Close

O Programa de Detecções de Segurança


O Programa de Detecções de Segurança da Atlassian

Na Atlassian, a gente tem consciência de que não dá para abaixar a guarda quando se trata de segurança. Um de nossos principais valores é “Seja a mudança que você quer”, e a gente pretende dar vida a esse valor, sempre melhorando a abordagem de segurança à medida que o cenário de ameaças cibernéticas continua a evoluir.

Um exemplo de como a gente sempre está melhorando pode ser observado por meio do Programa de Detecções de Segurança.

O que é o Programa de Detecções de Segurança?

As detecções são, em primeiro lugar, pesquisas executadas com iniciativa de acordo com um cronograma na plataforma de gerenciamento de eventos e incidentes de segurança da Atlassian. Essas pesquisas são projetadas para detectar atividades maliciosas direcionadas à Atlassian e seus clientes. Por exemplo, detecções geradas para analisar cabeçalhos de e-mails recebidos, detectar comportamentos maliciosos de extensões do navegador ou procurar por padrões suspeitos de tráfego DNS.

Perto do final de 2018, a Atlassian introduziu um Programa de Detecções de Segurança formal e o transformou na abordagem principal da equipe de Inteligência de Segurança. O Programa de Detecções se concentra em diminuir o tempo de detecção de atividades maliciosas. Essa meta é alcançada através da criação regular de novas detecções, ajustando e melhorando as detecções existentes e automatizando as respostas de detecção.

O Programa de Detecções melhora os processos existentes de Gerenciamento de incidentes de segurança da Atlassian. Embora a Segurança da Atlassian tenha confiança nesses processos, o programa foi estabelecido a partir do reconhecimento de que, à medida que a Atlassian continua crescendo e atendendo mais clientes em todo o mundo, é necessário:

Melhorar a capacidade de detectar incidentes com mais rapidez em um cenário de ameaças cada vez mais complexo; e

Garantir que a abordagem ao gerenciamento de incidentes leve em consideração não apenas as ameaças que a gente enfrenta, mas também antecipe e se prepare com suficiência para o cenário de ameaças que a gente vai enfrentar no futuro.

Os objetivos do Programa de Detecções

Os principais objetivos da introdução do Programa de Detecções do ponto de vista da Atlassian foram:

Aumentar a proporção de incidentes de segurança identificados como resultado de alertas de detecções que a segurança criou e reduzir aqueles que poderiam ter sido, mas, em vez disso, chegou até a gente através de outra fonte (ex. relatórios externos/notificações);

Compreender e melhorar a cobertura de detecção em várias dimensões, incluindo produtos, tipos de ataque e fontes de registro, com o objetivo final de levar a cobertura o mais próximo possível de 100%; e

Ter uma maneira clara de medir e validar a abordagem da nossa equipe para detectar incidentes de segurança para que, como equipe, exista a certeza de que a gente está caminhando na direção certa e melhorando nossos recursos de detecção e resposta a incidentes ao longo do tempo.

O programa também permitiu que a equipe de Inteligência de Segurança refinasse suas habilidades tanto no Splunk, quanto para escrever detecções mais gerais, já que os analistas de segurança da Atlassian agora dedicam tempo para discutir e desenvolver ideias de detecção.

Como o programa funciona

Como parte do programa, cada analista da equipe de Inteligência de Segurança se concentra em escrever pelo menos uma nova detecção de segurança por mês.

Quando um analista escreve uma nova detecção, ele também produz:

  • Documentação detalhada descrevendo como a detecção funciona e quais são suas implicações de segurança;
  • Um runbook sobre como responder a uma detecção quando ela gera um alerta. Esses runbooks podem ser acessados a partir de tickets do Jira criados para alertas de detecção, para que os analistas tenham todas as informações necessárias para lidar com esses alertas com rapidez.
  • Uma análise documentada das razões de verdadeiros positivos e falsos positivos de detecção ao longo do tempo;
  • Classificação da detecção para seu produto, serviço e fonte de registro associados da Atlassian, bem como o vetor de ataque ou a técnica que está cobrindo (o que ajuda a gente a ter uma boa visão geral da cobertura da detecção).

Cada detecção também está sujeita a um processo de revisão por pares para oferecer um nível de garantia em torno da qualidade das detecções que a gente escreve e permitir o compartilhamento de conhecimentos entre toda a equipe.

Quando uma detecção encontra alguma coisa que pode ser maliciosa, um alerta é disparado e respondido pela equipe de Inteligência de Segurança. O resultado do alerta pode variar entre ser reconhecido como leve ou falso positivo até o início de uma investigação ou a criação de um incidente de segurança.

Padronização das detecções

A Segurança da Atlassian percebeu desde cedo a necessidade de ter um método para alcançar um alto nível de consistência e qualidade entre as detecções escritas por analistas. Sem um processo de padronização, a equipe correu o risco de ter detecções com nomeações inconsistentes, processos rudimentares de controle de fontes, dados históricos incompletos e nenhuma capacidade de entender a cobertura das detecções em nossos vários produtos e serviços.

Para ajudar cumprir esse objetivo, a equipe criou um esquema padrão para classificar as detecções. Quando um analista escreve uma nova detecção, ela passa por um processo automatizado para garantir que atenda aos requisitos do esquema. O fluxo de trabalho, em termos gerais, é o seguinte:

  • Um analista de inteligência de segurança cria um item no Jira para qualquer nova tática de detecção que eles escreverem. O Jira serve e faz um excelente trabalho como a única fonte de verdade para todas as detecções.
  • Os analistas têm um tipo de item personalizado que a gente criou, com um conjunto básico de dados que eles preenchem para criar uma nova detecção, incluindo produtos, serviços e infraestrutura no escopo, tipos de ataque e campos de texto para a lógica de pesquisa do Splunk.
  • Depois que a detecção é criada, a gente a padroniza executando uma ferramenta de interface de linha de comando, personalizada pela equipe de automação da Atlassian. Essa ferramenta ajuda a validar e propagar a detecção pelos vários sistemas e componentes que compõem o pipeline de alertas. Em específico, ela:
    • lê o item do Jira em um objeto do Jira;
    • valida campos no item e adiciona rótulos-chave;
    • gera um nome padrão para a detecção e cria pull requests (PRs) para ela. O PR contém a estrofe, as chaves e os parâmetros do Splunk necessários para que as detecções executem pesquisas agendadas e propaguem alertas para o Jira; e
    • cria e preenche uma página do Confluence que os analistas podem adicionar à medida que respondem ao alerta, vinculando ao item correspondente do Jira. Essa ação ajuda a criar mais visibilidade e captura informações históricas sobre as detecções. Ele também oferece uma “visão de nível executivo” das informações mais importantes necessárias para a geração de relatórios.
Gráfico que alterna entre Monitorar (Jira), Agregar (Core Data), Armazenar/validar (Git), Documentar (Confluence) e Detectar (Splunk)

O processo de padronização também permite que a equipe classifique cada detecção de acordo com o tipo de ataque e o produto, serviço ou infraestrutura da Atlassian à qual pertence, oferecendo uma visão de um único "painel de vidro" da cobertura geral da equipe de inteligência de segurança e, em particular, destacando áreas onde podem existir lacunas que precisam ser resolvidas.

Hoje, a equipe de inteligência de segurança usa a estrutura MITRE ATT& CK como ponto de partida para classificar detecções com base no tipo de ataque. Essa estrutura é complementada pelas operações da equipe vermelha de segurança da Atlassian, os incidentes anteriores e a compreensão da equipe sobre ameaças emergentes e métodos de ataque para ajudar a identificar áreas prioritárias nas quais as equipes devem se concentrar ao escrever novas detecções.

Gráfico de estatísticas de itens do Jira

***As informações e números acima são para fins ilustrativos.

Na Atlassian, a gente acredita que essa abordagem seja um grande passo adiante para oferecer clareza e direção para o Programa de Detecções, além de garantir um alto nível de consistência e qualidade nas detecções escritas.

Sistema de prevenção de intrusão (IPS)
A Atlassian usa o Cloudflare Enterprise no firewall de aplicativos web, DDOS e com protocolo TLS 1.2. Dentro do firewall, a solução tem o AlertLogic IDS ativado.

Um breve resumo

O Programa de Detecções de Segurança é uma parte importante da abordagem proativa da Atlassian para detecção e resposta a incidentes. A gente também acredita que a abordagem adotada para a padronização é algo do qual as equipes de segurança de muitas organizações poderiam se beneficiar. Se você quiser saber mais, entre em contato com a Equipe de suporte.

Quer saber mais?

A gente publicou vários outros recursos que você pode acessar para saber mais sobre a abordagem para lidar com incidentes de segurança e a abordagem geral de segurança.