Wir haben zudem Zugang zu externen Experten, die uns dabei unterstützen, Vorfälle möglichst effizient zu untersuchen und zu beheben. Wir haben unseren Ansatz für das Vorfallmanagement gemäß dem Computer Security Incident Handling Guide des NIST (Sonderveröffentlichung 800-61) strukturiert und katalogisieren unsere Vorfälle nach dem Verizon VERIS-Framework.

Weitere Informationen zu unserer Philosophie und unserem Ansatz

Wir betrachten Sicherheitsvorfälle als etwas, das sich (womöglich) negativ auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten unserer Kunden (oder von Atlassian) oder der Services von Atlassian auswirken kann.

Wir haben bisher angegeben, dass die Auswirkungen "absichtlich" herbeigeführt werden mussten. Diese Einschränkung wurde jedoch aufgehoben, sodass jetzt auch versehentliche Datenverluste abgedeckt sind.

Für unsere Reaktion auf Sicherheitsvorfälle ist es wesentlich, dass wir unsere Werte leben und insbesondere dafür sorgen, dass Kunden nicht hinters Licht geführt werden. Wir konzentrieren uns darauf, unsere besten Prozesse umzusetzen, um Sicherheitsvorfälle auf eine Art und Weise zu handhaben, die immer im besten Interesse unserer Kunden liegt und sicherstellt, dass sie mit unseren Produkten weiterhin von einer optimalen Nutzererfahrung profitieren. Zu diesem Zweck haben wir einen Incident Response-Prozess entwickelt, der nicht nur robust ist, sondern auch einige der nachstehenden Features beinhaltet.

Verschiedene Methoden für die schnelle Erkennung von möglichen Vorfällen

Wir verfügen über diverse Überwachungsmechanismen, um Fehler oder Anomalien in unseren Produkten und der Infrastruktur zu erkennen, die Anzeichen für einen möglichen Sicherheitsvorfall sein könnten. Die Systeme alarmieren uns umgehend, wenn eine Aktivität erkannt wird, die einer weiteren Untersuchung bedarf. Dafür nutzen wir eine aggregierte Protokollerfassungs- und Analyseplattform, die Protokolle an einem zentralen Ort sortiert, damit unsere Analysten diese schnell und gründlich untersuchen können. Währenddessen überwachen unsere für die Zuverlässigkeit der Site zuständigen Techniker die Plattform, um sicherzustellen, dass diese ständig verfügbar ist. Wir erstellen in unserer Anwendung für Sicherheitsinformationen und -ereignisse außerdem Warnungen, um unsere Teams proaktiv zu informieren.

Wir halten außerdem externe Berichtswege offen, über die wir auf Schwachstellen oder Vorfälle aufmerksam gemacht werden können, darunter unser Bug-Bounty-Programm, unser Kundensupportportal und bestimmte E-Mail-Adressen und Telefonnummern für Sicherheitsmeldungen.

Ein etabliertes Framework für die Handhabung von Sicherheitsvorfällen

Damit unser Incident Response-Prozess konsistent, wiederholbar und effizient ist, haben wir ein klar definiertes internes Framework erstellt, das sämtliche Schritte abdeckt, die in jeder Phase des Prozesses durchgeführt werden müssen. Wir haben dokumentierte Handlungsleitfäden, die fortlaufend aktualisiert werden und im Detail die Schritte festlegen, die wir für eine effektive Reaktion auf verschiedene Vorfallarten durchführen müssen. In groben Zügen umfasst unser Response-Framework Folgendes:

Erkennung und Analyse von Vorfällen – Dies sind einerseits die Schritte, die wir nach dem Eingang von Benachrichtigungen über einen potenziellen Vorfall ergreifen, einschließlich der Art und Weise, wie wir bestätigen, dass ein Sicherheitsvorfall eingetreten ist (um falsch positive Ergebnisse zu minimieren), und andererseits das Verständnis der Angriffsvektoren, des Ausmaßes der Kompromittierung und der Auswirkung auf Atlassian und seine Kunden.

Einordnung des Schweregrads – Sobald wir mithilfe von angemessenen Analysemethoden das Ereignis nachvollzogen haben, nutzen wir diese Informationen, um den Schweregrad des Vorfalls zu bestimmen. Ein Vorfall kann vier Schweregraden zugeordnet werden:

Beschreibung des Schweregrads
Schweregrad Beschreibung
0 Krisenfall mit maximaler Auswirkung
1 Kritischer Vorfall mit sehr starker Auswirkung
2 Schwerwiegender Vorfall mit deutlicher Auswirkung
3 Geringfügiger Vorfall mit geringer Auswirkung

Wir nutzen vielfältige Indikatoren, um den Schwergrad eines Vorfalls zu bestimmen – diese hängen einerseits vom betroffenen Produkt ab, berücksichtigen aber auch, ob ein Service komplett ausgefallen ist (und wie viele Kunden betroffen waren), ob Kernfunktionen gestört wurden und ob es zu Datenverlusten kam.

Eindämmung, Beseitigung und Wiederherstellung – Nachdem wir den Schwergrad des Vorfalls bestimmt haben, entscheiden wir über und implementieren die Schritte, die zur Eindämmung des Vorfalls, zur Beseitigung der zugrundeliegenden Ursachen und zum Start des Wiederherstellungsprozesses erforderlich sind, damit wir schnellstmöglich zum normalen Alltag zurückkehren können. Natürlich können diese Maßnahmen je nach Art des Vorfalls sehr unterschiedlich ausfallen. Wenn es für unsere Kunden von Nutzen ist (oder wenn wir gesetzlich oder vertraglich dazu verpflichtet sind), wird Atlassian seine Kunden über den Vorfall und dessen mögliche Auswirkungen während des Incident Response-Prozesses informieren.

Benachrichtigung – Wir versuchen, Kunden innerhalb von 72 Stunden bzw. unverzüglich zu informieren, wenn ihre Daten von einem Vorfall oder einer Sicherheitsverletzung betroffen sind. Diese Benachrichtigung wird zunächst keine Details enthalten, diese werden aber nachgereicht, sobald sie uns vorliegen.

Ein robuster Prozess für die Vorfallnachsorgeprüfung – Nach Vorfällen versuchen wir im Nachgang zu ermitteln, was wir aus den Ereignissen lernen können. Die Ergebnisse nutzen wir dann dazu, um technische Lösungen zu entwickeln, Prozesse zu verbessern und weitere Best Practices einzuführen, um unseren Kunden weiterhin die beste Benutzererfahrung zu bieten und bösartigen Angreifern noch mehr Steine in den Weg zu legen.

Klar definierte Rollen und Zuständigkeiten

Jeder unserer Vorfälle wird von einem unserer hochqualifizierten und erfahrenen Major Incident Manager (oder MIMs) bearbeitet. MIMs treffen in der Regel sicherheitsrelevante Entscheidungen, beaufsichtigen den Reaktionsprozess und weisen Aufgaben intern zu, um den Prozess zu vereinfachen. Die MIMs werden außerdem durch Vorfallanalysten unterstützt, die die Untersuchung und Analyse von Vorfällen leiten, sowie von diversen anderen Rollen, die im Reaktionsprozess involviert sind. In vielen Fällen, bei denen sich ein Vorfall auf mehrere Regionen auswirkt, werden zu einem Vorfall zwei MIMs hinzugezogen. So stellen wir sicher, dass immer ein Verantwortlicher verfügbar ist, um unseren Reaktionsprozess weiter zu begleiten, und dass Eindämmungs- oder Wiederherstellungsaktivitäten nicht durch Zeitunterschiede aufgehalten oder in irgendeiner Art und Weise beeinträchtigt werden.

Bei weitreichenderen Vorfällen kann es vorkommen, dass ein MIM von einem anderen Team (normalerweise den Technikern, die für die Zuverlässigkeit der Site zuständig sind) hinzugezogen wird, um bei der Verwaltung des Reaktionsprozesses zu helfen. Weitere Informationen zu den Rollen und Zuständigkeiten, die wir im Zusammenhang mit Sicherheitsvorfällen zuweisen, kannst du nachlesen.

Zugang zu externen Experten, wenn erforderlich

Manchmal brauchen wir für die Untersuchung eines Vorfalls eventuell Unterstützung von externen Experten. Wir nutzen die Services von spezialisierten Cybersicherheitsberatern und Forensikern in Fällen, bei denen detaillierte forensische Analysen oder Nachweise für die eDiscovery als Hilfestellung bei Rechtsstreitigkeiten erforderlich sind.

So nutzen wir unsere eigenen Tools für die Handhabung von Sicherheitsvorfällen

Wir verwenden speziell konfigurierte Versionen von vielen unserer eigenen Produkte, um sicherzustellen, dass wir bei der Handhabung von Vorfällen möglichst methodisch, konsistent und dynamisch vorgehen können. Hierzu zählen:

Confluence – Wir nutzen Confluence, um unsere Incident Response-Prozesse an einem zentralen Ort gemeinsam zu erstellen, zu dokumentieren und zu aktualisieren und um sicherzustellen, dass alle Mitarbeiter über diese Prozesse Bescheid wissen und Prozesse schnell entsprechend den gesammelten Erfahrungen mit vergangenen Vorfällen angepasst werden können. Wir setzen Confluence zudem ein, um unsere Handlungsleitfäden und Suchen zu dokumentieren.

Jira – Wir nutzen Jira, um Tickets zur Handhabung der ersten Untersuchung von vermutlichen Vorfällen zu erstellen und um die Nachverfolgung unserer Reaktionsaktivitäten zu vereinfachen, wenn sich herausgestellt hat, dass sich ein Vorfall ereignet hat. Mit diesen Tickets können wir einfacher Informationen zum Vorfall zusammentragen, Lösungen entwickeln und andere logistische Arbeiten durchführen (wie das Delegieren von Aufgaben als Teil des Reaktionsprozesses und die Einbeziehung von anderen Teams im Unternehmen, sofern notwendig). Wir verwenden Jira zudem, um nachzuverfolgen, welche Suchen wir durchführen und ob diese erfolgreich waren oder nicht.

Bitbucket – Wir nutzen Bitbucket als unser Kontrollsystem für Quellcode, wenn wir codebasierte Lösungen für besondere Grenzfälle entwickeln, die bei bestimmten Arten von Vorfällen auftreten. Die von uns entwickelten Lösungen können dann gemeinsam intern und unter Ausschluss der Öffentlichkeit bearbeitet und getestet werden und bei Bedarf schnelle Iterationen begünstigen. Wir verwenden Bitbucket außerdem in Kombination mit einem Continuous Integration/Continuous Delivery-Plan und stellen Code bereit, um die Ursache von Vorfällen zu mildern oder die Erkennung oder Vermeidung von zukünftigen Vorfällen zu unterstützen.

Diese Tools helfen uns letztendlich bei der Erstellung eines Response-Frameworks, das unabhängig vom Typ des Vorfalls bestimmte Strukturen und Merkmale wiedererkennbar macht, damit wir so schnell wie möglich eine Lösung dafür finden können.

Zusammenfassung

Atlassian nutzt einen robusten und umfassenden Ansatz für die Handhabung von Sicherheitsvorfällen, der sich auf dieselben Tools konzentriert, die wir auch unseren Kunden zur Verfügung stellen. Dadurch können wir besonders konsistent, planbar und effektiv auf Vorfälle reagieren und das Risiko von Schäden für unsere Kunden, Partner und Atlassian selbst minimieren.

Möchtest du noch mehr wissen?

Wir haben einige andere Ressourcen veröffentlicht, auf die du zugreifen kannst, um mehr über unseren Ansatz für die Handhabung von Sicherheitsvorfällen und unseren allgemeinen Ansatz für Sicherheit zu erfahren.