Nuestro enfoque sobre las pruebas de seguridad externas
Los clientes suelen solicitar a Atlassian informes de pruebas de penetración para garantizar el control de los procesos que implementamos para identificar (y solucionar) las vulnerabilidades de seguridad en los productos de Atlassian y Atlassian Cloud. El enfoque de nuestras pruebas de seguridad externas se desarrolla en torno al concepto de "control permanente", en lugar de tratarse de una prueba de penetración puntual, disponemos de un modelo siempre activo, de pruebas continuas, que usa un programa de recompensas por errores basado en la colaboración de forma abierta.
Nuestra filosofía y enfoque
A Atlassian se nos conoce por nuestros valores, y esos valores realmente influyen en todo lo que hacemos, incluido nuestro enfoque en relación con las pruebas de seguridad. En la práctica, nuestros valores nos han llevado a basarnos en los siguientes enfoques y filosofías:
- Los errores son una parte inevitable del proceso de desarrollo. La cuestión no es si tenemos errores, la cuestión es la rapidez y eficacia con la que los encontramos y los abordamos. Esto no quiere decir que nos gusten los errores o que no estemos innovando constantemente para reducir su frecuencia y gravedad, pero cuando se trata de errores de software, la negación no es un enfoque efectivo.
- Nuestro objetivo es aumentar el coste de encontrar y explotar vulnerabilidades en nuestros productos y servicios. Mediante la rápida identificación y resolución de problemas, tratamos de aumentar el coste económico que supone encontrar errores de seguridad. Al aumentar el coste de explotar una vulnerabilidad, al hacer que lleve más tiempo, que sean necesarios más conocimientos y más recursos por parte de los usuarios malintencionados, reducimos su retorno de la inversión. Si podemos reducirlo lo suficiente, se volverá prohibitivo o no será atractivo para ellos.
- Respaldamos y utilizamos los estándares de la industria: estandarizar nuestra terminología y nuestro enfoque nos sirve para garantizar que abarcamos todo lo necesario y ayuda a los clientes a entender lo que hacemos. Por ejemplo, al clasificar vulnerabilidades mediante el sistema común de puntuación de vulnerabilidades (CVSS), compartimos con ellos una idea clara de la gravedad de vulnerabilidades concretas. Además, seguimos los procesos de gestión de vulnerabilidades descritos en la ISO 27001 y en Cloud Security Alliance (CSA).
- Los investigadores de seguridad externos son una valiosa ampliación de nuestro equipo: si un producto de Atlassian tiene una vulnerabilidad, encontrarla y resolverla lo antes posible nos interesa tanto a nosotros como a los clientes. Atlassian incentiva a los investigadores externos a detectar vulnerabilidades en nuestros productos a cambio de premios en efectivo como parte de nuestro programa de recompensas por errores. Con la ayuda de los investigadores de seguridad externos, podemos escalar nuestro equipo más allá de los enfoques tradicionales.
- Somos abiertos y transparentes en lo referente a nuestro programa de pruebas de seguridad. Nuestro programa de recompensas por errores proporciona estadísticas sobre los errores encontrados, somos transparentes en lo relativo a la rapidez con la que tratamos de solucionar los errores de seguridad y ponemos a tu disposición informes resumidos de las pruebas al final de esta página, siempre que sea posible.
Control de calidad permanente
Pruebas de penetración
Usamos firmas especializadas en asesoramiento sobre seguridad para realizar pruebas de penetración en productos e infraestructuras de alto riesgo. Esta puede ser una nueva infraestructura creada para nosotros (p.ej. nuestro entorno de Cloud), un nuevo producto (p.ej. Trello) o una nueva arquitectura fundamental (p.ej. el amplio uso de los microservicios).
Nuestro enfoque a las pruebas de penetración en estos casos es altamente específico y tiene un enfoque claro. Las pruebas serán las siguientes:
- Caja blanca: los evaluadores reciben documentación de diseño e informes de nuestros ingenieros de productos que respalden sus pruebas.
- Asistidas con código: los evaluadores tienen acceso completo a la base de código correspondiente para ayudar a diagnosticar cualquier comportamiento inesperado del sistema durante la prueba e identificar los posibles objetivos.
- Basadas en las amenazas: las pruebas se centran en un escenario de amenaza concreto, como asumir que existe una instancia comprometida y probar el movimiento lateral desde ese punto de partida.
Publicamos cartas de evaluación (LoA, por sus siglas en inglés) de nuestros socios de pruebas de penetración y las ponemos a disposición de los consumidores externos en la parte inferior de esta página. Debido a la amplia información interna disponible para los evaluadores a la hora de llevar a cabo estas evaluaciones, no ofrecemos informes completos. La mayoría de estos sistemas y productos se incluirán posteriormente en nuestro programa público de recompensas por errores, lo que proporciona el control externo continuo que buscan nuestros clientes. Los hallazgos de estas evaluaciones se clasificarán y solucionarán según nuestro SLO de vulnerabilidades de seguridad pública.
Programa de recompensas por errores
Nuestro programa de recompensas por errores se aloja en Bugcrowd. El objetivo de este programa es garantizar que nuestros productos se prueben constantemente para detectar vulnerabilidades de seguridad. Este es el núcleo de nuestro programa de pruebas de seguridad externas y es el resultado de grandes esfuerzos de investigación, análisis y comparación entre los modelos de prueba.
Creemos que los numerosos investigadores de seguridad independientes que participan en nuestro programa de recompensas por errores proporcionan el proceso de pruebas de seguridad externas más efectivo por los siguientes motivos:
- El programa de recompensas por errores está siempre activo. Las pruebas de penetración suelen estar limitadas en el tiempo a unas semanas. En un entorno de desarrollo realmente ágil con publicaciones frecuentes, las pruebas continuas son una necesidad.
- El programa de recompensas por errores cuenta con más de 60 000 posibles evaluadores. Las pruebas de penetración suelen contar con 1 o 2 participantes. Independientemente de lo buenos que sean esos 1 o 2 participantes, nunca superarán la capacidad añadida del equipo de participantes de recompensas por errores.
- Los investigadores del programa de recompensas por errores desarrollan herramientas y procesos especializados en vertical (tipos de errores específicos) y en horizontal (recompensas específicas). Esta especialización ofrece la mayor oportunidad de identificar vulnerabilidades que son significativas, pero difíciles de detectar.
Seguimos contando con asesores de seguridad y especialistas en pruebas de penetración para soporte interno, pero para nuestro programa externo de amplia cobertura, el programa de recompensas por errores es una opción más adecuada. Creemos que la combinación de enfoques maximiza las oportunidades de encontrar vulnerabilidades.
Más de 25 de nuestros productos o entornos, que se extienden a través de nuestros productos de servidor, aplicaciones móviles y productos de Cloud, están dentro del alcance de nuestro programa de recompensas por errores. Los detalles de la cantidad de vulnerabilidades notificadas, nuestro tiempo medio de respuesta y el pago medio por recompensa se incluyen en el sitio de Bugcrowd, con más de 800 evaluadores registrados específicamente para nuestro programa.
Las vulnerabilidades que buscamos para identificarlas a través de nuestro programa de recompensas por errores incluyen los tipos comunes detectados en las listas de amenazas Open Web Application Security Project (OWASP) y Web Application Security Consortium (WASC) . Entre ellas, se incluyen:
- Fuga de datos entre instancias/acceso
- Ejecución de código remota (RCE, Remote Code Execution)
- Falsificación de petición en el servidor (SSRF, Server-Side Request Forgery)
- Filtro de scripts de sitios (XSS,Cross-site Scripting)
- Falsificación de petición en sitios cruzados (CSRF, Cross-site Request Forgery)
- Inyección SQL (SQLi, SQL Injection)
- Ataques de entidades externas XML (XXE, XML External Entity Attacks)
- Vulnerabilidades del control de acceso (problemas de referencia de objeto directo no seguro, etc.)
- Problemas de paso de ruta/directorio
Como parte de nuestra iniciativa por ser accesibles y transparentes, invitamos a cualquier persona a que visite nuestra página del programa de recompensas por errores, se registre en el programa y nos ponga a prueba.
Aplicaciones de Marketplace: las aplicaciones de Marketplace están excluidas del programa de recompensas por errores principal de Atlassian. No obstante, estas aplicaciones de Marketplace participan en otros programas de recompensas por errores organizados por Atlassian, como el programa de divulgación de vulnerabilidades y el programa de recompensas por errores de aplicaciones desarrolladas por Atlassian.
Pruebas iniciadas por los clientes: de conformidad con las Condiciones de uso de nuestros productos de Cloud, permitimos que los clientes inicien pruebas. Nos comprometemos a ser abiertos y seguiremos publicando las estadísticas de nuestro programa de recompensas por errores de forma periódica.
Aunque creemos que los programas de recompensas por errores son un enfoque más eficiente y económico para la evaluación de la seguridad de nuestros productos y servicios, comprendemos que desees comprobar la seguridad por tu cuenta. Permitimos que se lleven a cabo evaluaciones de seguridad (pruebas de penetración, valoración de vulnerabilidades) por parte de los clientes, aunque pedimos que se sigan algunas normas para garantizar la seguridad de todos.
Informes de vulnerabilidades
Si encuentras una incidencia y quieres informar a Atlassian, consulta nuestras instrucciones para notificar vulnerabilidades.
En Atlassian, uno de nuestros valores es "Empresa abierta, sin tonterías", y creemos que la divulgación de vulnerabilidades es una pieza clave para llevarlo a la práctica. Nuestro objetivo es corregir las vulnerabilidades de seguridad dentro de los objetivos de nivel de servicio (SLO) relevantes. Aceptamos las solicitudes de divulgación realizadas a través de nuestros programas de recompensas por errores después de que las incidencias se resuelvan y publiquen en producción. Sin embargo, la solicitud se rechazará si el informe incluye datos de clientes. Si tienes intención de divulgar datos fuera de nuestros programas de recompensas por errores, te pedimos que nos avises de manera razonable y que esperes a que se apruebe el SLO correspondiente.
Exclusiones de nuestro programa de pruebas de seguridad
Del mismo modo que mostramos accesibilidad y claridad sobre las pruebas que realizamos, también aplicamos estos mismos principios sobre las pruebas que no realizamos nosotros mismos o que no incluimos en la actualidad. Las siguientes pruebas están excluidas de nuestro programa de pruebas de seguridad:
Determinados tipos de vulnerabilidades de bajo riesgo: nuestros productos se han desarrollado para liberar el potencial de cada equipo, y esto requiere colaboración. Las vulnerabilidades relacionadas con la enumeración y la recopilación de información no se suelen considerar riesgos significativos.
Medición de los elementos adecuados
Tenemos una política de solución de errores de seguridad que establece los plazos del Objetivo de Nivel de Servicio (SLO) para corregir las vulnerabilidades en función de la gravedad y el producto. Al evaluar vulnerabilidades, usamos el sistema común de puntuación de vulnerabilidades, que permite comunicar la gravedad de las vulnerabilidades a nuestros clientes.
Además, nuestro objetivo es aumentar los costes de búsqueda y explotación de vulnerabilidades en nuestros productos. Para cuantificar ese coste, nos valemos de programas de recompensas por errores. A medida que mejora nuestra estrategia de seguridad, la cantidad de errores identificados a través de nuestros programas de recompensas por errores debería disminuir y, a medida que esto suceda, deberemos aumentar la cantidad que estamos dispuestos a pagar por dichos errores si queremos seguir recibiendo informes de calidad. Por ejemplo, si la cantidad de esfuerzo necesario para encontrar una vulnerabilidad con una recompensa de 3000 $ hace que no valga la pena (ya que el esfuerzo que requiere supera los 3000 $), habremos aumentado el coste de encontrar dicha vulnerabilidad.
Dicho de otro modo, deberíamos ver cómo nuestros pagos por recompensas aumentan con el tiempo.
El resumen
Atlassian cuenta con un programa de pruebas de seguridad externo, consolidado, accesible y transparente organizado en torno a nuestro programa de recompensas por errores.
¿Quieres profundizar?
Hemos mencionado muchos otros documentos y recursos en este breve artículo, y te animamos a profundizar en ellos para comprender mejor nuestro enfoque de las pruebas de seguridad.
- Trust Center de Atlassian
- Prácticas de seguridad de Atlassian
- CSA STAR de Atlassian
- Política de solución de errores de Atlassian
- Página de informes de vulnerabilidades de Atlassian
- Responsabilidades de incidencias de seguridad de Atlassian
- Página de inicio de recompensas por errores de Atlassian
- Programas de recompensas por errores de Atlassian
- Programa de recompensas por errores de aplicaciones de Marketplace desarrolladas por Atlassian
- Programa de recompensas por errores de aplicaciones de Marketplace desarrolladas por otros proveedores
- Recompensas por errores de Opsgenie
- Recompensas por errores de Statuspage
- Recompensas por errores de Trello
- Programa de recompensas por errores de Halp
- Recompensas por errores de Atlassian para todos los demás productos (Jira, Confluence, Bitbucket, etc.)
Descargar los informes de recompensas por errores actuales
Toda vulnerabilidad de seguridad señalada en los informes siguientes se supervisa en nuestro Jira interno a medida que se incorpora al proceso de entrada del programa de recompensas por errores, y los hallazgos se clasifican y se solucionan según nuestro SLO de vulnerabilidades de seguridad pública.
- Descargar el último informe de recompensas por errores de Atlassian (01/2023)
- Descargar el último informe de recompensas por errores de Halp (01/2023)
- Descargar el último informe de recompensas por errores de Jira Align (01/2023)
- Descargar el último informe de recompensas por errores de Opsgenie (01/2023)
- Descargar el último informe de recompensas por errores de Statuspage (01/2023)
- Descargar el último informe de recompensas por errores de Trello (01/2023)
Descargar las cartas de evaluación (LoA)
Toda vulnerabilidad de seguridad señalada en los informes siguientes se supervisa en nuestro Jira interno a medida que se incorpora al proceso de informes de pruebas de penetración, y cualquier hallazgo obtenido de estas evaluaciones se clasificará y se solucionará según nuestro SLO de vulnerabilidades de seguridad pública.
- Carta de evaluación de Jira Align (04/2022)
- Carta de evaluación de Bitbucket Pipelines (05-2022)
- Carta de evaluación de Trello (08/2022)
- Carta de evaluación de Bitbucket Server y DC (09/2022)
- Carta de evaluación de Confluence Cloud (2022-10)
- Carta de evaluación para Jira Service Management Data Center (10/2022)
- Carta de evaluación para Google OAuth de Jira Cloud (10/2022)
- Carta de evaluación de la biblioteca Log4j de Atlassian para Confluence y Jira (12-2022)
- Carta de evaluación de Confluence Server (12/2022)
- Carta de evaluación de Jira Work Management Cloud (12/2022)
- Carta de evaluación de Bitbucket Cloud (12/2022)
- Carta de evaluación de Statuspage Cloud (12/2022)
- Carta de evaluación de Jira Software (Cloud) (02/2023)