Il nostro approccio ai test di sicurezza esterni
I clienti chiedono regolarmente report sui test di penetrazione ad Atlassian per avere la certezza che i processi implementati consentano di identificare, e correggere, le vulnerabilità della sicurezza nei prodotti Atlassian e Cloud. Il nostro approccio ai test di sicurezza esterni si basa sul concetto di "verifica continua": invece di condurre un singolo test di penetrazione, ci avvaliamo di un modello di test sempre attivo che utilizza un bug bounty in crowdsourcing.
La nostra filosofia e il nostro approccio
Atlassian è nota per i suoi valori, che influiscono realmente su tutto ciò che facciamo, incluso il nostro approccio ai test di sicurezza. In pratica, i nostri valori sono alla base della filosofia e degli approcci descritti di seguito:
- I bug sono una parte inevitabile del processo di sviluppo; la domanda da porsi non è se ci sono dei bug, ma in che misura e con quale rapidità riusciamo a trovarli e a risolverli. Questo non significa accettare che i bug esistano o che il nostro operato non sia basato sull'innovazione costante volta a ridurne la frequenza e la gravità, ma che in fatto di bug del software adottare un atteggiamento di negazione del problema non è un approccio vincente.
- Il nostro obiettivo è aumentare i costi di ricerca e sfruttamento delle vulnerabilità nei nostri prodotti e servizi: attraverso l'identificazione e la risoluzione rapida dei problemi, puntiamo ad aumentare il costo economico dell'individuazione dei bug di sicurezza. Aumentando i costi che lo sfruttamento di una vulnerabilità comporta per gli aggressori, in termini di tempi più lunghi e di necessità di maggiori conoscenze e risorse, riduciamo il loro ritorno sull'investimento. Se riusciamo a ridurlo a sufficienza, lo sfruttamento diventa per loro proibitivo in termini di costi o di scarso interesse.
- Supportiamo e utilizziamo gli standard del settore: la standardizzazione della nostra terminologia e del nostro approccio ci permette di garantire una copertura completa e aiuta i nostri clienti a comprendere il nostro operato. Ad esempio, le classificazioni comuni delle vulnerabilità che utilizzano il Common Vulnerability Scoring System (CVSS) offre un quadro chiaro della gravità di una specifica vulnerabilità a noi e ai nostri clienti. Seguiamo anche i processi di gestione delle vulnerabilità delineati in ISO 27001 e in Cloud Security Alliance (CSA).
- I ricercatori di sicurezza esterni rappresentano una preziosa estensione del nostro team: se un prodotto Atlassian presenta una vulnerabilità, è nell'interesse di tutti, sia nostro che dei nostri clienti, trovarla e risolverla il più rapidamente possibile. Attraverso il programma Bug Bounty, che prevede riconoscimenti in denaro, Atlassian incentiva i ricercatori esterni a individuare le vulnerabilità presenti nei suoi prodotti. Con l'aiuto di ricercatori di sicurezza esterni, possiamo aumentare le dimensioni del nostro team ben oltre gli approcci tradizionali!
- Adottiamo un approccio aperto e trasparente riguardo al programma di test di sicurezza: con il nostro programma Bug Bounty forniamo statistiche sui bug trovati, offriamo informazioni chiare sulla tempistica di correzione dei bug di sicurezza e, quando possibile, rendiamo disponibili report di riepilogo dei test in fondo a questa pagina.
Garanzia di sicurezza continua
Esecuzione di test di penetrazione.
Ci avvaliamo di società di consulenza specializzate in sicurezza per condurre test di penetrazione su prodotti e infrastruttura ad alto rischio. Potrebbe trattarsi di una nuova infrastruttura configurata per noi (ad es. il nostro ambiente Cloud), di un nuovo prodotto (ad es. Trello) o di una ridefinizione fondamentale dell'architettura (ad esempio l'uso estensivo di microservizi).
Il nostro approccio ai test di penetrazione in questi casi è altamente mirato. I test saranno generalmente:
- Test strutturali: ai tester verrà fornita la documentazione di progettazione e i briefing dei nostri tecnici di prodotto a supporto dei test da eseguire.
- Accesso al codice: i tester avranno accesso completo alla base di codice pertinente per diagnosticare qualsiasi comportamento imprevisto del sistema durante i test e per identificare i potenziali obiettivi.
- Basati sulle minacce: i test saranno focalizzati su uno specifico scenario di minacce; ad esempio, ipotizzando che esista un'istanza compromessa, eseguiremo test del movimento laterale da quel punto di partenza.
Pubblichiamo lettere di valutazione dei nostri partner che eseguono i test di penetrazione; tali lettere sono disponibili in fondo a questa pagina e possono essere utilizzate esternamente. A causa della vasta quantità di informazioni interne messe a disposizione dei tester nello svolgimento delle valutazioni, non forniamo report completi. La maggior parte di questi sistemi e prodotti sarà inclusa successivamente nel programma Bug Bounty pubblico e offriranno quella garanzia continua fornita da terzi richiesta dai nostri clienti. I risultati di queste valutazioni saranno esaminati e risolti in base a quanto previsto dal nostro SLO pubblico sulle vulnerabilità di sicurezza.
Bug bounty
Il nostro programma Bug Bounty è ospitato da Bugcrowd. L'obiettivo del programma è garantire che i nostri prodotti siano costantemente testati per scoprire le vulnerabilità della sicurezza. È questo il fulcro del nostro programma di test di sicurezza esterni ed è il risultato di importanti ricerche, analisi e confronto tra modelli di test.
Crediamo che l'elevato numero di ricercatori di sicurezza indipendenti che partecipano al nostro programma Bug Bounty offra il più efficace processo di test di sicurezza esterni perché:
- I bug bounty sono sempre disponibili. I test di penetrazione hanno in genere una durata limitata a poche settimane. In un ambiente di sviluppo veramente agile con rilasci frequenti, i test continui sono una necessità.
- Un bug bounty ha 60.000 potenziali tester. I test vengono generalmente condotti da 1 o 2 persone che, per quanto competenti, non potranno mai superare la capacità aggregata del team di partecipanti al bug bounty.
- I ricercatori di bug bounty sviluppano strumenti specializzati e agiscono sia verticalmente, cercando tipi di bug specifici, sia orizzontalmente valutandone l'entità. Questa specializzazione offre la più ampia possibilità di identificare vulnerabilità non note, ma significative.
Per l'assistenza interna continuiamo a utilizzare test di penetrazione e consulenti specializzati in materia di sicurezza, ma per il nostro programma esterno, caratterizzato da una copertura più ampia, un bug bounty è più indicato. Siamo convinti che la combinazione di approcci massimizzi le nostre possibilità di trovare le vulnerabilità.
Oltre 25 dei nostri prodotti o ambienti, che spaziano dai prodotti Server alle app mobili fino ai prodotti Cloud, sono inclusi nell'ambito del programma Bug Bounty. Le informazioni dettagliate sul numero di vulnerabilità segnalate, sul nostro tempo medio di risposta e sul pagamento medio sono riportate sul sito Bugcrowd, dove operano oltre 800 tester registrati appositamente per il nostro programma.
Attraverso il nostro programma Bug Bounty vogliamo identificare i tipi più comuni di vulnerabilità indicati negli elenchi di minacce Open Web Application Security Project (OWASP) e Web Application Security Consortium (WASC), tra cui:
- Accesso/perdita di dati comuni a più istanze.
- Remote Code Consecutio (RCE)
- Server-Side Request Forgery (SSRF).
- Cross-site Scripting (XSS).
- Cross-site Request Forgery (CSRF).
- SQL Injection (SQLi).
- Attacchi XML External Entity (XXE).
- Vulnerabilità del controllo dell'accesso (problemi di riferimenti a oggetti diretti non sicuri e così via).
- Problemi di tipo Path/Directory Traversal.
Nell'ambito della nostra iniziativa di apertura e trasparenza, invitiamo tutti gli utenti a visitare la pagina del nostro programma Bug Bounty, a iscriversi e a condurre test per noi.
App Marketplace - Le app Marketplace sono escluse dal programma Bug Bounty principale di Atlassian. Tuttavia, le app Marketplace sono coperte da programmi Bug Bounty a parte ospitati da Atlassian, come il Vulnerability Disclosure Program e il programma Bug Bounty per le app di Atlassian.
Test eseguiti autonomamente dai clienti - In linea con i nostri Termini di utilizzo per i nostri prodotti Cloud, ora consentiamo ai clienti di eseguire test autonomamente. Abbiamo assunto un impegno in termini di trasparenza e continueremo a pubblicare regolarmente le statistiche del nostro programma Bug Bounty.
I nostri programmi Bug Bounty offrono un approccio più efficiente ed economico per valutare la sicurezza dei prodotti e servizi che offriamo; tuttavia, comprendiamo la tua esigenza di volerne testare la sicurezza autonomamente. Consentiamo ai clienti di condurre valutazioni di sicurezza (test di penetrazione, valutazioni delle vulnerabilità), ma chiediamo che, a tale scopo, vengano seguite alcune regole che tutelino la sicurezza di tutti.
Report sulle informazioni di vulnerabilità
Se rilevi un problema che desideri portare all'attenzione di Atlassian, segui le istruzioni su come segnalare una vulnerabilità.
Qui in Atlassian, uno dei nostri valori fondamentali è "Promuovi un'azienda aperta, non solo a parole" e pensiamo che la divulgazione delle vulnerabilità sia parte di questo valore. Il nostro obiettivo è correggere le vulnerabilità della sicurezza all'interno degli obiettivi a livello di servizio (SLO) pertinenti. Accettiamo le richieste di divulgazione effettuate attraverso i nostri programmi Bug Bounty dopo che un problema è stato risolto e rilasciato in produzione. Tuttavia, se il report contiene dati sui clienti, la richiesta viene rifiutata. Se hai intenzione di divulgare le vulnerabilità al di fuori dei nostri programmi Bug Bounty, ti chiediamo di darci un ragionevole preavviso e di attendere che l'SLO associato sia passato.
Esclusioni dal nostro programma di test di sicurezza
Il nostro approccio di apertura e trasparenza non si applica solo ai test che conduciamo, ma anche a quelli che non eseguiamo o che al momento non supportiamo. Sono esclusi dal nostro programma di test di sicurezza:
Alcuni tipi di vulnerabilità a basso rischio: i nostri prodotti sono sviluppati per liberare il potenziale di ogni team e questo richiede collaborazione. Le vulnerabilità legate all'enumerazione e alla raccolta di informazioni non sono generalmente considerate rischi significativi.
I nostri strumenti di misurazione
Disponiamo di una policy di correzione dei bug di sicurezza che definisce le tempistiche dell'obiettivo a livello di servizio (SLO) per la risoluzione delle vulnerabilità, in base al livello di gravità e al prodotto. Nella valutazione delle vulnerabilità, utilizziamo il Common Vulnerability Scoring System, che aiuta a comunicare la gravità delle vulnerabilità ai nostri clienti.
Inoltre, il nostro obiettivo è quello di aumentare i costi di ricerca e sfruttamento delle vulnerabilità nei nostri prodotti. Ci avvaliamo dei programmi Bug Bounty per quantificare tale costo. Con il progressivo miglioramento della nostra condizione di sicurezza, il numero di bug identificati tramite i nostri programmi Bug Bounty dovrebbe diminuire e, man mano che ciò avviene, dovremo aumentare l'importo che siamo disposti a pagare per il rilevamento di tali bug se vogliamo continuare a ricevere i report. Per esempio, se l'impegno necessario per trovare una vulnerabilità premiata con una ricompensa di 3.000 $ comporta in realtà un lavoro quantificabile in un importo superiore a 3.000 $, l'attività non sarà più interessante agli occhi dei ricercatori e dovremo necessariamente remunerarla con un importo maggiore e quindi il costo per individuare la vulnerabilità aumenterà.
In altre parole, le ricompense bounty aumenteranno nel corso del tempo.
In sintesi
Atlassian offre un programma di test di sicurezza esterno maturo, aperto e trasparente basato sul sistema di bug bounty.
Desideri approfondire l'argomento?
In questo documento di brief abbiamo fatto riferimento a molti altri documenti e risorse e ti invitiamo esaminarli più in dettaglio se vuoi sapere di più sul nostro approccio ai test di sicurezza.
- Atlassian Trust Center
- Pratiche di sicurezza di Atlassian
- CSA STAR di Atlassian
- Policy sulla correzione dei bug di Atlassian
- Pagina dei report sulle vulnerabilità di Atlassian
- Responsabilità degli imprevisti di sicurezza Atlassian
- Home page del programma Bug Bounty di Atlassian
- Programmi Bug Bounty di Atlassian
Scarica i report sui bug bounty correnti
Le vulnerabilità della sicurezza identificate nei report seguenti vengono monitorate internamente in Jira man mano che vengono trasmesse dal processo di controllo Bug Bounty e gli eventuali rilievi di queste valutazioni saranno esaminati e corretti in conformità alle disposizioni dello SLO pubblico sulle vulnerabilità della sicurezza.
- Scarica l'ultimo report sui bug bounty di Atlassian (2023-04)
- Scarica l'ultimo report sui bug bounty di Halp (2023-04)
- Scarica l'ultimo report sui bug bounty di Jira Align (2023-04)
- Scarica l'ultimo report sui bug bounty di Opsgenie (2023-04)
- Scarica l'ultimo report sui bug bounty di Statuspage (2023-04)
- Scarica l'ultimo report sui bug bounty di Trello (2023-04)
Scarica le lettere di valutazione
Le vulnerabilità della sicurezza identificate nei report seguenti vengono monitorate internamente in Jira durante il processo di reporting dei test di penetrazione e gli eventuali rilievi di queste valutazioni saranno esaminati e corretti in conformità alle disposizioni dello SLO pubblico sulle vulnerabilità della sicurezza.
- Lettera di valutazione per Jira Align (04-2022)
- Lettera di valutazione per Bitbucket Pipelines (2022-05)
- Lettera di valutazione per Trello (2022-08)
- Lettera di valutazione per Bitbucket Server e Data Center (2022-09)
- Lettera di valutazione per Confluence Cloud (2022-10)
- Lettera di valutazione per Jira Service Management Data Center (2022-10)
- Lettera di valutazione di OAuth Google per Jira Cloud (2022-10)
- Lettera di valutazione per Atlassian Log4j Library per Confluence e Jira (2022-12)
- Lettera di valutazione per Jira Work Management Cloud (2022-12)
- Lettera di valutazione per Bitbucket Cloud (2022-12)
- Lettera di valutazione per Statuspage Cloud (2022-12)
- Lettera di valutazione per Jira Software (Cloud) (2023-02)
- Lettera di valutazione per Bamboo (2023-02)
- Lettera di valutazione per Jira Product Discovery (2023-03)
- Lettera di valutazione per Atlas (2023-04)
- Lettera di valutazione per la piattaforma di visualizzazione Atlassian Analytics (05-2023)
- Lettera di valutazione per Confluence Server e Data Center (05-2023)