ACSC - Revisão de orientação sobre o Modelo de maturidade Essential 8 - 2023

Isenção de responsabilidade

Estas orientações destinadas aos clientes de nuvem do setor público e empresas consideradas como entidades regulamentadas pelo Australian Cyber Security Center (ACSC) se referem apenas aos produtos Atlassian Cloud e aos serviços oferecidos por eles.

Este relatório inclui somente informações e orientações fornecidas pela Atlassian e destinadas aos clientes de nuvem sobre como nos alinhamos ao documento Cloud Computing Security for Cloud Service Providers. Da mesma maneira, temos um whitepaper especial sobre responsabilidade compartilhada que discute as diferentes responsabilidades atribuídas a CSPs (provedores de serviços de nuvem) e clientes. O modelo de responsabilidade compartilhada não elimina as obrigações e o risco dos clientes que usam os produtos Atlassian Cloud. Na verdade, ele ajuda a aliviar o trabalho à medida que gerenciamos e controlamos os componentes do sistema e o controle físico das instalações. O modelo também atribui à Atlassian uma parte do custo de segurança e conformidade normalmente paga pelos clientes.

Para saber mais sobre o compromisso de proteger os dados do cliente, visite a página de Práticas de segurança.

Estratégia de mitigação	Nível de maturidade um	Nível de maturidade dois	Nível de maturidade três	Resposta da Atlassian
Controle de aplicativos	Nível de maturidade um A execução de executáveis, bibliotecas de software, scripts, instaladores, HTML compilados, aplicativos HTML e miniaplicativos do painel de controle é impedida em estações de trabalho a partir de perfis de usuário padrão e pastas temporárias usadas pelo sistema operacional, navegadores da Web e clientes de e-mail.	Nível de maturidade dois O controle de aplicativos é implementado em estações de trabalho e servidores voltados para a Internet. O controle de aplicativos restringe a execução de executáveis, bibliotecas de software, scripts, instaladores, HTML compilados, aplicativos HTML e miniaplicativos do painel de controle a um conjunto aprovado pela empresa. Eventos de execução permitidos e bloqueados em estações de trabalho e servidores voltados para a Internet são registrados.	Nível de maturidade três O controle de aplicativos é implementado em estações de trabalho e servidores. O controle de aplicativos restringe a execução de executáveis, bibliotecas de software, scripts, instaladores, HTML compilados, aplicativos HTML e miniaplicativos e drivers do painel de controle a um conjunto aprovado pela empresa. As “regras de bloqueio recomendadas” da Microsoft estão implementadas. As “regras recomendadas de bloqueio de drivers” da Microsoft estão implementadas. Os conjuntos de regras de controle de aplicativos são validados a cada ano ou com mais frequência. Os eventos de execução permitidos e bloqueados em estações de trabalho e servidores são registrados no centro. Os registros de eventos são protegidos contra modificações e exclusões não autorizadas. Os registros de eventos são monitorados em busca de sinais de comprometimento e acionados quando qualquer sinal de comprometimento é detectado.	Resposta da Atlassian O uso de programas utilitários no ambiente de produção é restrito e controlado. Todos os servidores são configurados usando o sistema centralizado de configuração de Puppet no ambiente operacional padrão, incluindo a remoção de pacotes selecionados da imagem padrão e atualizações críticas de pacotes. Todas as funções de servidor têm um padrão de negação total para solicitações de rede recebidas, com portas selecionadas abertas apenas para outras funções de servidor que exigem acesso a essa porta para funcionar. A rede corporativa da Atlassian é separada da rede de produção, e as imagens de máquina são reforçadas para permitir apenas as portas e os protocolos necessários. No momento, todos os sistemas de produção estão hospedados em locais do provedor de nuvem nos EUA. Todos os dados em trânsito fora das redes de nuvem privada virtual (VPC) reforçadas são criptografados em canais padrão do setor. Além disso, um sistema IDS está instalado em todos os servidores de produção, o que inclui monitoramento e alerta em tempo real sobre quaisquer alterações nos arquivos ou configurações do sistema de produção e eventos de segurança anômalos.
Correção de aplicativos	Nível de maturidade um Um método automatizado de descoberta de recursos é usado pelo menos uma vez a cada 15 dias para apoiar a detecção de recursos para atividades subsequentes de verificação de vulnerabilidades. Um scanner de vulnerabilidades com um banco de dados de vulnerabilidades atualizado é usado para atividades de verificação de vulnerabilidades. Um scanner de vulnerabilidades é usado pelo menos todo dia para identificar correções ou atualizações ausentes para vulnerabilidades em serviços voltados para a Internet. Um scanner de vulnerabilidades é usado pelo menos uma vez a cada 15 dias para identificar patches ou atualizações ausentes para vulnerabilidades em pacotes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF e produtos de segurança. Patches, atualizações ou outras mitigações de fornecedores para vulnerabilidades em serviços voltados para a Internet são aplicadas dentro de duas semanas após o lançamento ou em até 48 horas, se houver uma exploração. Patches, atualizações ou outras mitigações de vulnerabilidades de fornecedores em pacotes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF e produtos de segurança são aplicados dentro de um mês após o lançamento. Serviços voltados para a Internet, suítes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF, Adobe Flash Player e produtos de segurança que não são mais compatíveis com os fornecedores são removidos.	Nível de maturidade dois Um método automatizado de descoberta de recursos é usado pelo menos uma vez a cada 15 dias para apoiar a detecção de recursos para atividades subsequentes de verificação de vulnerabilidades. Um scanner de vulnerabilidades com um banco de dados de vulnerabilidades atualizado é usado para atividades de verificação de vulnerabilidades. Um scanner de vulnerabilidades é usado pelo menos todo dia para identificar correções ou atualizações ausentes para vulnerabilidades em serviços voltados para a Internet. Um scanner de vulnerabilidades é usado pelo menos toda semana para identificar patches ou atualizações ausentes para vulnerabilidades em pacotes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF e produtos de segurança. Um scanner de vulnerabilidades é usado pelo menos uma vez a cada 15 dias para identificar correções ou atualizações ausentes para vulnerabilidades em outros aplicativos. Patches, atualizações ou outras mitigações de fornecedores para vulnerabilidades em serviços voltados para a Internet são aplicadas dentro de duas semanas após o lançamento ou em até 48 horas, se houver uma exploração. Patches, atualizações ou outras mitigações de vulnerabilidades de fornecedores em pacotes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF e produtos de segurança são aplicados dentro de duas semanas após o lançamento. Patches, atualizações ou outras mitigações de vulnerabilidades de fornecedores em outros aplicativos são aplicadas dentro de um mês após o lançamento. Serviços voltados para a Internet, suítes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF, Adobe Flash Player e produtos de segurança que não são mais compatíveis com os fornecedores são removidos.	Nível de maturidade três Um método automatizado de descoberta de recursos é usado pelo menos uma vez a cada 15 dias para apoiar a detecção de recursos para atividades subsequentes de verificação de vulnerabilidades. Um scanner de vulnerabilidades com um banco de dados de vulnerabilidades atualizado é usado para atividades de verificação de vulnerabilidades. Um scanner de vulnerabilidades é usado pelo menos todo dia para identificar correções ou atualizações ausentes para vulnerabilidades em serviços voltados para a Internet. Um scanner de vulnerabilidades é usado pelo menos toda semana para identificar patches ou atualizações ausentes para vulnerabilidades em pacotes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF e produtos de segurança. Um scanner de vulnerabilidades é usado pelo menos uma vez a cada 15 dias para identificar correções ou atualizações ausentes para vulnerabilidades em outros aplicativos. Patches, atualizações ou outras mitigações de fornecedores para vulnerabilidades em serviços voltados para a Internet são aplicadas dentro de duas semanas após o lançamento ou em até 48 horas, se houver uma exploração. Patches, atualizações ou outras mitigações de vulnerabilidades de fornecedores em pacotes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF e produtos de segurança são aplicados dentro de duas semanas após o lançamento ou 48 horas se houver uma exploração. Patches, atualizações ou outras mitigações de vulnerabilidades de fornecedores em outros aplicativos são aplicadas dentro de um mês após o lançamento. Os sistemas operacionais que não têm mais suporte dos fornecedores são removidos.	Resposta da Atlassian Para todas as ofertas de produtos e serviços, a gente tem um extenso processo de correção de bugs (utilizando o Jira, que captura itens e ajuda a gerenciar a resolução de solicitações). Por trás disso, há várias políticas de atualização de segurança, serviços de consultoria e SLOs que a gente segue. A Atlassian recebe relatórios de bugs por meio do Canal de suporte, do Programa de Recompensas por Bugs e pelo e-mail security@atlassian.com. Há mais informações disponíveis no Trust Center sobre os SLOs de atualização de segurança. Mais informações sobre a abordagem de testes de segurança também estão no Trust Center em: Abordagem dos testes de segurança externos A equipe de segurança da Atlassian usa diversos métodos para detectar vulnerabilidades em infraestruturas internas e externas. Os tickets do Jira são criados para fins de rastreamento e correção, e as datas de entrega são atribuídas de acordo com o SLO com base na gravidade e na origem da vulnerabilidade. Há um processo contínuo para emitir tickets sobre vulnerabilidades identificadas para proprietários de sistemas, e a equipe de gerenciamento de segurança analisa todas as vulnerabilidades relatadas para garantir que sejam tomadas medidas contra elas.
Definir as configurações de macro do Microsoft Office	Nível de maturidade um As macros do Microsoft Office estão desativadas para usuários que não têm um requisito comercial comprovado. As macros do Microsoft Office em arquivos provenientes da Internet estão bloqueadas. A verificação antivírus de macros do Microsoft Office está ativada. As configurações de segurança de macro do Microsoft Office não podem ser alteradas pelos usuários.	Nível de maturidade dois As macros do Microsoft Office estão desativadas para usuários que não têm um requisito comercial comprovado. As macros do Microsoft Office em arquivos provenientes da Internet estão bloqueadas. A verificação antivírus de macros do Microsoft Office está ativada. As macros do Microsoft Office estão impedidas de fazer chamadas de API do Win32. As configurações de segurança de macro do Microsoft Office não podem ser alteradas pelos usuários. Os eventos de execução de macros permitidas e bloqueadas do Microsoft Office são registrados.	Nível de maturidade três As macros do Microsoft Office estão desativadas para usuários que não têm um requisito comercial comprovado. Apenas macros do Microsoft Office executadas em um ambiente em repositório, em um Local Confiável ou com assinatura digital por um editor confiável podem ser executadas. Apenas usuários privilegiados responsáveis por validar que as macros do Microsoft Office estão livres de código malicioso podem gravar e modificar conteúdo em Locais Confiáveis. As macros do Microsoft Office com assinatura digital por um editor não confiável não podem ser ativadas por meio da Barra de Mensagens ou do modo de exibição Backstage. A lista de editores confiáveis do Microsoft Office é validada a cada ano ou com mais frequência. As macros do Microsoft Office em arquivos provenientes da Internet estão bloqueadas. A verificação antivírus de macros do Microsoft Office está ativada. As macros do Microsoft Office estão impedidas de fazer chamadas de API do Win32. As configurações de segurança de macro do Microsoft Office não podem ser alteradas pelos usuários. Os eventos de execução de macros permitidas e bloqueadas do Microsoft Office são registrados no centro. Os registros de eventos são protegidos contra modificações e exclusões não autorizadas. Os registros de eventos são monitorados em busca de sinais de comprometimento e acionados quando qualquer sinal de comprometimento é detectado.	Resposta da Atlassian A Atlassian trabalha com subcontratados terceirizados para oferecer sites, desenvolvimento de aplicativos, hospedagem, manutenção, backup, armazenamento, infraestrutura virtual, processamento de pagamentos, análise e outros serviços. Esses provedores de serviços podem ter acesso ou processar PII com a finalidade de oferecer esses serviços para a gente. A Atlassian informa, por meio de notificação aos clientes relevantes, o uso de subcontratados que possam processar as próprias PII antes que o processamento ocorra. Uma lista externa de subcontratados com os quais a Atlassian trabalha é encontrada na página de subprocessadores da Atlassian em: lista de subprocessadores de dados. Nesta página, os visitantes são convidados a assinar um feed RSS para serem notificados quando a gente adicionar novos subprocessadores Atlassian. A gente implementou uma solução centralizada de gestão de sistema (Gestão de dispositivos móveis) para a frota de notebooks Mac. A gente implementou uma solução de gestão de dispositivos móveis para os terminais e smartphones Windows (VMware Workplace ONE).
Reforço do aplicativo do usuário	Nível de maturidade um Os navegadores da web não processam Java da internet. Os navegadores da web não processam anúncios da internet. O Internet Explorer 11 não processa conteúdo da internet. As configurações de segurança do navegador da web não podem ser alteradas pelos usuários.	Nível de maturidade dois Os navegadores da web não processam Java da internet. Os navegadores da web não processam anúncios da internet. O Internet Explorer 11 não processa conteúdo da internet. A orientação de reforço do fornecedor ou do ACSC para navegadores da web é implementada. As configurações de segurança do navegador da web não podem ser alteradas pelos usuários. O Microsoft Office é impedido de criar processos secundários. O Microsoft Office é impedido de criar conteúdo executável. O Microsoft Office é impedido de injetar código em outros processos. O Microsoft Office é configurado para impedir a ativação de pacotes de OLE. A orientação de reforço do fornecedor ou do ACSC para o Microsoft Office é implementada. As configurações de segurança do Microsoft Office não podem ser alteradas pelos usuários. O software de PDF fica impedido de criar processos secundários. A orientação de reforço do fornecedor ou do ACSC para software de PDF é implementada. As configurações de segurança do software de PDF não podem ser alteradas pelos usuários. Os eventos de execução de scripts bloqueados do PowerShell são registrados.	Nível de maturidade três Os navegadores da web não processam Java da internet. Os navegadores da web não processam anúncios da internet. O Internet Explorer 11 é desabilitado ou removido. A orientação de reforço do fornecedor ou do ACSC para navegadores da web é implementada. As configurações de segurança do navegador da web não podem ser alteradas pelos usuários. O Microsoft Office é impedido de criar processos secundários. O Microsoft Office é impedido de criar conteúdo executável. O Microsoft Office é impedido de injetar código em outros processos. O Microsoft Office é configurado para impedir a ativação de pacotes de OLE. A orientação de reforço do fornecedor ou do ACSC para o Microsoft Office é implementada. As configurações de segurança do Microsoft Office não podem ser alteradas pelos usuários. O software de PDF fica impedido de criar processos secundários. A orientação de reforço do fornecedor ou do ACSC para software de PDF é implementada. As configurações de segurança do software de PDF não podem ser alteradas pelos usuários. .NET Framework 3.5 (inclui .NET 2.0 e 3.0) é desabilitado ou removido. O Windows PowerShell 2.0 é desabilitado ou removido. O PowerShell é configurado para usar o modo de linguagem restrita. Os eventos de execução de scripts bloqueados do PowerShell são registrados de maneira centralizada. Os registros de eventos são protegidos contra modificações e exclusões não autorizadas. Os registros de eventos são monitorados em busca de sinais de comprometimento e acionados quando qualquer sinal de comprometimento é detectado.	Resposta da Atlassian Os builds de imagens do sistema operacional base do AWS Linux AMI têm portas, protocolos e serviços limitados. Comparamos os builds com a versão atual da AMI para garantir as configurações apropriadas. As imagens do Docker são gerenciadas em um ambiente de alterações extremamente controlado para garantir a revisão e a aprovação apropriadas de todas as alterações. Nossos endpoints são reforçados para proteger os usuários, mas não limitamos o acesso às portas de hardware. Usamos um produto de proxy HTTP de terceiros para nossa vantagem pública do Jira/Confluence e implementamos regras de segurança HTTP L7 nele (ele pode ser chamado de WAF, já que a funcionalidade é essencialmente a mesma).
Restrição de privilégios administrativos	Nível de maturidade um As solicitações de acesso privilegiado a sistemas e aplicativos são validadas quando solicitadas pela primeira vez. Contas privilegiadas (exceto contas de serviços privilegiados) são impedidas de acessar a internet, o e-mail e os serviços da web. Usuários privilegiados usam ambientes operacionais separados com e sem privilégios. Contas sem privilégios não podem fazer login em ambientes operacionais privilegiados. Contas privilegiadas (exceto contas de administradores locais) não podem fazer login em ambientes operacionais sem privilégios.	Nível de maturidade dois As solicitações de acesso privilegiado a sistemas e aplicativos são validadas quando solicitadas pela primeira vez. O acesso privilegiado a sistemas e aplicativos é automaticamente desativado após 12 meses, a menos que seja revalidado. O acesso privilegiado a sistemas e aplicativos é automaticamente desabilitado após 45 dias de inatividade. Contas privilegiadas (exceto contas de serviços privilegiados) são impedidas de acessar a internet, o e-mail e os serviços da web. Usuários privilegiados usam ambientes operacionais separados com e sem privilégios. Ambientes operacionais privilegiados não são virtualizados em ambientes sem privilégios. Contas sem privilégios não podem fazer login em ambientes operacionais privilegiados. Contas privilegiadas (exceto contas de administradores locais) não podem fazer login em ambientes operacionais sem privilégios. As atividades administrativas são conduzidas por meio de servidores intermediários. As credenciais para contas de administradores locais e de serviço são longas, exclusivas, imprevisíveis e gerenciadas. Os eventos de acesso privilegiado são registrados. Eventos de gerenciamento de grupos e contas privilegiados são registrados.	Nível de maturidade três As solicitações de acesso privilegiado a sistemas e aplicativos são validadas quando solicitadas pela primeira vez. O acesso privilegiado a sistemas e aplicativos é automaticamente desativado após 12 meses, a menos que seja revalidado. O acesso privilegiado a sistemas e aplicativos é automaticamente desabilitado após 45 dias de inatividade. O acesso privilegiado a sistemas e aplicativos é limitado apenas ao que é necessário para que usuários e serviços realizem as tarefas. Contas privilegiadas são impedidas de acessar a internet, o e-mail e os serviços da web. Usuários privilegiados usam ambientes operacionais separados com e sem privilégios. Ambientes operacionais privilegiados não são virtualizados em ambientes sem privilégios. Contas sem privilégios não podem fazer login em ambientes operacionais privilegiados. Contas privilegiadas (exceto contas de administradores locais) não podem fazer login em ambientes operacionais sem privilégios. A administração just-in-time é usada para administrar sistemas e aplicativos. As atividades administrativas são conduzidas por meio de servidores intermediários. As credenciais para contas de administradores locais e de serviço são longas, exclusivas, imprevisíveis e gerenciadas. O Windows Defender Credential Guard e o Windows Defender Remote Credential Guard são habilitados. Os eventos de acesso privilegiado são registrados de maneira centralizada. Eventos de gerenciamento de grupos e contas privilegiadas são registrados de maneira centralizada. Os registros de eventos são protegidos contra modificações e exclusões não autorizadas. Os registros de eventos são monitorados em busca de sinais de comprometimento e acionados quando qualquer sinal de comprometimento é detectado.	Resposta da Atlassian A Atlassian mantém restrições apenas ao pessoal que precisa desse acesso para as devidas funções e responsabilidades. Todos os sistemas de nível 1 são gerenciados por meio da solução centralizada de login único (SSO) e de diretório da Atlassian. Os usuários recebem direitos de acesso apropriados com base nesses perfis, orientados por meio do fluxo de trabalho do sistema de gerenciamento de RH. A Atlassian utiliza a autenticação multifator (MFA) para acessar todos os sistemas de nível 1. Nós habilitamos a autenticação de dois fatores no console de gerenciamento do hipervisor e na API da AWS, além de um relatório diário de auditoria sobre todo o acesso às funções de gerenciamento do hipervisor. As listas de acesso ao console de gerenciamento de hipervisores e à API da AWS são revisadas a cada trimestre. Também mantemos uma sincronização de 8 horas entre o sistema de RH e o armazenamento de identidades. Nós mantemos um ciclo de revisão duas vezes ao ano para serviços essenciais em nosso processo de revisão de privilégios. A validação do acesso do usuário ocorre regularmente com os proprietários de sistemas para contas de usuários corporativas internas.
Correções de sistemas operacionais	Nível de maturidade um Um método automatizado de descoberta de recursos é usado pelo menos uma vez a cada 15 dias para apoiar a detecção de recursos para atividades subsequentes de verificação de vulnerabilidades. Um scanner de vulnerabilidades com um banco de dados de vulnerabilidades atualizado é usado para atividades de verificação de vulnerabilidades. Um scanner de vulnerabilidades é usado pelo menos diariamente para identificar faltas de correções ou atualizações para vulnerabilidades em sistemas operacionais de serviços voltados para a internet. Um scanner de vulnerabilidades é usado pelo menos quinzenalmente para identificar faltas de correções ou atualizações para vulnerabilidades em sistemas operacionais de estações de trabalho, servidores e dispositivos de rede. Correções, atualizações ou outras mitigações de fornecedores para vulnerabilidades em sistemas operacionais de serviços voltados para a internet são aplicadas dentro de duas semanas após o lançamento ou em até 48 horas, se houver uma exploração. Correções, atualizações ou outras mitigações de fornecedores para vulnerabilidades em sistemas operacionais de estações de trabalho, servidores e dispositivos de rede são aplicadas dentro de um mês após o lançamento. Os sistemas operacionais que não recebem mais suporte dos fornecedores são substituídos.	Nível de maturidade dois Um método automatizado de descoberta de recursos é usado pelo menos uma vez a cada 15 dias para apoiar a detecção de recursos para atividades subsequentes de verificação de vulnerabilidades. Um scanner de vulnerabilidades com um banco de dados de vulnerabilidades atualizado é usado para atividades de verificação de vulnerabilidades. Um scanner de vulnerabilidades é usado pelo menos diariamente para identificar faltas de correções ou atualizações para vulnerabilidades em sistemas operacionais de serviços voltados para a internet. Um scanner de vulnerabilidades é usado pelo menos semanalmente para identificar faltas de correções ou atualizações para vulnerabilidades em sistemas operacionais de estações de trabalho, servidores e dispositivos de rede. Correções, atualizações ou outras mitigações de fornecedores para vulnerabilidades em sistemas operacionais de serviços voltados para a internet são aplicadas dentro de duas semanas após o lançamento ou em até 48 horas, se houver uma exploração. Correções, atualizações ou outras mitigações de fornecedores para vulnerabilidades em sistemas operacionais de estações de trabalho, servidores e dispositivos de rede são aplicadas dentro de duas semanas após o lançamento. Os sistemas operacionais que não recebem mais suporte dos fornecedores são substituídos.	Nível de maturidade três Um método automatizado de descoberta de recursos é usado pelo menos uma vez a cada 15 dias para apoiar a detecção de recursos para atividades subsequentes de verificação de vulnerabilidades. Um scanner de vulnerabilidades com um banco de dados de vulnerabilidades atualizado é usado para atividades de verificação de vulnerabilidades. Um scanner de vulnerabilidades é usado pelo menos diariamente para identificar faltas de correções ou atualizações para vulnerabilidades em sistemas operacionais de serviços voltados para a internet. Um scanner de vulnerabilidades é usado pelo menos semanalmente para identificar faltas de correções ou atualizações para vulnerabilidades em sistemas operacionais de estações de trabalho, servidores e dispositivos de rede. Correções, atualizações ou outras mitigações de fornecedores para vulnerabilidades em sistemas operacionais de serviços voltados para a internet são aplicadas dentro de duas semanas após o lançamento ou em até 48 horas, se houver uma exploração. Correções, atualizações ou outras mitigações de fornecedores para vulnerabilidades em sistemas operacionais de estações de trabalho, servidores e dispositivos de rede são aplicadas dentro de duas semanas após o lançamento ou em até 48 horas, se houver uma exploração. A versão mais recente, ou a versão anterior, dos sistemas operacionais é usada. Os sistemas operacionais que não recebem mais suporte dos fornecedores são substituídos.	Resposta da Atlassian Para todas as ofertas de produtos e serviços, temos um extenso processo de correção de bugs (utilizando nosso próprio produto Jira, que captura itens e nos ajuda a gerenciar a resolução de solicitações). Por trás disso, estão várias políticas de correção de bugs de segurança, serviços de consultoria e SLOs a que aderimos. Recebemos relatórios de bugs por meio do canal de suporte, programa de recompensas por bugs e security@atlassian.com. Mais informações estão disponíveis em nosso Centro de Confiabilidade sobre nossos SLOs de correção de bugs de segurança. Mais informações sobre a abordagem de testes de segurança também estão no Centro de Confiabilidade em: Abordagem dos testes de segurança externos A equipe de segurança da Atlassian usa diversos métodos para detectar vulnerabilidades em infraestruturas internas e externas. Os tickets do Jira são criados para fins de rastreamento e correção, e as datas de vencimento são atribuídas de acordo com o SLO com base na gravidade e na origem da vulnerabilidade. Há um processo contínuo para emitir tickets de vulnerabilidades identificadas para proprietários de sistemas, e a equipe de gerenciamento de segurança analisa todas as vulnerabilidades relatadas e garante que medidas sejam tomadas contra elas.
Autenticação multifator	Nível de maturidade um A autenticação multifator é usada pelos usuários quando eles se autenticam nos serviços da organização voltados para a internet. A autenticação multifator é usada pelos usuários quando eles se autenticam nos serviços de terceiros voltados para a internet que processam, armazenam ou comunicam dados confidenciais da organização deles. A autenticação multifator (quando disponível) é usada pelos usuários quando eles precisam se autenticar nos serviços de terceiros voltados para a internet que processam, armazenam ou comunicam dados não confidenciais da organização deles. A autenticação multifator é habilitada por padrão para os usuários não organizacionais (mas eles podem escolher desativar essa opção) quando eles precisam se autenticar nos serviços da organização voltados para a internet.	Nível de maturidade dois A autenticação multifator é usada pelos usuários quando eles se autenticam nos serviços da organização voltados para a internet. A autenticação multifator é usada pelos usuários quando eles precisam se autenticar nos serviços de terceiros voltados para a internet que processam, armazenam ou comunicam dados confidenciais da organização deles. A autenticação multifator (quando disponível) é usada pelos usuários quando eles precisam se autenticar nos serviços de terceiros voltados para a internet que processam, armazenam ou comunicam dados não confidenciais da organização deles. A autenticação multifator é habilitada por padrão para os usuários não organizacionais (mas eles podem escolher desativar essa opção) quando eles precisam se autenticar nos serviços da organização voltados para a internet. A autenticação multifator é usada para autenticar usuários privilegiados de sistemas. A autenticação multifator usa: algo que os usuários têm e algo que eles sabem, ou algo que os usuários têm que é desbloqueado por algo que eles sabem ou são. Eventos de autenticação multifator bem-sucedidos e malsucedidos são registrados.	Nível de maturidade três A autenticação multifator é usada pelos usuários quando eles se autenticam nos serviços da organização voltados para a internet. A autenticação multifator é usada pelos usuários quando eles se autenticam nos serviços de terceiros voltados para a internet que processam, armazenam ou comunicam dados confidenciais da organização deles. A autenticação multifator (quando disponível) é usada pelos usuários quando eles precisam se autenticar nos serviços de terceiros voltados para a internet que processam, armazenam ou comunicam dados não confidenciais da organização deles. A autenticação multifator é habilitada por padrão para os usuários não organizacionais (mas eles podem escolher desativar essa opção) quando eles precisam se autenticar nos serviços da organização voltados para a internet. A autenticação multifator é usada para autenticar usuários privilegiados de sistemas. A autenticação multifator é usada para autenticar usuários de repositórios importantes de dados. A autenticação multifator é à prova de phishing e usa: algo que os usuários têm e algo que eles sabem, ou algo que os usuários têm que é desbloqueado por algo que eles sabem ou são. Eventos de autenticação multifator bem-sucedidos e malsucedidos são registrados de maneira centralizada. Os registros de eventos são protegidos contra modificações e exclusões não autorizadas. Os registros de eventos são monitorados em busca de sinais de comprometimento e acionados quando qualquer sinal de comprometimento é detectado.	Resposta da Atlassian Em relação ao Confluence e Jira, a autenticação multifator está disponível para contas individuais. Para saber mais sobre como ativar a autenticação multifator, consulte: Aplicar verificação em duas etapas A BBC ainda implementa a 2FA em fevereiro de 2022 e, em geral, integra o Atlassian Access e oferece suporte a outras funcionalidades dessa solução. A aplicação da autenticação multifator pode ser feita no nível da organização com o Atlassian Access. Para saber mais, consulte: Aplicar a verificação em duas etapas Em relação a produtos específicos, o Bitbucket oferece suporte ao uso de opções de SSO baseadas na MFA. Para saber mais, consulte: Aplicar a verificação em duas etapas \| Bitbucket Cloud A Halp usa o SSO por meio do OAuth do Slack e MS Teams. O Slack e o MS Teams oferecem várias opções de autenticação multifator. Para saber mais, consulte: Login único de SAML e Azure AD Connect: login único otimizado O Opsgenie oferece suporte ao uso de opções de SSO baseadas na MFA. Para saber mais, consulte: Configurar o SSO para o Opsgenie O Statuspage oferece suporte ao uso de opções de SSO baseadas na MFA. O Trello oferece suporte à autenticação multifator. Para saber mais sobre como habilitar a autenticação multifator, consulte: Como habilitar a autenticação de dois fatores na conta do Trello O Jira Align oferece suporte ao uso de opções de SSO baseadas na MFA.
Backups regulares	Nível de maturidade um Os backups de dados, software e configurações importantes são executados e retidos com uma frequência e um período de retenção baseado nos requisitos de continuidade dos negócios. Os backups de dados, software e configurações importantes são sincronizados para permitir a restauração para um momento em comum. Os backups de dados, software e configurações importantes são mantidos de forma segura e resiliente. A restauração de dados, software e configurações importantes dos backups para um momento em comum é testada como parte dos exercícios de recuperação de desastres. Contas sem privilégios não podem acessar backups que pertencem a outras contas. Contas sem privilégios são impedidas de modificar e excluir backups.	Nível de maturidade dois Os backups de dados, software e configurações importantes são executados e retidos com uma frequência e um período de retenção baseado nos requisitos de continuidade dos negócios. Os backups de dados, software e configurações importantes são sincronizados para permitir a restauração para um momento em comum. Os backups de dados, software e configurações importantes são mantidos de forma segura e resiliente. A restauração de dados, software e configurações importantes dos backups para um momento em comum é testada como parte dos exercícios de recuperação de desastres. Contas sem privilégios não podem acessar backups que pertencem a outras contas. Contas privilegiadas (exceto contas de administradores de backups) não podem acessar backups que pertencem a outras contas. Contas sem privilégios são impedidas de modificar e excluir backups. Contas privilegiadas (exceto contas de administradores de backups) são impedidas de modificar e excluir backups.	Nível de maturidade três Os backups de dados, software e configurações importantes são executados e retidos com uma frequência e um período de retenção baseado nos requisitos de continuidade dos negócios. Os backups de dados, software e configurações importantes são sincronizados para permitir a restauração para um momento em comum. Os backups de dados, software e configurações importantes são mantidos de forma segura e resiliente. A restauração de dados, software e configurações importantes dos backups para um momento em comum é testada como parte dos exercícios de recuperação de desastres. Contas sem privilégios não podem acessar backups que pertencem a outras contas nem às próprias contas delas. Contas privilegiadas (exceto contas de administradores de backups) não podem acessar backups que pertencem a outras contas nem às próprias contas delas. Contas sem privilégios são impedidas de modificar e excluir backups. Contas privilegiadas (incluindo contas de administradores de backups) são impedidas de modificar e excluir backups durante o período de retenção.	Resposta da Atlassian A Atlassian mantém um padrão de Retenção e Destruição de Dados, que designa por quanto tempo a gente precisa manter diferentes tipos de dados. Os dados são classificados de acordo com a Política de Ciclo de Vida de Informações e Segurança de Dados da Atlassian, e os controles são implementados com base nisso. Para dados de clientes, após a rescisão do contrato com a Atlassian, os dados pertencentes à equipe do cliente vão ser removidos do banco de dados de produção ativo e todos os anexos de arquivos enviados para a Atlassian vão ser removidos em 14 dias. Os dados da equipe vão permanecer em backups criptografados até ultrapassarem a janela de retenção de backup de 60 dias e serem destruídos conforme a política de retenção de dados da Atlassian. Caso uma restauração do banco de dados seja necessária no prazo de 60 dias após a solicitação de exclusão de dados, a equipe de operações vai excluir de novo os dados assim que for possível após a restauração completa do sistema de produção ativo. Para mais informações, consulte: Rastrear o armazenamento e mover dados entre produtos

Controle de aplicativos

Nível de maturidade um

A execução de executáveis, bibliotecas de software, scripts, instaladores, HTML compilados, aplicativos HTML e miniaplicativos do painel de controle é impedida em estações de trabalho a partir de perfis de usuário padrão e pastas temporárias usadas pelo sistema operacional, navegadores da Web e clientes de e-mail.

Nível de maturidade dois

O controle de aplicativos é implementado em estações de trabalho e servidores voltados para a Internet.
O controle de aplicativos restringe a execução de executáveis, bibliotecas de software, scripts, instaladores, HTML compilados, aplicativos HTML e miniaplicativos do painel de controle a um conjunto aprovado pela empresa.
Eventos de execução permitidos e bloqueados em estações de trabalho e servidores voltados para a Internet são registrados.

Nível de maturidade três

O controle de aplicativos é implementado em estações de trabalho e servidores.
O controle de aplicativos restringe a execução de executáveis, bibliotecas de software, scripts, instaladores, HTML compilados, aplicativos HTML e miniaplicativos e drivers do painel de controle a um conjunto aprovado pela empresa.
As “regras de bloqueio recomendadas” da Microsoft estão implementadas. As “regras recomendadas de bloqueio de drivers” da Microsoft estão implementadas.
Os conjuntos de regras de controle de aplicativos são validados a cada ano ou com mais frequência.
Os eventos de execução permitidos e bloqueados em estações de trabalho e servidores são registrados no centro.
Os registros de eventos são protegidos contra modificações e exclusões não autorizadas. Os registros de eventos são monitorados em busca de sinais de comprometimento e acionados quando qualquer sinal de comprometimento é detectado.

Resposta da Atlassian

O uso de programas utilitários no ambiente de produção é restrito e controlado. Todos os servidores são configurados usando o sistema centralizado de configuração de Puppet no ambiente operacional padrão, incluindo a remoção de pacotes selecionados da imagem padrão e atualizações críticas de pacotes. Todas as funções de servidor têm um padrão de negação total para solicitações de rede recebidas, com portas selecionadas abertas apenas para outras funções de servidor que exigem acesso a essa porta para funcionar. A rede corporativa da Atlassian é separada da rede de produção, e as imagens de máquina são reforçadas para permitir apenas as portas e os protocolos necessários. No momento, todos os sistemas de produção estão hospedados em locais do provedor de nuvem nos EUA. Todos os dados em trânsito fora das redes de nuvem privada virtual (VPC) reforçadas são criptografados em canais padrão do setor.
Além disso, um sistema IDS está instalado em todos os servidores de produção, o que inclui monitoramento e alerta em tempo real sobre quaisquer alterações nos arquivos ou configurações do sistema de produção e eventos de segurança anômalos.

Correção de aplicativos

Nível de maturidade um

Um método automatizado de descoberta de recursos é usado pelo menos uma vez a cada 15 dias para apoiar a detecção de recursos para atividades subsequentes de verificação de vulnerabilidades.
Um scanner de vulnerabilidades com um banco de dados de vulnerabilidades atualizado é usado para atividades de verificação de vulnerabilidades. Um scanner de vulnerabilidades é usado pelo menos todo dia para identificar correções ou atualizações ausentes para vulnerabilidades em serviços voltados para a Internet.
Um scanner de vulnerabilidades é usado pelo menos uma vez a cada 15 dias para identificar patches ou atualizações ausentes para vulnerabilidades em pacotes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF e produtos de segurança.
Patches, atualizações ou outras mitigações de fornecedores para vulnerabilidades em serviços voltados para a Internet são aplicadas dentro de duas semanas após o lançamento ou em até 48 horas, se houver uma exploração.
Patches, atualizações ou outras mitigações de vulnerabilidades de fornecedores em pacotes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF e produtos de segurança são aplicados dentro de um mês após o lançamento.
Serviços voltados para a Internet, suítes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF, Adobe Flash Player e produtos de segurança que não são mais compatíveis com os fornecedores são removidos.

Nível de maturidade dois

Um método automatizado de descoberta de recursos é usado pelo menos uma vez a cada 15 dias para apoiar a detecção de recursos para atividades subsequentes de verificação de vulnerabilidades.
Um scanner de vulnerabilidades com um banco de dados de vulnerabilidades atualizado é usado para atividades de verificação de vulnerabilidades.
Um scanner de vulnerabilidades é usado pelo menos todo dia para identificar correções ou atualizações ausentes para vulnerabilidades em serviços voltados para a Internet.
Um scanner de vulnerabilidades é usado pelo menos toda semana para identificar patches ou atualizações ausentes para vulnerabilidades em pacotes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF e produtos de segurança.
Um scanner de vulnerabilidades é usado pelo menos uma vez a cada 15 dias para identificar correções ou atualizações ausentes para vulnerabilidades em outros aplicativos.
Patches, atualizações ou outras mitigações de fornecedores para vulnerabilidades em serviços voltados para a Internet são aplicadas dentro de duas semanas após o lançamento ou em até 48 horas, se houver uma exploração.
Patches, atualizações ou outras mitigações de vulnerabilidades de fornecedores em pacotes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF e produtos de segurança são aplicados dentro de duas semanas após o lançamento.
Patches, atualizações ou outras mitigações de vulnerabilidades de fornecedores em outros aplicativos são aplicadas dentro de um mês após o lançamento.
Serviços voltados para a Internet, suítes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF, Adobe Flash Player e produtos de segurança que não são mais compatíveis com os fornecedores são removidos.

Nível de maturidade três

Um método automatizado de descoberta de recursos é usado pelo menos uma vez a cada 15 dias para apoiar a detecção de recursos para atividades subsequentes de verificação de vulnerabilidades.
Um scanner de vulnerabilidades com um banco de dados de vulnerabilidades atualizado é usado para atividades de verificação de vulnerabilidades.
Um scanner de vulnerabilidades é usado pelo menos todo dia para identificar correções ou atualizações ausentes para vulnerabilidades em serviços voltados para a Internet.
Um scanner de vulnerabilidades é usado pelo menos toda semana para identificar patches ou atualizações ausentes para vulnerabilidades em pacotes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF e produtos de segurança.
Um scanner de vulnerabilidades é usado pelo menos uma vez a cada 15 dias para identificar correções ou atualizações ausentes para vulnerabilidades em outros aplicativos.
Patches, atualizações ou outras mitigações de fornecedores para vulnerabilidades em serviços voltados para a Internet são aplicadas dentro de duas semanas após o lançamento ou em até 48 horas, se houver uma exploração.
Patches, atualizações ou outras mitigações de vulnerabilidades de fornecedores em pacotes de produtividade de escritório, navegadores da Web e extensões, clientes de e-mail, software de PDF e produtos de segurança são aplicados dentro de duas semanas após o lançamento ou 48 horas se houver uma exploração.
Patches, atualizações ou outras mitigações de vulnerabilidades de fornecedores em outros aplicativos são aplicadas dentro de um mês após o lançamento.
Os sistemas operacionais que não têm mais suporte dos fornecedores são removidos.

Resposta da Atlassian

Para todas as ofertas de produtos e serviços, a gente tem um extenso processo de correção de bugs (utilizando o Jira, que captura itens e ajuda a gerenciar a resolução de solicitações). Por trás disso, há várias políticas de atualização de segurança, serviços de consultoria e SLOs que a gente segue. A Atlassian recebe relatórios de bugs por meio do Canal de suporte, do Programa de Recompensas por Bugs e pelo e-mail security@atlassian.com. Há mais informações disponíveis no Trust Center sobre os SLOs de atualização de segurança.

Mais informações sobre a abordagem de testes de segurança também estão no Trust Center em: Abordagem dos testes de segurança externos

A equipe de segurança da Atlassian usa diversos métodos para detectar vulnerabilidades em infraestruturas internas e externas. Os tickets do Jira são criados para fins de rastreamento e correção, e as datas de entrega são atribuídas de acordo com o SLO com base na gravidade e na origem da vulnerabilidade. Há um processo contínuo para emitir tickets sobre vulnerabilidades identificadas para proprietários de sistemas, e a equipe de gerenciamento de segurança analisa todas as vulnerabilidades relatadas para garantir que sejam tomadas medidas contra elas.

Definir as configurações de macro do Microsoft Office

Nível de maturidade um

As macros do Microsoft Office estão desativadas para usuários que não têm um requisito comercial comprovado.
As macros do Microsoft Office em arquivos provenientes da Internet estão bloqueadas.
A verificação antivírus de macros do Microsoft Office está ativada.
As configurações de segurança de macro do Microsoft Office não podem ser alteradas pelos usuários.

Nível de maturidade dois

As macros do Microsoft Office estão desativadas para usuários que não têm um requisito comercial comprovado.
As macros do Microsoft Office em arquivos provenientes da Internet estão bloqueadas. A verificação antivírus de macros do Microsoft Office está ativada.
As macros do Microsoft Office estão impedidas de fazer chamadas de API do Win32.
As configurações de segurança de macro do Microsoft Office não podem ser alteradas pelos usuários.
Os eventos de execução de macros permitidas e bloqueadas do Microsoft Office são registrados.

Nível de maturidade três

As macros do Microsoft Office estão desativadas para usuários que não têm um requisito comercial comprovado.
Apenas macros do Microsoft Office executadas em um ambiente em repositório, em um Local Confiável ou com assinatura digital por um editor confiável podem ser executadas.
Apenas usuários privilegiados responsáveis por validar que as macros do Microsoft Office estão livres de código malicioso podem gravar e modificar conteúdo em Locais Confiáveis.
As macros do Microsoft Office com assinatura digital por um editor não confiável não podem ser ativadas por meio da Barra de Mensagens ou do modo de exibição Backstage.
A lista de editores confiáveis do Microsoft Office é validada a cada ano ou com mais frequência.
As macros do Microsoft Office em arquivos provenientes da Internet estão bloqueadas.
A verificação antivírus de macros do Microsoft Office está ativada.
As macros do Microsoft Office estão impedidas de fazer chamadas de API do Win32.
As configurações de segurança de macro do Microsoft Office não podem ser alteradas pelos usuários.
Os eventos de execução de macros permitidas e bloqueadas do Microsoft Office são registrados no centro.
Os registros de eventos são protegidos contra modificações e exclusões não autorizadas.
Os registros de eventos são monitorados em busca de sinais de comprometimento e acionados quando qualquer sinal de comprometimento é detectado.

Resposta da Atlassian

A Atlassian trabalha com subcontratados terceirizados para oferecer sites, desenvolvimento de aplicativos, hospedagem, manutenção, backup, armazenamento, infraestrutura virtual, processamento de pagamentos, análise e outros serviços. Esses provedores de serviços podem ter acesso ou processar PII com a finalidade de oferecer esses serviços para a gente. A Atlassian informa, por meio de notificação aos clientes relevantes, o uso de subcontratados que possam processar as próprias PII antes que o processamento ocorra. Uma lista externa de subcontratados com os quais a Atlassian trabalha é encontrada na página de subprocessadores da Atlassian em: lista de subprocessadores de dados. Nesta página, os visitantes são convidados a assinar um feed RSS para serem notificados quando a gente adicionar novos subprocessadores Atlassian.

A gente implementou uma solução centralizada de gestão de sistema (Gestão de dispositivos móveis) para a frota de notebooks Mac.
A gente implementou uma solução de gestão de dispositivos móveis para os terminais e smartphones Windows (VMware Workplace ONE).

Reforço do aplicativo do usuário

Nível de maturidade um

Os navegadores da web não processam Java da internet.
Os navegadores da web não processam anúncios da internet.
O Internet Explorer 11 não processa conteúdo da internet.
As configurações de segurança do navegador da web não podem ser alteradas pelos usuários.

Nível de maturidade dois

Os navegadores da web não processam Java da internet.
Os navegadores da web não processam anúncios da internet.
O Internet Explorer 11 não processa conteúdo da internet.
A orientação de reforço do fornecedor ou do ACSC para navegadores da web é implementada.
As configurações de segurança do navegador da web não podem ser alteradas pelos usuários.
O Microsoft Office é impedido de criar processos secundários.
O Microsoft Office é impedido de criar conteúdo executável.
O Microsoft Office é impedido de injetar código em outros processos.
O Microsoft Office é configurado para impedir a ativação de pacotes de OLE.
A orientação de reforço do fornecedor ou do ACSC para o Microsoft Office é implementada.
As configurações de segurança do Microsoft Office não podem ser alteradas pelos usuários.
O software de PDF fica impedido de criar processos secundários.
A orientação de reforço do fornecedor ou do ACSC para software de PDF é implementada.
As configurações de segurança do software de PDF não podem ser alteradas pelos usuários.
Os eventos de execução de scripts bloqueados do PowerShell são registrados.

Nível de maturidade três

Os navegadores da web não processam Java da internet.
Os navegadores da web não processam anúncios da internet.
O Internet Explorer 11 é desabilitado ou removido.
A orientação de reforço do fornecedor ou do ACSC para navegadores da web é implementada.
As configurações de segurança do navegador da web não podem ser alteradas pelos usuários.
O Microsoft Office é impedido de criar processos secundários.
O Microsoft Office é impedido de criar conteúdo executável.
O Microsoft Office é impedido de injetar código em outros processos.
O Microsoft Office é configurado para impedir a ativação de pacotes de OLE.
A orientação de reforço do fornecedor ou do ACSC para o Microsoft Office é implementada.
As configurações de segurança do Microsoft Office não podem ser alteradas pelos usuários.
O software de PDF fica impedido de criar processos secundários.
A orientação de reforço do fornecedor ou do ACSC para software de PDF é implementada.
As configurações de segurança do software de PDF não podem ser alteradas pelos usuários.
.NET Framework 3.5 (inclui .NET 2.0 e 3.0) é desabilitado ou removido.
O Windows PowerShell 2.0 é desabilitado ou removido.
O PowerShell é configurado para usar o modo de linguagem restrita.
Os eventos de execução de scripts bloqueados do PowerShell são registrados de maneira centralizada.
Os registros de eventos são protegidos contra modificações e exclusões não autorizadas.
Os registros de eventos são monitorados em busca de sinais de comprometimento e acionados quando qualquer sinal de comprometimento é detectado.

Resposta da Atlassian

Os builds de imagens do sistema operacional base do AWS Linux AMI têm portas, protocolos e serviços limitados. Comparamos os builds com a versão atual da AMI para garantir as configurações apropriadas.
As imagens do Docker são gerenciadas em um ambiente de alterações extremamente controlado para garantir a revisão e a aprovação apropriadas de todas as alterações.

Nossos endpoints são reforçados para proteger os usuários, mas não limitamos o acesso às portas de hardware.

Usamos um produto de proxy HTTP de terceiros para nossa vantagem pública do Jira/Confluence e implementamos regras de segurança HTTP L7 nele (ele pode ser chamado de WAF, já que a funcionalidade é essencialmente a mesma).

Restrição de privilégios administrativos

Nível de maturidade um

As solicitações de acesso privilegiado a sistemas e aplicativos são validadas quando solicitadas pela primeira vez.
Contas privilegiadas (exceto contas de serviços privilegiados) são impedidas de acessar a internet, o e-mail e os serviços da web.
Usuários privilegiados usam ambientes operacionais separados com e sem privilégios.
Contas sem privilégios não podem fazer login em ambientes operacionais privilegiados.
Contas privilegiadas (exceto contas de administradores locais) não podem fazer login em ambientes operacionais sem privilégios.

Nível de maturidade dois

As solicitações de acesso privilegiado a sistemas e aplicativos são validadas quando solicitadas pela primeira vez.
O acesso privilegiado a sistemas e aplicativos é automaticamente desativado após 12 meses, a menos que seja revalidado.
O acesso privilegiado a sistemas e aplicativos é automaticamente desabilitado após 45 dias de inatividade.
Contas privilegiadas (exceto contas de serviços privilegiados) são impedidas de acessar a internet, o e-mail e os serviços da web.
Usuários privilegiados usam ambientes operacionais separados com e sem privilégios.
Ambientes operacionais privilegiados não são virtualizados em ambientes sem privilégios.
Contas sem privilégios não podem fazer login em ambientes operacionais privilegiados.
Contas privilegiadas (exceto contas de administradores locais) não podem fazer login em ambientes operacionais sem privilégios.
As atividades administrativas são conduzidas por meio de servidores intermediários.
As credenciais para contas de administradores locais e de serviço são longas, exclusivas, imprevisíveis e gerenciadas.
Os eventos de acesso privilegiado são registrados.
Eventos de gerenciamento de grupos e contas privilegiados são registrados.

Nível de maturidade três

As solicitações de acesso privilegiado a sistemas e aplicativos são validadas quando solicitadas pela primeira vez.
O acesso privilegiado a sistemas e aplicativos é automaticamente desativado após 12 meses, a menos que seja revalidado.
O acesso privilegiado a sistemas e aplicativos é automaticamente desabilitado após 45 dias de inatividade.
O acesso privilegiado a sistemas e aplicativos é limitado apenas ao que é necessário para que usuários e serviços realizem as tarefas.
Contas privilegiadas são impedidas de acessar a internet, o e-mail e os serviços da web.
Usuários privilegiados usam ambientes operacionais separados com e sem privilégios.
Ambientes operacionais privilegiados não são virtualizados em ambientes sem privilégios.
Contas sem privilégios não podem fazer login em ambientes operacionais privilegiados.
Contas privilegiadas (exceto contas de administradores locais) não podem fazer login em ambientes operacionais sem privilégios.
A administração just-in-time é usada para administrar sistemas e aplicativos.
As atividades administrativas são conduzidas por meio de servidores intermediários.
As credenciais para contas de administradores locais e de serviço são longas, exclusivas, imprevisíveis e gerenciadas.
O Windows Defender Credential Guard e o Windows Defender Remote Credential Guard são habilitados.
Os eventos de acesso privilegiado são registrados de maneira centralizada.
Eventos de gerenciamento de grupos e contas privilegiadas são registrados de maneira centralizada.
Os registros de eventos são protegidos contra modificações e exclusões não autorizadas.
Os registros de eventos são monitorados em busca de sinais de comprometimento e acionados quando qualquer sinal de comprometimento é detectado.

Resposta da Atlassian

A Atlassian mantém restrições apenas ao pessoal que precisa desse acesso para as devidas funções e responsabilidades. Todos os sistemas de nível 1 são gerenciados por meio da solução centralizada de login único (SSO) e de diretório da Atlassian. Os usuários recebem direitos de acesso apropriados com base nesses perfis, orientados por meio do fluxo de trabalho do sistema de gerenciamento de RH. A Atlassian utiliza a autenticação multifator (MFA) para acessar todos os sistemas de nível 1. Nós habilitamos a autenticação de dois fatores no console de gerenciamento do hipervisor e na API da AWS, além de um relatório diário de auditoria sobre todo o acesso às funções de gerenciamento do hipervisor. As listas de acesso ao console de gerenciamento de hipervisores e à API da AWS são revisadas a cada trimestre. Também mantemos uma sincronização de 8 horas entre o sistema de RH e o armazenamento de identidades.

Nós mantemos um ciclo de revisão duas vezes ao ano para serviços essenciais em nosso processo de revisão de privilégios. A validação do acesso do usuário ocorre regularmente com os proprietários de sistemas para contas de usuários corporativas internas.

Correções de sistemas operacionais

Nível de maturidade um

Um método automatizado de descoberta de recursos é usado pelo menos uma vez a cada 15 dias para apoiar a detecção de recursos para atividades subsequentes de verificação de vulnerabilidades.
Um scanner de vulnerabilidades com um banco de dados de vulnerabilidades atualizado é usado para atividades de verificação de vulnerabilidades.
Um scanner de vulnerabilidades é usado pelo menos diariamente para identificar faltas de correções ou atualizações para vulnerabilidades em sistemas operacionais de serviços voltados para a internet.
Um scanner de vulnerabilidades é usado pelo menos quinzenalmente para identificar faltas de correções ou atualizações para vulnerabilidades em sistemas operacionais de estações de trabalho, servidores e dispositivos de rede.
Correções, atualizações ou outras mitigações de fornecedores para vulnerabilidades em sistemas operacionais de serviços voltados para a internet são aplicadas dentro de duas semanas após o lançamento ou em até 48 horas, se houver uma exploração.
Correções, atualizações ou outras mitigações de fornecedores para vulnerabilidades em sistemas operacionais de estações de trabalho, servidores e dispositivos de rede são aplicadas dentro de um mês após o lançamento.
Os sistemas operacionais que não recebem mais suporte dos fornecedores são substituídos.

Nível de maturidade dois

Um método automatizado de descoberta de recursos é usado pelo menos uma vez a cada 15 dias para apoiar a detecção de recursos para atividades subsequentes de verificação de vulnerabilidades.
Um scanner de vulnerabilidades com um banco de dados de vulnerabilidades atualizado é usado para atividades de verificação de vulnerabilidades.
Um scanner de vulnerabilidades é usado pelo menos diariamente para identificar faltas de correções ou atualizações para vulnerabilidades em sistemas operacionais de serviços voltados para a internet.
Um scanner de vulnerabilidades é usado pelo menos semanalmente para identificar faltas de correções ou atualizações para vulnerabilidades em sistemas operacionais de estações de trabalho, servidores e dispositivos de rede.
Correções, atualizações ou outras mitigações de fornecedores para vulnerabilidades em sistemas operacionais de serviços voltados para a internet são aplicadas dentro de duas semanas após o lançamento ou em até 48 horas, se houver uma exploração.
Correções, atualizações ou outras mitigações de fornecedores para vulnerabilidades em sistemas operacionais de estações de trabalho, servidores e dispositivos de rede são aplicadas dentro de duas semanas após o lançamento.
Os sistemas operacionais que não recebem mais suporte dos fornecedores são substituídos.

Nível de maturidade três

Um método automatizado de descoberta de recursos é usado pelo menos uma vez a cada 15 dias para apoiar a detecção de recursos para atividades subsequentes de verificação de vulnerabilidades.
Um scanner de vulnerabilidades com um banco de dados de vulnerabilidades atualizado é usado para atividades de verificação de vulnerabilidades.
Um scanner de vulnerabilidades é usado pelo menos diariamente para identificar faltas de correções ou atualizações para vulnerabilidades em sistemas operacionais de serviços voltados para a internet.
Um scanner de vulnerabilidades é usado pelo menos semanalmente para identificar faltas de correções ou atualizações para vulnerabilidades em sistemas operacionais de estações de trabalho, servidores e dispositivos de rede.
Correções, atualizações ou outras mitigações de fornecedores para vulnerabilidades em sistemas operacionais de serviços voltados para a internet são aplicadas dentro de duas semanas após o lançamento ou em até 48 horas, se houver uma exploração.
Correções, atualizações ou outras mitigações de fornecedores para vulnerabilidades em sistemas operacionais de estações de trabalho, servidores e dispositivos de rede são aplicadas dentro de duas semanas após o lançamento ou em até 48 horas, se houver uma exploração.
A versão mais recente, ou a versão anterior, dos sistemas operacionais é usada. Os sistemas operacionais que não recebem mais suporte dos fornecedores são substituídos.

Resposta da Atlassian

Para todas as ofertas de produtos e serviços, temos um extenso processo de correção de bugs (utilizando nosso próprio produto Jira, que captura itens e nos ajuda a gerenciar a resolução de solicitações). Por trás disso, estão várias políticas de correção de bugs de segurança, serviços de consultoria e SLOs a que aderimos. Recebemos relatórios de bugs por meio do canal de suporte, programa de recompensas por bugs e security@atlassian.com. Mais informações estão disponíveis em nosso Centro de Confiabilidade sobre nossos SLOs de correção de bugs de segurança.

Mais informações sobre a abordagem de testes de segurança também estão no Centro de Confiabilidade em: Abordagem dos testes de segurança externos

A equipe de segurança da Atlassian usa diversos métodos para detectar vulnerabilidades em infraestruturas internas e externas. Os tickets do Jira são criados para fins de rastreamento e correção, e as datas de vencimento são atribuídas de acordo com o SLO com base na gravidade e na origem da vulnerabilidade. Há um processo contínuo para emitir tickets de vulnerabilidades identificadas para proprietários de sistemas, e a equipe de gerenciamento de segurança analisa todas as vulnerabilidades relatadas e garante que medidas sejam tomadas contra elas.

Autenticação multifator

Nível de maturidade um

A autenticação multifator é usada pelos usuários quando eles se autenticam nos serviços da organização voltados para a internet.
A autenticação multifator é usada pelos usuários quando eles se autenticam nos serviços de terceiros voltados para a internet que processam, armazenam ou comunicam dados confidenciais da organização deles.
A autenticação multifator (quando disponível) é usada pelos usuários quando eles precisam se autenticar nos serviços de terceiros voltados para a internet que processam, armazenam ou comunicam dados não confidenciais da organização deles.
A autenticação multifator é habilitada por padrão para os usuários não organizacionais (mas eles podem escolher desativar essa opção) quando eles precisam se autenticar nos serviços da organização voltados para a internet.

Nível de maturidade dois

A autenticação multifator é usada pelos usuários quando eles se autenticam nos serviços da organização voltados para a internet.
A autenticação multifator é usada pelos usuários quando eles precisam se autenticar nos serviços de terceiros voltados para a internet que processam, armazenam ou comunicam dados confidenciais da organização deles.
A autenticação multifator (quando disponível) é usada pelos usuários quando eles precisam se autenticar nos serviços de terceiros voltados para a internet que processam, armazenam ou comunicam dados não confidenciais da organização deles.
A autenticação multifator é habilitada por padrão para os usuários não organizacionais (mas eles podem escolher desativar essa opção) quando eles precisam se autenticar nos serviços da organização voltados para a internet.
A autenticação multifator é usada para autenticar usuários privilegiados de sistemas.
A autenticação multifator usa: algo que os usuários têm e algo que eles sabem, ou algo que os usuários têm que é desbloqueado por algo que eles sabem ou são.
Eventos de autenticação multifator bem-sucedidos e malsucedidos são registrados.

Nível de maturidade três

A autenticação multifator é usada pelos usuários quando eles se autenticam nos serviços da organização voltados para a internet.
A autenticação multifator é usada pelos usuários quando eles se autenticam nos serviços de terceiros voltados para a internet que processam, armazenam ou comunicam dados confidenciais da organização deles.
A autenticação multifator (quando disponível) é usada pelos usuários quando eles precisam se autenticar nos serviços de terceiros voltados para a internet que processam, armazenam ou comunicam dados não confidenciais da organização deles.
A autenticação multifator é habilitada por padrão para os usuários não organizacionais (mas eles podem escolher desativar essa opção) quando eles precisam se autenticar nos serviços da organização voltados para a internet.
A autenticação multifator é usada para autenticar usuários privilegiados de sistemas.
A autenticação multifator é usada para autenticar usuários de repositórios importantes de dados.
A autenticação multifator é à prova de phishing e usa: algo que os usuários têm e algo que eles sabem, ou algo que os usuários têm que é desbloqueado por algo que eles sabem ou são.
Eventos de autenticação multifator bem-sucedidos e malsucedidos são registrados de maneira centralizada.
Os registros de eventos são protegidos contra modificações e exclusões não autorizadas.
Os registros de eventos são monitorados em busca de sinais de comprometimento e acionados quando qualquer sinal de comprometimento é detectado.

Resposta da Atlassian

Em relação ao Confluence e Jira, a autenticação multifator está disponível para contas individuais. Para saber mais sobre como ativar a autenticação multifator, consulte: Aplicar verificação em duas etapas

A BBC ainda implementa a 2FA em fevereiro de 2022 e, em geral, integra o Atlassian Access e oferece suporte a outras funcionalidades dessa solução. A aplicação da autenticação multifator pode ser feita no nível da organização com o Atlassian Access. Para saber mais, consulte: Aplicar a verificação em duas etapas

Em relação a produtos específicos,

o Bitbucket oferece suporte ao uso de opções de SSO baseadas na MFA. Para saber mais, consulte: Aplicar a verificação em duas etapas | Bitbucket Cloud

A Halp usa o SSO por meio do OAuth do Slack e MS Teams. O Slack e o MS Teams oferecem várias opções de autenticação multifator. Para saber mais, consulte: Login único de SAML e Azure AD Connect: login único otimizado

O Opsgenie oferece suporte ao uso de opções de SSO baseadas na MFA. Para saber mais, consulte: Configurar o SSO para o Opsgenie

O Statuspage oferece suporte ao uso de opções de SSO baseadas na MFA.

O Trello oferece suporte à autenticação multifator. Para saber mais sobre como habilitar a autenticação multifator, consulte: Como habilitar a autenticação de dois fatores na conta do Trello

O Jira Align oferece suporte ao uso de opções de SSO baseadas na MFA.

Backups regulares

Nível de maturidade um

Os backups de dados, software e configurações importantes são executados e retidos com uma frequência e um período de retenção baseado nos requisitos de continuidade dos negócios.
Os backups de dados, software e configurações importantes são sincronizados para permitir a restauração para um momento em comum.
Os backups de dados, software e configurações importantes são mantidos de forma segura e resiliente.
A restauração de dados, software e configurações importantes dos backups para um momento em comum é testada como parte dos exercícios de recuperação de desastres.
Contas sem privilégios não podem acessar backups que pertencem a outras contas.
Contas sem privilégios são impedidas de modificar e excluir backups.

Nível de maturidade dois

Os backups de dados, software e configurações importantes são executados e retidos com uma frequência e um período de retenção baseado nos requisitos de continuidade dos negócios.
Os backups de dados, software e configurações importantes são sincronizados para permitir a restauração para um momento em comum.
Os backups de dados, software e configurações importantes são mantidos de forma segura e resiliente.
A restauração de dados, software e configurações importantes dos backups para um momento em comum é testada como parte dos exercícios de recuperação de desastres.
Contas sem privilégios não podem acessar backups que pertencem a outras contas.
Contas privilegiadas (exceto contas de administradores de backups) não podem acessar backups que pertencem a outras contas.
Contas sem privilégios são impedidas de modificar e excluir backups.
Contas privilegiadas (exceto contas de administradores de backups) são impedidas de modificar e excluir backups.

Nível de maturidade três

Os backups de dados, software e configurações importantes são executados e retidos com uma frequência e um período de retenção baseado nos requisitos de continuidade dos negócios.
Os backups de dados, software e configurações importantes são sincronizados para permitir a restauração para um momento em comum.
Os backups de dados, software e configurações importantes são mantidos de forma segura e resiliente.
A restauração de dados, software e configurações importantes dos backups para um momento em comum é testada como parte dos exercícios de recuperação de desastres.
Contas sem privilégios não podem acessar backups que pertencem a outras contas nem às próprias contas delas.
Contas privilegiadas (exceto contas de administradores de backups) não podem acessar backups que pertencem a outras contas nem às próprias contas delas.
Contas sem privilégios são impedidas de modificar e excluir backups. Contas privilegiadas (incluindo contas de administradores de backups) são impedidas de modificar e excluir backups durante o período de retenção.

Resposta da Atlassian

A Atlassian mantém um padrão de Retenção e Destruição de Dados, que designa por quanto tempo a gente precisa manter diferentes tipos de dados. Os dados são classificados de acordo com a Política de Ciclo de Vida de Informações e Segurança de Dados da Atlassian, e os controles são implementados com base nisso.
Para dados de clientes, após a rescisão do contrato com a Atlassian, os dados pertencentes à equipe do cliente vão ser removidos do banco de dados de produção ativo e todos os anexos de arquivos enviados para a Atlassian vão ser removidos em 14 dias. Os dados da equipe vão permanecer em backups criptografados até ultrapassarem a janela de retenção de backup de 60 dias e serem destruídos conforme a política de retenção de dados da Atlassian. Caso uma restauração do banco de dados seja necessária no prazo de 60 dias após a solicitação de exclusão de dados, a equipe de operações vai excluir de novo os dados assim que for possível após a restauração completa do sistema de produção ativo. Para mais informações, consulte: Rastrear o armazenamento e mover dados entre produtos

Destaque

Jira

Confluence

Jira Service Management

Trello

Rovo NOVO

Jira Product Discovery NOVO

Compass NOVO

Guard NOVO

Loom NOVO

Desenvolvedores

Jira

Bitbucket

Compass NOVO

Gerentes de produtos

Jira

Confluence

Jira Product Discovery NOVO

Profissionais de TI

Jira Service Management

Guard NOVO

Equipes administrativas

Jira

Confluence

Trello

Loom NOVO

Equipes de liderança

Jira Align

Jira

Confluence

Loom NOVO

Equipes

Software

Marketing

TI

Solução

Por tamanho da equipe

Por setor

Por que a Atlassian

Integrações

Clientes

FedRAMP

Resiliência

Plataforma

Trust Center

Recursos

Suporte ao cliente

Encontre parceiros

Migration Program

Acadêmico

Suporte

Saiba mais

ACSC - Revisão de orientação sobre o Modelo de maturidade Essential 8 - 2023

Estratégia de mitigação

Nível de maturidade um

Nível de maturidade dois

Nível de maturidade três

Resposta da Atlassian

produtos

Recursos

Saiba mais