Наш подход к управлению инцидентами безопасности


Наш подход к обработке инцидентов безопасности

В Atlassian реализован комплекс мер по обеспечению безопасности, позволяющий защищать клиентскую информацию и предлагать максимально надежные и безопасные сервисы. Однако инциденты безопасности по-прежнему могут возникать (и возникают), поэтому не менее важно располагать эффективными методами реагирования на них.

По этой причине компания Atlassian выработала четкий подход к реагированию на инциденты безопасности, которые затрагивают ее сервисы или инфраструктуру. Этот подход включает ведение комплекса журналов, а также мониторинг продуктов и инфраструктуры, что в совокупности позволяет быстро обнаруживать потенциальные инциденты. Сюда же входит поддержка процессов, строго определяющих порядок действий на всех этапах решения инцидента. Для выполнения этой работы существует команда высококвалифицированных дежурных менеджеров инцидентов, имеющих весомый опыт координации работ для эффективного решения проблем. Кроме того, имеется доступ к ряду внешних экспертов, которые помогают максимально эффективно исследовать инциденты и реагировать на них. Подход к управлению инцидентами структурирован в соответствии с Руководством по обработке компьютерных инцидентов безопасности NIST 800-61, а каталогизация инцидентов ведется в соответствии с инфраструктурой Verizon VERIS.

Подробнее о философии и подходе

Любой случай, когда существует или возможно негативное воздействие на конфиденциальность, целостность или доступность данных наших клиентов либо данных или сервисов Atlassian, мы рассматриваем как инцидент безопасности.

Ранее мы оценивали такое воздействие словом «намеренное», однако оно было удалено, чтобы не исключать случайные утечки данных и т. д.

В основе нашего метода реагирования на инциденты безопасности лежит соблюдение наших ценностей, в частности, принципа «Не #@!% клиента» (DFTC). Мы уделяем повышенное внимание внедрению максимально эффективных процессов, которые позволяют обрабатывать инциденты безопасности в предельном соответствии с интересами клиентов и продолжать обеспечивать для них выдающийся опыт использования продуктов. Для этого мы разработали надежный процесс обработки инцидентов, в который входят несколько описанных ниже возможностей.

Несколько способов быстро обнаружить потенциальный инцидент

У нас реализованы несколько механизмов мониторинга для обнаружения в продуктах и инфраструктуре сбоев или аномалий, которые могут свидетельствовать о потенциальном инциденте безопасности. При обнаружении деятельности, требующей дальнейшего расследования, эти системы немедленно выдают уведомления. В Atlassian есть агрегированная платформа для централизованного сбора и анализа журналов, поэтому аналитики могут быстро и тщательно исследовать инцидент, а инженеры по обеспечению надежности сайта — следить за доступностью платформы. Кроме того, наши команды заранее получают уведомления о событиях и информацию о безопасности через специальное приложение.

Мы также поддерживаем специальные внешние каналы, которые помогают узнавать об уязвимостях или инцидентах, в т. ч. программу вознаграждения за найденные ошибки (Bug Bounty)клиентский портал, а также выделенные электронные адреса и номера телефонов для сбора информации, касающейся безопасности.

Надежная платформа для управления инцидентами безопасности

Для обеспечения последовательного, воспроизводимого и эффективного процесса реагирования на инциденты мы составили строгую внутреннюю схему, содержащую все шаги, которые необходимо выполнить на каждом этапе. Эти шаги по эффективному реагированию на различные типы инцидентов подробно задокументированы в постоянно обновляемых инструкциях. На верхнем уровне наша схема реагирования описывает следующее.

Обнаружение и анализ инцидентов. Шаги, которые мы выполняем после получения первоначального уведомления о потенциальном инциденте, включая подтверждение или неподтверждение инцидента безопасности (чтобы сократить ложные срабатывания), а также оценку векторов атак, масштаба компрометации и влияния на компанию Atlassian и ее клиентов.

Классификация опасности инцидентов. После проведения анализа и определения произошедшего мы определяем опасность инцидента. Инциденту назначается один из четырех уровней опасности:

Описание уровней опасности инцидентов
Уровень опасности Описание
0 Кризисный инцидент с максимальными последствиями
1 Критически опасный инцидент с очень большими последствиями
2 Серьезный инцидент со значительными последствиями
3 Несерьезный инцидент с незначительными последствиями

 

Для определения серьезности инцидента используется ряд показателей, которые меняются в зависимости от используемого продукта, но обязательно учитывают, имел ли место полный перерыв в обслуживании (и какое количество клиентов это затронуло), нарушены ли основные функциональные возможности и была ли утеря данных.

Локализация, ликвидация и восстановление. В зависимости от серьезности инцидента мы определяем и выполняем шаги, необходимые для локализации инцидента, ликвидации основных его причин и запуска процессов восстановления, позволяющих обеспечить максимально быстрый возврат к обычной работе. Безусловно, предпринимаемые на этом этапе шаги значительно разнятся в зависимости от характера инцидента. Кроме того, если эта информация может быть полезна (или предусмотрена требованиями юридических или договорных обязательств), на этом этапе реагирования Atlassian сообщает клиентам об инциденте и его потенциальном влиянии.

Оповещение. Если данные какого-либо клиента затронуты инцидентом или нарушением, мы стремимся уведомить его в течение 72 часов или ранее, избегая необоснованных задержек. Возможно, первые данные будут достаточно краткими, но мы предоставим все доступные сведения, как только они станут доступны.

Проверка по результатам реагирования на инцидент. После устранения каждого инцидента мы стараемся извлечь урок из случившегося, который поможет нам разрабатывать технические решения, улучшать процессы и внедрять дополнительные рекомендации, чтобы мы могли и дальше обеспечивать максимально удобную работу для клиентов и затруднять деятельность злоумышленников.

Строго определенные роли и обязанности

Каждым инцидентом управляет один из наших опытных высококвалифицированных менеджеров серьезных инцидентов (MIM). Они обычно принимают решения, связанные с безопасностью, наблюдают за процессом реагирования и распределяют задачи внутри него. В процессе реагирования менеджерам MIM помогают аналитики инцидентов, которые ведут расследование и анализ, а также ряд других специалистов. Во многих случаях, если инцидент затрагивает более чем одну локаль, для разрешения инцидента назначается два менеджера MIM, чтобы гарантировать постоянное наличие человека, который отвечает за продолжение процесса реагирования, и не задерживать (в том числе из-за разных часовых поясов) работу по локализации или восстановлению.

В случае возникновения крупномасштабных инцидентов для помощи в управлении процессом реагирования может привлекаться менеджер MIM из другой команды (обычно из команды по техническому обеспечению надежности сайта). Узнайте больше о ролях и обязанностях, назначаемых при возникновении инцидентов безопасности.

Доступ к сторонним экспертами при необходимости

Иногда для расследования инцидента нам может потребоваться помощь стороннего эксперта. Мы пользуемся услугами высококвалифицированных консультантов по кибербезопасности и экспертов-криминалистов в тех случаях, когда нам нужна глубокая аналитическая оценка или криминалистическая экспертиза для поиска и предоставления электронных документов в целях судебного разбирательства.

Использование собственных инструментов для управления инцидентами безопасности

Чтобы гарантировать максимальную методичность, последовательность и динамичность обработки инцидентов, мы используем специально настроенные версии многих наших продуктов. Сюда входят указанные ниже продукты.

Confluence используется для совместного создания, документирования и обновления процессов реагирования на инциденты в центральном офисе; такой подход позволяет распространять эти процессы среди всех сотрудников и быстро обновлять их в ответ на уроки, извлеченные из прошлых инцидентов. Мы также используем Confluence для документирования наших действий и поисков.

Jira. Мы используем Jira для создания заявок как в целях предварительного расследования подозрительных инцидентов, так и для организации и отслеживания процесса реагирования, если предварительные расследования подтверждают, что инцидент произошел. Такие заявки помогают собирать информацию об инциденте, разрабатывать решения и выполнять другую логистическую работу (например, делегировать задачи в рамках процесса реагирования, а при необходимости обращаться к другим командам внутри компании). Jira также используется для отслеживания проводимых поисковых работ и успеха или неудачи каждой такой операции. 

Bitbucket используется в качестве инструмента управления исходным кодом в процессе разработки основанных на коде решений для уникальных проблем, возникающих в критических случаях в определенных типах инцидентов. Впоследствии мы можем совместно дорабатывать и тестировать эти решения, сохраняя их при этом частными и выполняя при необходимости быстрые итерации. Мы также используем Bitbucket в сочетании с планом непрерывной интеграции/непрерывной поставки и развертыванием кода, чтобы устранить причину инцидента либо упростить обнаружение инцидентов или предотвратить их возникновение в будущем.

По сути, эти инструменты помогают нам создать платформу для реагирования, которая позволяет представлять любой инцидент, независимо от типа, в виде структурированного и до определенного уровня понятного объекта, чтобы максимально быстро находить решения.

Резюме

Компания Atlassian использует надежный комплексный подход к обработке инцидентов безопасности, в основе которого лежит использование собственных инструментов, которые мы поставляем клиентам. Это позволяет реагировать на инциденты с высокой степенью последовательности, предсказуемости и эффективности и сводить к минимуму потенциальный ущерб для клиентов, партнеров и самой компании Atlassian.

Хотите узнать больше?

Мы опубликовали ряд других ресурсов, где можно узнать о нашем подходе к обработке инцидентов безопасности и общем подходе к обеспечению безопасности.