Close

외부 보안 테스트에 대한 Atlassian의 접근 방식


Atlassian은 Atlassian 제품 및 Cloud의 보안 취약성을 식별하고 수정하기 위해 마련한 프로세스에 대한 확신을 원하는 고객에게서 종종 침투 테스트 보고서를 요청받습니다. Atlassian의 외부 보안 테스트 접근 방식은 특정 시점에 침투 테스트 대신 '지속적인 확신'이라는 개념을 기반으로 수립되었습니다. Atlassian은 크라우드소싱 버그 바운티를 사용하는 상시 관리, 상시 테스트 모델을 사용합니다.

Atlassian의 철학 및 접근 방식

Atlassian은 Atlassian의 가치로 잘 알려져 있으며, 그러한 가치는 보안 테스트에 대한 접근 방식을 포함하여 Atlassian이 하는 모든 업무에 실질적으로 영향을 미칩니다. 실제로 Atlassian의 가치는 Atlassian이 다음과 같은 철학과 접근 방식을 갖게 만들었습니다.

  • 버그는 개발 프로세스에서 피할 수 없는 부분입니다. 문제는 버그가 있느냐가 아니라 얼마나 빠르고 효과적으로 버그를 찾아서 해결하는가입니다. 이것은 Atlassian이 버그를 좋아하거나 버그의 빈도와 심각도를 줄이는 방법을 지속적으로 혁신하지 않는다는 것을 의미하는 것이 아니며 소프트웨어 버그와 관련해서 부인하는 것은 효과적인 접근 방식이 아니라는 것을 의미합니다.
  • Atlassian은 제품 및 서비스에서 취약성을 찾아서 악용하는 데 드는 비용을 높이려고 합니다. 문제를 빠르게 식별하고 해결하여 보안 버그를 찾는 경제적인 비용을 높이는 것을 목표로 삼고 있습니다. 취약성을 악용하는 데 소요되는 시간을 늘려 취약성을 악용하는 비용을 높이면 공격자는 더 많은 지식과 리소스가 필요하게 되므로 이들의 투자 대비 효율이 줄어듭니다. 투자 대비 효율을 충분히 낮추면 공격자가 엄두를 내지 못하거나 매력을 느끼지 못하게 됩니다.
  • Atlassian은 업계 표준을 지원하고 사용합니다. 용어와 접근 방식을 표준화하면 Atlassian은 모든 것을 다룰 수 있게 되며, 고객은 Atlassian이 하는 일을 이해할 수 있게 됩니다. 예를 들어, CVSS(일반 취약성 점수 시스템)을 사용하는 일반적인 취약성 등급을 통해 Atlassian과 고객은 특정 취약성의 심각도를 명확하게 알 수 있습니다. 또한 Atlassian은 ISO 27001CSA(Cloud Security Alliance)에서 설명한 취약성 관리 프로세스를 따릅니다.
  • 외부 보안 연구원은 Atlassian 팀을 확장하는 중요한 구성원입니다. Atlassian 제품에 취약성이 있는 경우 가능한 빠르게 찾아서 해결하는 것이 Atlassian과 모든 고객에게 도움이 됩니다. Atlassian은 버그 바운티 프로그램의 현금 보상을 통해 외부 연구원에게 제품 취약성을 찾을 동기를 부여합니다. Atlassian은 외부 보안 연구원의 협력으로 기존의 접근 방식을 훨씬 넘어서는 범위까지 팀을 확장할 수 있습니다!
  • Atlassian은 보안 테스트 프로그램에 대해 열려있으며 투명한 태도를 유지합니다. Atlassian의 버그 바운티 프로그램은 발견된 버그에 대한 통계를 제공하고, Atlassian이 보안 버그를 수정하는 속도를 공개하며, 가능한 경우 요약 테스트 보고서를 제공합니다.

지속적인 보안 확신

침투 테스트

Atlassian은 전문 보안 컨설팅 회사를 통해 고위험 제품 및 인프라에 대한 침투 테스트를 수행합니다. 여기에는 새로운 인프라(예: 클라우드 환경)를 구축, 새로운 제품(예: Trello)을 도입 또는 근본적인 재설계(예: 광범위한 마이크로 서비스 사용)가 될 수 있습니다.

이러한 경우 Atlassian의 침투 테스트 접근 방식은 고도로 표적에 집중되어 있습니다. 그러한 테스트는 일반적으로 다음과 같습니다.

  • 화이트 박스 - 제품 엔지니어가 테스터에게 테스트를 지원하는 설계 문서와 브리핑을 제공합니다.
  • 코드 지원 - 테스터가 관련 코드 베이스에 완전히 액세스할 수 있으므로 테스트 도중 예기치 않은 시스템 동작을 진단하고 잠재적인 대상을 식별할 수 있습니다.
  • 위협 기반 - 테스트는 손상된 인스턴스가 존재한다고 가정하거나 시작 지점에서의 측면 이동을 테스트하는 경우와 같은 특정 위협 시나리오에 초점을 맞춥니다.

Atlassian은 이 페이지의 하단에 외부에서 사용할 수 있는 침투 테스트 파트너의 LoA(평가서)를 게시합니다. 이러한 평가를 수행할 때는 테스터에게 광범위한 내부 정보를 제공하므로 전체 보고서는 제공하지 않습니다. 대다수의 시스템과 제품은 나중에 공개 버그 바운티 프로그램에 포함되므로 고객이 원하는 지속적인 외부 확신을 제공합니다. 이 평가에서 찾은 사항은 Atlassian의 공개 보안 취약성 SLA에 따라 선별 및 수정됩니다.

버그 바운티

버그 바운티 프로그램Bugcrowd가 호스팅합니다. 이 프로그램의 목표는 보안 취약성을 찾아내기 위해 제품을 지속적으로 테스트하는 것입니다. 이것은 외부 보안 테스트의 핵심이며 중요한 연구, 분석 및 테스트 모델 간의 비교 결과입니다.

Atlassian은 버그 바운티 프로그램에 참여하고 있는 독립적인 보안 연구원들이 다음과 같은 이유로 가장 효과적인 외부 보안 테스트 프로세스를 제공한다고 생각합니다.

  1. 버그 바운티는 항상 이용할 수 있습니다. 침투 테스트는 보통 몇 주로 시간이 제한되어 있습니다. 릴리스가 잦은 매우 민첩한 개발 환경에서는 지속적인 테스트가 필요합니다.
  2. 버그 바운티에는 60,000명 이상의 잠재적인 테스터가 있습니다. 침투 테스트는 보통 1~2명으로 구성됩니다. 그러한 1~2명의 개인은 아무리 우수하더라도 버그 바운티 참가자 팀 전체의 능력을 결코 능가하지 못합니다.
  3. 버그 바운티 연구원들은 수직적(특정 버그 유형) 및 수평적(특정 바운티)으로 전문화된 도구와 프로세스를 개발합니다. 이러한 전문화를 통해 모호하지만 중요한 취약성을 식별할 가능성을 극대화할 수 있습니다.

Atlassian은 내부 지원을 위해 침투 테스트 및 전문 보안 컨설턴트를 계속 사용하고 있지만 Atlassian의 광범위한 외부 프로그램에는 버그 바운티가 더 적합합니다. Atlassian은 여러 접근 방식을 함께 사용하면 취약성을 발견할 가능성을 극대화할 수 있다고 생각합니다.

Server 제품, 모바일 앱, Cloud 제품에 걸친 25개 이상의 제품 또는 환경이 버그 바운티 프로그램의 범위에 해당됩니다. 보고된 취약성 수, 평균 응답 시간, 평균 포상금 금액에 대한 세부 정보가 모두 Bugcrowd 사이트에 포함되어 있으며, 800명 이상의 테스터가 Atlassian 프로그램를 지정하여 등록되어 있습니다.

버그 바운티 프로그램을 통해 식별하려는 취약성으로는 OWASP(Open Web Application Security Project)WASC(Web Application Security Consortium) 위협 목록에 캡처된 일반적인 유형 등이 있습니다. 여기에는 다음이 포함됩니다.

  • 인스턴스 간 데이터 유출/액세스
  • RCE(원격 코드 실행)
  • SSRF(Server-Side Request Forgery)
  • XSS(Cross-site Scripting)
  • CSRF(Cross-site Request Forgery)
  • SQLi(SQL Injection)
  • XXE(XML External Entity) 공격
  • 액세스 제어 취약성(안전하지 않은 직접 개체 참조 문제 등)
  • 경로/디렉터리 통과 문제

Atlassian은 개방성 및 투명성 유지에 대한 이니셔티브의 일환으로, 누구나 Atlassian의 버그 바운티 프로그램 페이지를 방문해 프로그램에 등록하고 테스트할 수 있도록 허용합니다.

Marketplace 앱 - Marketplace 앱기본 Atlassian 버그 바운티 프로그램에서 제외됩니다. 하지만 Marketplace 앱은 취약성 공개 프로그램Atlassian 빌드 앱 버그 바운티 프로그램 등 Atlassian에서 주최하는 별도의 버그 바운티 프로그램에 적용됩니다.

고객 시작 테스팅 – Cloud 제품에 대한 이용약관 에 따라 Atlassian은 고객 시작 테스팅을 허용합니다. Atlassian은 열린 기업이 되기 위해 노력하고 있으며 계속해서 버그 바운티 프로그램 통계를 정기적으로 게시할 것입니다.

Atlassian은 제품 및 서비스의 보안을 평가하는 데 있어서 버그 바운티가 보다 효율적이고 경제적인 접근 방식이라고 생각하지만, 고객이 직접 보안을 테스트할 수도 있다는 점을 이해하고 있습니다. Atlassian은 고객이 보안 평가 (침투 테스트, 취약성 평가)를 수행하는 것을 허용합니다. 단, 우리 모두의 안전을 위해 몇 가지 규칙을 지킬 것을 요청합니다. 보고할 문제를 발견하는 경우 Atlassian의 사이트에 있는 취약성을 보고하는 방법에 대한 지침도 확인해 주세요.

취약성 보고

제품의 일반적 사용 과정에서 사용자가 취약성을 식별한 경우(버그 바운티 프로그램을 통해 발생해야 하는 특정한 시스템 테스트 시도로 식별되는 경우와 반대) Atlassian 고객 지원팀을 통해 알려 주세요. Atlassian은 제출한 모든 취약성에 즉시 대응하며, 문제를 조사하고 이에 대응하는 과정에서 문의 당사자에게 최신 정보를 지속적으로 제공합니다.

Atlassian은 연구원이 문제를 일반에게 공개하기 전에 Atlassian에 허가를 요청하도록 요구합니다. Atlassian은 보고서별로 일반 공개 요청을 처리합니다. 일반 공개 요청은 보고한 취약성이 해결된 경우에만 고려됩니다.

보안 테스트 프로그램에서 제외 사항

Atlassian은 수행하는 테스트뿐만 아니라 직접 수행하지 않거나 현재 지원하고 있지 않은 테스트에 대해서도 열려 있고 투명한 태도를 취하고 있습니다. 보안 테스트 프로그램에서 제외되는 항목은 다음과 같습니다.

특정 저위험 취약성 유형 - Atlassian의 제품은 모든 팀에서 잠재력을 발휘할 수 있도록 개발되었으며, 그러려면 협업이 필요합니다. 열거 및 정보 수집과 관련된 취약성은 일반적으로 중대한 위험으로 간주되지 않습니다.

올바른 사항을 측정

Atlassian에는 제품 팀과 보안 팀 간에 내부 SLA(서비스 수준 계약) 역할을 하는 버그 수정 정책이 있습니다. Atlassian은 버그를 분류할 때 일반 취약성 점수 시스템(CVSS 버전 3)을 사용하여 고객에게 취약성의 심각도를 전달합니다. Atlassian은 다음과 같은 기간 안에 보안 문제를 해결하기 위해 노력하고 있습니다.

  • 중요 심각도 버그(CVSS v2 점수 >= 8, CVSS v3 점수 >= 9)는 보고된 후 4주 이내에 제품에서 수정해야 합니다.
  • 높음 심각도 버그(CVSS v2 점수 >= 6, CVSS v3 점수 >= 7)는 보고된 후 6주 이내에 제품에서 수정해야 합니다.
  • 중간 심각도 버그(CVSS v2 점수 >= 3, CVSS v3 점수 >= 4)는 보고된 후 8주 이내에 제품에서 수정해야 합니다.

이러한 기간은 매년 다시 평가하며 위협 환경이 변화함에 따라 필요한 경우 조정합니다.

또한 Atlassian의 목표가 제품에서 취약성을 찾아서 악용하는 비용을 높이는 것임을 감안하면 해당 비용을 정량화하는 방법이 필요합니다. Atlassian은 취약성을 찾는 보안 연구원에게 대리인으로서 '포상금'을 제공합니다. 간단히 말해, 시간이 지나면서 버그 바운티 프로그램을 통해 식별되는 버그의 수는 줄어들게 됩니다. 이러한 상황이 발생했을 때 보고서를 계속 수신하려면 그러한 버그에 대해 지불하려는 금액을 높여야 합니다. $3,000의 보상이 주어지는 취약성을 찾는 데 필요한 노력이 결국에는 가치가 없게 되는 경우, 즉 $3,000보다 더한 노력이 필요한 경우 Atlassian은 그러한 취약성 발견에 대한 보상을 높입니다.

즉 고객은 시간이 지날수록 더 높은 포상금을 예상할 수 있습니다.

요약

Atlassian에는 버그 바운티를 중심으로 구축된 성숙하고 개방적이며 투명한 외부 보안 테스트 프로그램이 있습니다.

더 자세히 알아보시겠습니까?

Atlassian은 이 간단한 문서에서 다른 문서와 리소스를 많이 참조했으며, 보안 테스트에 대한 Atlassian의 접근 방식에 대해 자세히 알아보려면 이러한 문서와 리소스를 자세히 살펴보시기 바랍니다.

최신 버그 바운티 보고서 다운로드

아래의 보고서에서 식별된 보안 취약성은 버그 바운티 유입 프로세스를 거치는 동안 내부 Jira에서 추적할 수 있으며, 버그 바운티에서 발견된 항목은 Atlassian의 공개 보안 취약성 SLA에 따라 선별 및 수정됩니다.

LoA(평가서) 다운로드

아래의 보고서에서 식별된 보안 취약성은 침투 테스트 보고서 프로세스를 거치는 동안 내부 Jira에서 추적할 수 있으며, 이러한 평가에서 발견된 항목은 Atlassian의 공개 보안 취약성 SLA에 따라 선별 및 수정됩니다.