Close

Il nostro approccio ai test di sicurezza esterni


I clienti chiedono regolarmente report sui test di penetrazione ad Atlassian per avere la certezza che i processi implementati consentano di identificare, e correggere, le vulnerabilità della sicurezza nei prodotti Atlassian e Cloud. Il nostro approccio ai test di sicurezza esterni si basa sul concetto di "verifica continua": invece di condurre un singolo test di penetrazione, ci avvaliamo di un modello di test sempre attivo che utilizza un bug bounty in crowdsourcing.

La nostra filosofia e il nostro approccio

Atlassian è nota per i suoi valori, che influiscono realmente su tutto ciò che facciamo, incluso il nostro approccio ai test di sicurezza. In pratica, i nostri valori sono alla base della filosofia e degli approcci descritti di seguito:

  • I bug sono una parte inevitabile del processo di sviluppo; la domanda da porsi non è se ci sono dei bug, ma in che misura e con quale rapidità riusciamo a trovarli e a risolverli. Questo non significa accettare che i bug esistano o che il nostro operato non sia basato sull'innovazione costante volta a ridurne la frequenza e la gravità, ma che in fatto di bug del software adottare un atteggiamento di negazione del problema non è un approccio vincente.
  • Il nostro obiettivo è aumentare i costi di ricerca e sfruttamento delle vulnerabilità nei nostri prodotti e servizi: attraverso l'identificazione e la risoluzione rapida dei problemi, puntiamo ad aumentare il costo economico dell'individuazione dei bug di sicurezza. Aumentando i costi che lo sfruttamento di una vulnerabilità comporta per gli aggressori, in termini di tempi più lunghi e di necessità di maggiori conoscenze e risorse, riduciamo il loro ritorno sull'investimento. Se riusciamo a ridurlo a sufficienza, lo sfruttamento diventa per loro proibitivo in termini di costi o di scarso interesse.
  • Supportiamo e utilizziamo gli standard del settore: la standardizzazione della nostra terminologia e del nostro approccio ci permette di garantire una copertura completa e aiuta i nostri clienti a comprendere il nostro operato. Ad esempio, le classificazioni comuni delle vulnerabilità che utilizzano il Common Vulnerability Scoring System (CVSS) offre un quadro chiaro della gravità di una specifica vulnerabilità a noi e ai nostri clienti. Seguiamo anche i processi di gestione delle vulnerabilità delineati in ISO 27001 e in Cloud Security Alliance (CSA).
  • I ricercatori di sicurezza esterni rappresentano una preziosa estensione del nostro team: se un prodotto Atlassian presenta una vulnerabilità, è nell'interesse di tutti, sia nostro che dei nostri clienti, trovarla e risolverla il più rapidamente possibile. Attraverso il programma Bug Bounty, che prevede riconoscimenti in denaro, Atlassian incentiva i ricercatori esterni a individuare le vulnerabilità presenti nei suoi prodotti. Con l'aiuto di ricercatori di sicurezza esterni, possiamo aumentare le dimensioni del nostro team ben oltre gli approcci tradizionali!
  • Adottiamo un approccio aperto e trasparente riguardo al programma di test di sicurezza: con il nostro programma Bug Bounty forniamo statistiche sui bug trovati, offriamo informazioni chiare sulla tempistica di correzione dei bug di sicurezza e, quando possibile, rendiamo disponibili report di riepilogo dei test.

Garanzia di sicurezza continua

Esecuzione di test di penetrazione.

Ci avvaliamo di società di consulenza specializzate in sicurezza per condurre test di penetrazione su prodotti e infrastruttura ad alto rischio. Potrebbe trattarsi di una nuova infrastruttura configurata per noi (ad es. il nostro ambiente Cloud), di un nuovo prodotto (ad es. Trello) o di una ridefinizione fondamentale dell'architettura (ad esempio l'uso estensivo di microservizi).

Il nostro approccio ai test di penetrazione in questi casi è altamente mirato. I test saranno generalmente:

  • Test strutturali: ai tester verrà fornita la documentazione di progettazione e i briefing dei nostri tecnici di prodotto a supporto dei test da eseguire.
  • Accesso al codice: i tester avranno accesso completo alla base di codice pertinente per diagnosticare qualsiasi comportamento imprevisto del sistema durante i test e per identificare i potenziali obiettivi.
  • Basati sulle minacce: i test saranno focalizzati su uno specifico scenario di minacce; ad esempio, ipotizzando che esista un'istanza compromessa, eseguiremo test del movimento laterale da quel punto di partenza.

Pubblichiamo lettere di valutazione dei nostri partner che eseguono i test di penetrazione; tali lettere sono disponibili in fondo a questa pagina e possono essere utilizzate esternamente. A causa della vasta quantità di informazioni interne messe a disposizione dei tester nello svolgimento delle valutazioni, non forniamo report completi. La maggior parte di questi sistemi e prodotti sarà inclusa successivamente nel programma Bug Bounty pubblico e offrirà quella garanzia esterna continua che i nostri clienti richiedono. I rilievi di queste valutazioni saranno esaminati e risolti in base a quanto previsto dal nostro SLA pubblico sulle vulnerabilità della sicurezza.

Bug bounty

Il nostro programma Bug Bounty è ospitato da Bugcrowd. L'obiettivo del programma è garantire che i nostri prodotti siano costantemente testati per scoprire le vulnerabilità della sicurezza. È questo il fulcro del nostro programma di test di sicurezza esterni ed è il risultato di importanti ricerche, analisi e confronto tra modelli di test.

Crediamo che l'elevato numero di ricercatori di sicurezza indipendenti che partecipano al nostro programma Bug Bounty offra il più efficace processo di test di sicurezza esterni perché:

  1. I bug bounty sono sempre disponibili. I test di penetrazione hanno in genere una durata limitata a poche settimane. In un ambiente di sviluppo veramente agile con rilasci frequenti, i test continui sono una necessità.
  2. Un bug bounty ha 60.000 potenziali tester. I test vengono generalmente condotti da 1 o 2 persone che, per quanto competenti, non potranno mai superare la capacità aggregata del team di partecipanti al bug bounty.
  3. I ricercatori di bug bounty sviluppano strumenti specializzati e agiscono sia verticalmente, cercando tipi di bug specifici, sia orizzontalmente valutandone l'entità. Questa specializzazione offre la più ampia possibilità di identificare vulnerabilità non note, ma significative.

Per l'assistenza interna continuiamo a utilizzare test di penetrazione e consulenti specializzati in materia di sicurezza, ma per il nostro programma esterno, caratterizzato da una copertura più ampia, un bug bounty è più indicato. Siamo convinti che la combinazione di approcci massimizzi le nostre possibilità di trovare le vulnerabilità.

Oltre 25 dei nostri prodotti o ambienti, che spaziano dai prodotti Server alle app mobili fino ai prodotti Cloud, sono inclusi nell'ambito del programma Bug Bounty. Le informazioni dettagliate sul numero di vulnerabilità segnalate, sul nostro tempo medio di risposta e sul pagamento medio sono riportate sul sito Bugcrowd, dove operano oltre 800 tester registrati appositamente per il nostro programma.

Attraverso il nostro programma Bug Bounty vogliamo identificare i tipi più comuni di vulnerabilità indicati negli elenchi di minacce Open Web Application Security Project (OWASP) e Web Application Security Consortium (WASC), tra cui:

  • Accesso/perdita di dati comuni a più istanze.
  • Remote Code Consecutio (RCE)
  • Server-Side Request Forgery (SSRF).
  • Cross-site Scripting (XSS).
  • Cross-site Request Forgery (CSRF).
  • SQL Injection (SQLi).
  • Attacchi XML External Entity (XXE).
  • Vulnerabilità del controllo dell'accesso (problemi di riferimenti a oggetti diretti non sicuri e così via).
  • Problemi di tipo Path/Directory Traversal.

Nell'ambito della nostra iniziativa di apertura e trasparenza, invitiamo tutti gli utenti a visitare la pagina del nostro programma Bug Bounty, a iscriversi e a condurre test per noi.

Report sulle informazioni di vulnerabilità

Quando una vulnerabilità viene identificata da uno dei nostri utenti durante l'utilizzo standard del prodotto, invece che attraverso un tentativo specifico di testare il sistema, operazione che, in conformità ai nostri requisiti, deve essere condotta tramite il nostro programma Bug Bounty, invitiamo a inviarne notifica tramite il team di assistenza Atlassian. Rispondiamo tempestivamente a eventuali vulnerabilità inviate e manterremo aggiornati i soggetti interessati mentre indaghiamo e rispondiamo al problema.

Prima di divulgare pubblicamente un problema richiediamo che i ricercatori ci chiedano l'autorizzazione a farlo. Atlassian elaborerà le richieste di divulgazione pubblica in base ai singoli report. Le richieste di divulgazione pubblica verranno prese in considerazione solo dopo la correzione della vulnerabilità segnalata.

Esclusioni dal nostro programma di test di sicurezza

Il nostro approccio di apertura e trasparenza non si applica solo ai test che conduciamo, ma anche a quelli che non eseguiamo o che al momento non supportiamo. Sono esclusi dal nostro programma di test di sicurezza:

App del Marketplace - Le app del Marketplace sono rigorosamente escluse dal nostro programma Bug Bounty, eventuali problemi di sicurezza possono essere segnalati dell'ambito del Vulnerability Disclosure Program. Pur essendo escluse dal programma, trasmetteremo tutte le vulnerabilità delle app che ci vengono segnalate.

Test eseguiti autonomamente dai clienti

In linea con le Condizioni d'uso per i nostri prodotti Cloud, ora consentiamo ai clienti di eseguire test autonomamente. Abbiamo assunto un impegno in termini di trasparenza e continueremo a pubblicare regolarmente le statistiche del nostro programma Bug Bounty.

Il nostro programma Bug Bounty offre un approccio più efficiente ed economico per valutare la sicurezza dei prodotti e servizi che offriamo; tuttavia, comprendiamo la tua esigenza di volerne testare la sicurezza autonomamente. Consentiamo ai clienti di condurre valutazioni di sicurezza (test di penetrazione, valutazioni delle vulnerabilità), ma chiediamo che, a tale scopo, vengano seguite alcune regole che tutelino la sicurezza di tutti. Se rilevi un problema che desideri portare alla nostra attenzione, segui le istruzioni su come segnalare una vulnerabilità, disponibili anche sul nostro sito.

Alcuni tipi di vulnerabilità a basso rischio: i nostri prodotti sono sviluppati per liberare il potenziale di ogni team e questo richiede collaborazione. Le vulnerabilità legate all'enumerazione e alla raccolta di informazioni non sono generalmente considerate rischi significativi.

I nostri strumenti di misurazione

Disponiamo di una policy di correzione dei bug che funge da accordo sui livelli di servizio (SLA) interno tra i nostri team di prodotto e il nostro team di sicurezza. Nella categorizzazione dei bug, utilizziamo il Common Vulnerability Scoring System (CVSS versione 3), utile per comunicare la gravità delle vulnerabilità ai nostri clienti. Ci adoperiamo per rispettare le seguenti tempistiche di correzione dei problemi di sicurezza nei nostri prodotti:

  • I bug di gravità critica (punteggio CVSS v2 >= 8, punteggio CVSS v3 >= 9) devono essere corretti nel prodotto entro 4 settimane dalla segnalazione.
  • I bug di gravità elevata (punteggio CVSS v2 >= 6, punteggio CVSS v3 >= 7) devono essere corretti all'interno del prodotto entro 6 settimane dalla segnalazione.
  • I bug di gravità media (punteggio CVSS v2 >= 6, punteggio CVSS v3 >= 7) devono essere corretti all'interno del prodotto entro 8 settimane dalla segnalazione.

Queste tempistiche vengono rivalutate su base annuale e adattate secondo necessità in base ai cambiamenti che avvengono nell'ambiente di minacce.

Inoltre, considerato che il nostro obiettivo è quello di aumentare i costi di ricerca e sfruttamento delle vulnerabilità nei nostri prodotti, è necessario disporre di uno strumento per quantificare tale costo. Ci avvaliamo del "bounty", un sistema che riconosce una ricompensa ai ricercatori di sicurezza che trovano le vulnerabilità per nostro conto. In poche parole, il numero di bug identificati nel corso del tempo tramite il nostro programma Bug Bounty dovrebbe diminuire e, man mano che ciò avviene, dovremo aumentare l'importo che siamo disposti a pagare per il rilevamento di tali bug se vogliamo continuare a ricevere i report. Se l'impegno necessario per trovare una vulnerabilità premiata con una ricompensa di 3.000 $ comporta in realtà un lavoro quantificabile in un importo superiore a 3.000 $, l'attività non sarà più interessante agli occhi dei ricercatori e dovremo necessariamente remunerarla con un importo maggiore; pertanto, il costo per individuare la vulnerabilità aumenterà.

In altre parole, le ricompense bounty aumenteranno nel corso del tempo.

In sintesi

Atlassian offre un programma di test di sicurezza esterno maturo, aperto e trasparente basato sul sistema di bug bounty.

Desideri approfondire l'argomento?

In questo documento di brief abbiamo fatto riferimento a molti altri documenti e risorse e ti invitiamo esaminarli più in dettaglio se vuoi sapere di più sul nostro approccio ai test di sicurezza.

Scarica i report sui bug bounty correnti

Le vulnerabilità della sicurezza identificate nei report seguenti vengono monitorate internamente in Jira man mano che vengono trasmesse dal processo di controllo Bug Bounty e gli eventuali rilievi di queste valutazioni saranno esaminati e corretti in conformità alle disposizioni dello SLA pubblico sulle vulnerabilità della sicurezza.

Scarica le lettere di valutazione

Le vulnerabilità della sicurezza identificate nei report seguenti vengono monitorate internamente in Jira durante il processo di reporting dei test di penetrazione e gli eventuali rilievi di queste valutazioni saranno esaminati e corretti in conformità alle disposizioni dello SLA pubblico sulle vulnerabilità della sicurezza.