Наш подход к внешнему тестированию безопасности

Клиенты, которые хотят быть уверенными в надежности реализованных у нас процессов по определению (и устранению) уязвимостей безопасности продуктов и облака Atlassian, часто запрашивают отчеты о тестах на проникновение. В основе нашего подхода к внешнему тестированию безопасности лежит концепция непрерывного контроля. Мы не полагаемся на разовые тесты на проникновение, а предпочитаем постоянно действующую модель тестирования, которая основана на общедоступной программе вознаграждения за найденные ошибки (Bug Bounty) по принципу краудсорсинга.

Наши основные принципы и подход

Компания Atlassian известна своими ценностями, которые проявляются во всей нашей деятельности, в том числе в нашем подходе к тестированию безопасности. На практике наши ценности привели нас к формулированию следующих принципов и подходов.

• Баги — это неизбежный спутник разработки. Вопрос не в том, есть ли у нас баги. Главное — насколько быстро и эффективно мы их находим и устраняем. Это не означает, что нам нравятся баги или что мы не ищем постоянно новые способы уменьшить их количество и степень серьезности. Просто когда речь заходит о багах в ПО, отрицание — не лучший подход.
• Мы стремимся увеличить издержки, связанные с обнаружением и эксплуатацией уязвимостей в наших продуктах и сервисах. Если мы быстро находим и устраняем проблемы, затраты на поиск уязвимостей безопасности растут. Если затраты на эксплуатацию уязвимости растут, если для этого злоумышленникам требуется больше времени, знаний и ресурсов, их действия становятся сложнее окупить. Если мы сможем снизить их окупаемость до достаточного уровня, подобные махинации станут неприемлемыми или невыгодными.
• Мы применяем и поддерживаем отраслевые стандарты. Мы используем стандартную терминологию и подходы, чтобы быть уверенными, что ничего не упустили, и чтобы клиенты могли понимать нашу деятельность. Например, общая система оценки уязвимостей (Common Vulnerability Scoring System, CVSS) помогает нам и нашим клиентам четко определить, насколько серьезна та или иная уязвимость. Мы также соблюдаем процессы управления уязвимостями, описанные в стандарте ISO 27001 и установленные Альянсом безопасности облачных вычислений (CSA).
• Мы высоко ценим помощь, которую сторонние исследователи по вопросам безопасности оказывают нашей команде. Если в продукте Atlassian имеется уязвимость, найти и устранить ее как можно скорее — это общий интерес для нас и наших клиентов. Компания Atlassian поощряет сторонних исследователей денежными вознаграждениями за обнаружение уязвимостей в своих продуктах в рамках Программы вознаграждения за найденные ошибки. Благодаря участию сторонних исследователей по вопросам безопасности арсенал нашей команды пополняют новые и оригинальные подходы.
• Мы поддерживаем открытую и прозрачную программу тестирования безопасности. В рамках нашей программы вознаграждения за найденные ошибки мы собираем статистику по обнаруженным багам, открыто показываем, с какой скоростью мы пытаемся устранить баги системы безопасности, и, когда это возможно, публикуем сводные отчеты по тестированию внизу этой страницы.
  

Непрерывный контроль безопасности

Тестирование на проникновение

В случаях, когда имеет место высокий риск, мы проводим тестирование продуктов и инфраструктуры на проникновение с привлечением компаний, специализирующихся на услугах консалтинга в сфере безопасности. К таким случаям относится настройка новой инфраструктуры (например, нашей облачной среды), внедрение нового продукта (например, Trello) или комплексное преобразование архитектуры (например, широкое внедрение микросервисов).

В таких случаях наш подход к тестированию на проникновение является узконаправленным и специализированным. Как правило, такие тесты соответствуют следующим критериям.

• «Белый ящик»: тестировщикам предоставляется поддержка в виде проектной документации и инструктажа от инженеров по продукту.
• Доступ к коду: тестировщики получают полный доступ к соответствующей кодовой базе, чтобы упростить диагностику любого непредвиденного поведения системы и определение потенциальных целей во время тестирования.
• Ориентированность на угрозы: тестирование сосредоточено на конкретном сценарии угрозы. Например, предполагается, что существует скомпрометированный экземпляр, и тестирование начинается с этой точки.

Мы публикуем письма об оценке (LoA) от наших партнеров по тестированию на проникновение. С ними можно ознакомиться внизу этой страницы. Из-за того, что при проведении этих оценок тестировщикам доступны подробные конфиденциальные сведения, мы не приводим отчеты целиком. Чтобы обеспечить для наших клиентов необходимый им внешний контроль качества в непрерывном режиме, большинство описываемых систем и продуктов будут впоследствии включены в нашу общедоступную программу вознаграждения за найденные ошибки. Любые полученные в процессе тестирования результаты оцениваются, и к ним применяются меры в соответствии с нашим соглашением SLO по устранению уязвимостей в защите для неограниченного круга лиц (Public Security Vulnerability SLO).

Вознаграждение за найденные ошибки (Bug Bounty)

Наша программа вознаграждения за найденные ошибки (Bug Bounty) работает на платформе Bugcrowd. Цель этой программы — обеспечить постоянное тестирование наших продуктов на предмет уязвимостей безопасности. Чтобы разработать эту важнейшую составляющую нашей программы внешнего тестирования безопасности, мы приложили значительные усилия для исследования, анализа и сравнения моделей тестирования.

Мы верим, что сообщество независимых исследователей безопасности, принимающих участие в программе Bug Bounty, обеспечивает наиболее эффективный процесс внешнего тестирования безопасности.

1. Программа Bug Bounty действует постоянно. Тестирование на проникновение, как правило, занимает несколько недель. В среде разработки с частыми релизами и использованием принципов agile нельзя обойтись без непрерывного тестирования.
2. В программе Bug Bounty потенциально могут участвовать более 60 000 тестировщиков. В тестах на проникновение обычно участвуют 1–2 человека. Как бы ни были хороши эти 1–2 специалиста, им не по силам то, что может сделать целая команда участников программы Bug Bounty.
3. Исследователи, участники программы Bug Bounty, разрабатывают специальные инструменты и процессы по вертикали (для отдельных видов багов) и по горизонтали (для отдельных видов вознаграждения). Такая конкретизация повышает вероятность обнаружения скрытых, но значимых уязвимостей.

Мы продолжаем использовать тестирование на проникновение и привлекать к работе консультантов, специализирующихся на вопросах безопасности, для целей внутренней поддержки, но для нашей внешней программы с ее широким охватом подход с вознаграждением (Bug Bounty) подходит больше. Мы считаем, что сочетание этих подходов повышает шансы на обнаружение уязвимостей.

Наша программа Bug Bounty охватывает более 25 продуктов и сред компании, в том числе серверные продукты, мобильные приложения и продукты Atlassian Cloud. Подробная информация о количестве обнаруженных уязвимостей, среднем времени реагирования и среднем размере вознаграждения размещена на сайте Bugcrowd. В нашей программе насчитывается более 800 зарегистрированных участников.

Посредством программы Bug Bounty мы стремимся выявить уязвимости, которые обычно включаются в списки угроз безопасности, составляемые сообществом Open Web Application Security Project (OWASP) и консорциумом Web Application Security Consortium (WASC), в том числе:

• получение доступа к данным экземпляра/утечка данных;
• удаленное выполнение кода (RCE);
• подделка запросов со стороны сервера (SSRF);
• межсайтовый скриптинг (XSS);
• межсайтовая подделка запросов (CSRF);
• внедрение SQL-кода (SQLi);
• внедрение внешних сущностей XML (XXE-атака);
• уязвимости, связанные с контролем доступа (в том числе небезопасные прямые ссылки на объекты);
• обход каталогов.

Мы стремимся к открытости и прозрачности, поэтому приглашаем всех на страницу нашей программы вознаграждения за найденные ошибки (Bug Bounty). Регистрируйтесь в программе и тестируйте нас.

Приложения Marketplace. Приложения Marketplace исключены из основной программы вознаграждения за найденные ошибки от Atlassian. Тем не менее они участвуют в других программах Atlassian, таких как Программа раскрытия уязвимостей и Программа вознаграждения за найденные ошибки в приложениях, разработанных компанией Atlassian.

Тестирование по инициативе клиентов. В соответствии с нашими Условиями использования облачных продуктов клиенты могут инициировать тестирование. Мы стремимся быть открытыми и продолжим регулярно публиковать статистику нашей программы вознаграждения за найденные ошибки.

Хотя мы считаем свои программы вознаграждения за найденные ошибки наиболее эффективным и экономичным способом оценки безопасности собственных продуктов и сервисов, мы понимаем ваше желание протестировать защиту самостоятельно. Мы разрешаем клиентам проводить оценку безопасности (тесты на проникновение, оценку уязвимостей), но просим придерживаться ряда правил, чтобы не создавать дополнительных рисков.

Информирование об уязвимости

Если вам удастся найти проблему, о которой вы захотите сообщить Atlassian, следуйте инструкциям по отправке сообщений об уязвимостях.

Одна из ценностей компании Atlassian звучит как «открытая компания, никакой ерунды» и проявляется в том числе в раскрытии уязвимостей. Мы стремимся исправлять уязвимости в защите в рамках соответствующих целей по уровню обслуживания (SLO). Запросы на раскрытие информации, присылаемые в рамках наших программ вознаграждения за найденные ошибки, принимаются после того, как исправление проблемы будет разработано и выпущено в рабочую среду. Однако если в отчете содержатся данные клиентов, такой запрос будет отклонен. Если вы собираетесь раскрыть информацию вне наших программ вознаграждения за найденные ошибки, просим своевременно уведомить нас об этом и дождаться окончания соответствующего соглашения SLO.

Исключения из нашей программы тестирования безопасности

Мы стремимся к открытости и прозрачности не только в отношении собственного тестирования, но и в отношении тестов, которыми самостоятельно не занимаемся или которые в настоящее время не проводим. Наша программа тестирования безопасности не распространяется на следующие случаи.

Определенные виды уязвимостей с низким уровнем риска. Наши продукты предназначены для раскрытия потенциала каждой команды, а для этого необходимы условия для совместной работы. Уязвимости, связанные со сбором и учетом информации, по общему мнению, не сопряжены со значительным риском.

Использование правильных критериев оценки

В рамках нашей политики исправления ошибок, связанных с безопасностью, для каждой цели по уровню обслуживания (SLO) задаются временные рамки с учетом продукта и степени серьезности, поэтому конкретную уязвимость устраняют в течение заданного времени. При анализе используется общая система оценки уязвимостей, которая помогает донести степень серьезности до наших клиентов.

Кроме того, мы стремимся повысить издержки, связанные с поиском и компрометацией уязвимостей в наших продуктах. Для количественной оценки этих издержек используются наши программы вознаграждения за найденные ошибки. Мы ожидаем, что количество багов, обнаруженных посредством наших программ вознаграждения за найденные ошибки, снизится благодаря улучшению защиты. После этого нам потребуется увеличить размер вознаграждения за такие баги, чтобы пользователи и дальше сообщали нам о них. Так, если для обнаружения уязвимости за 3000 $ требуется приложить неоправданные усилия (которые окажутся дороже этой суммы), значит, затраты на обнаружение этой уязвимости возросли.

Иными словами, стоит ожидать, что со временем размер вознаграждения за обнаруженные уязвимости будет увеличиваться.

Резюме

Компания Atlassian поддерживает развитую, открытую и прозрачную программу внешнего тестирования безопасности, в основе которой лежит поиск ошибок за вознаграждение.

Хотите узнать больше?

В этой краткой статье упоминается несколько других документов и ресурсов. Чтобы лучше понять наш подход к тестированию безопасности, рекомендуем изучить и их.

• Центр безопасности Atlassian
• Принципы безопасности Atlassian
• Запись о компании Atlassian в реестре CSA STAR
• Политика Atlassian по устранению багов безопасности
• Страница Atlassian с отчетами об уязвимостях
• Обязанности при возникновении инцидента безопасности в Atlassian
• Домашняя страница программы Bug Bounty компании Atlassian
• Программа вознаграждения за найденные ошибки от Atlassian
  • Программа вознаграждения за найденные ошибки в приложениях Marketplace, разработанных компанией Atlassian
  • Программа вознаграждения за найденные ошибки в приложениях Marketplace, разработанных сторонними поставщиками
  • Программа вознаграждения за найденные ошибки для Opsgenie
  • Программа вознаграждения за найденные ошибки для Statuspage
  • Программа вознаграждения за найденные ошибки для Trello
  • Программа вознаграждения за найденные ошибки для Halp
  • Программа вознаграждения за найденные ошибки для остальных продуктов Atlassian (Jira, Confluence, Bitbucket и т. д.)

Загрузить актуальные отчеты о программе Bug Bounty

Все уязвимости в защите, описанные в приведенных ниже отчетах, отслеживаются нашей внутренней системой Jira по мере их регистрации в программе вознаграждения за найденные ошибки. Все найденные таким образом проблемы сортируются по приоритету и устраняются в соответствии с нашим соглашением SLO по устранению уязвимостей в защите для неограниченного круга лиц.

• Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Atlassian (январь 2023 г.)
• Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Halp (январь 2023 г.)
• Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Jira Align (январь 2023 г.)
• Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Opsgenie (январь 2023 г.)
• Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Statuspage (январь 2023 г.)
• Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Trello (январь 2023 г.)

Загрузить письма об оценке (LoA)

Все уязвимости в защите, описанные в приведенных ниже отчетах, отслеживаются нашей внутренней системой Jira по мере их выявления процессом подготовки отчета о тестировании на проникновение. Все найденные таким образом проблемы сортируются по приоритету и устраняются в соответствии с нашим соглашением SLO по устранению уязвимостей в защите для неограниченного круга лиц.

• Письмо об оценке Jira Align (апрель 2022 г.)
• Письмо об оценке для Bitbucket Pipelines (май 2022 г.)
• Письмо об оценке Trello (август 2022 г.)
• Письмо об оценке для Bitbucket Server и DC (сентябрь 2022 г.)
• Письмо об оценке Confluence Cloud (октябрь 2022 г.)
• Письмо об оценке Jira Service Management Data Center (октябрь 2022 г.)
• Письмо об оценке OAuth для Google в Jira Cloud (октябрь 2022 г.)
• Письмо об оценке библиотеки Atlassian Log4j для Confluence и Jira (декабрь 2022 г.)
• Письмо об оценке Confluence Server (декабрь 2022 г.)
• Письмо об оценке Jira Work Management Cloud (декабрь 2022 г.)
• Письмо об оценке Bitbucket Cloud (декабрь 2022 г.)
• Письмо об оценке Statuspage Cloud (декабрь 2022 г.)
• Письмо об оценке Jira Software (Cloud) (февраль 2023 г.)
• Письмо об оценке Bamboo (февраль 2023 г.)