ACSC - Essential 8 Maturity Model - Revisione delle linee guida 2023

Esclusione di responsabilità

Le linee guida vengono fornite esclusivamente con lo scopo di illustrare le modalità con cui i clienti Cloud del settore pubblico nonché le organizzazioni aziendali, classificate come entità regolamentate dall'Australian Cyber Security Center (ACSC), le utilizzano esclusivamente in relazione ai prodotti Atlassian Cloud e ai servizi offerti.

Questo report è riservato esclusivamente alle informazioni e alle linee guida fornite da Atlassian ai suoi clienti Cloud su come ci allineiamo alla Cloud Computing Security for Cloud Service Providers. Parallelamente, disponiamo di un white paper dedicato alle responsabilità condivise che prende in esame le diverse responsabilità dei CSP e dei clienti. Il modello di responsabilità condivisa non elimina la responsabilità e il rischio per i clienti che utilizzano i prodotti Atlassian Cloud, ma contribuisce a ridurre l'impegno della gestione e del controllo dei componenti del sistema e del controllo fisico delle strutture, oltre a trasferire una parte dei costi relativi alla sicurezza e alla conformità dai clienti ad Atlassian.

Per saperne di più sul nostro impegno per la salvaguardia dei dati dei clienti, visita la nostra pagina sulle pratiche di sicurezza.

Strategie di mitigazione	Livello di maturità uno	Livello di maturità due	Livello di maturità tre	Risposta di Atlassian
Controllo delle applicazioni	Livello di maturità uno L'esecuzione di eseguibili, librerie software, script, programmi di installazione, codice HTML compilato, applicazioni HTML e applet del pannello di controllo è impedita sulle workstation dall'interno dei profili utente standard e delle cartelle temporanee utilizzate dal sistema operativo, dai browser web e dai client e-mail.	Livello di maturità due Il controllo delle applicazioni è implementato su workstation e server con connessione a Internet. Il controllo delle applicazioni limita l'esecuzione di eseguibili, librerie software, script, programmi di installazione, codice HTML compilato, applicazioni HTML e applet del pannello di controllo a un set approvato dall'organizzazione. Gli eventi di esecuzione consentiti e bloccati sulle workstation e sui server con connessione a Internet vengono registrati.	Livello di maturità tre Il controllo delle applicazioni è implementato su workstation e server. Il controllo delle applicazioni limita l'esecuzione di eseguibili, librerie software, script, programmi di installazione, codice HTML compilato, applicazioni HTML, applet e driver del pannello di controllo a un set approvato dall'organizzazione. Vengono implementate le "regole di blocco consigliate" di Microsoft. Le regole consigliate per il blocco dei driver» di Microsoft sono implementate. I set di regole di controllo delle applicazioni vengono convalidati ogni anno o con una frequenza maggiore. Gli eventi di esecuzione consentiti e bloccati su workstation e server vengono registrati centralmente. I log degli eventi sono protetti da modifiche ed eliminazioni non autorizzate. I log degli eventi vengono monitorati per individuare i segni di compromissione e, in tal caso, vengono intraprese le opportune azioni.	Risposta di Atlassian L'uso di programmi di utilità nell'ambiente di produzione è limitato e controllato. Tutti i server sono configurati utilizzando il nostro sistema di configurazione puppet centralizzato in base al nostro ambiente operativo standard, inclusa la rimozione di determinati pacchetti dall'immagine predefinita e gli aggiornamenti dei pacchetti critici. Tutti i ruoli del server sono configurati per impostazione predefinita sul rifiuto di tutte le richieste di rete in entrata, con porte selezionate aperte solo agli altri ruoli del server che richiedono l'accesso a tali porte per poter svolgere la loro funzione. La rete aziendale di Atlassian è separata dalla rete di produzione e alle immagini delle macchine è applicata la protezione avanzata per consentire solo le porte e i protocolli necessari. Tutti i sistemi di produzione sono attualmente ospitati nelle regioni degli Stati Uniti del nostro provider di servizi cloud. Tutti i dati in transito al di fuori delle reti cloud private virtuali (VPC) con protezione avanzata sono crittografati su canali standard del settore. Inoltre, su tutti i server di produzione è presente un sistema IDS, che include il monitoraggio e la creazione di avvisi in tempo reale sulle modifiche apportate ai file o alla configurazione del sistema di produzione e sugli eventi di sicurezza anomali.
Applicazione di patch	Livello di maturità uno Un metodo automatizzato di rilevamento degli asset viene utilizzato almeno ogni due settimane per supportare il rilevamento degli asset per le successive attività di scansione delle vulnerabilità. Per le attività di scansione delle vulnerabilità viene utilizzato uno scanner di vulnerabilità con un database delle vulnerabilità aggiornato. Uno scanner di vulnerabilità viene utilizzato almeno quotidianamente per identificare le patch mancanti o gli per rimuovere le vulnerabilità nei servizi connessi a Internet. Uno scanner di vulnerabilità viene utilizzato almeno ogni due settimane per identificare le patch mancanti o gli aggiornamenti per rimuovere le vulnerabilità in suite di produttività per ufficio, browser web e relative estensioni, client e-mail, software PDF e prodotti di sicurezza. Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità nei servizi connessi a Internet vengono applicati entro due settimane dal rilascio o entro 48 ore qualora vengano rilevati exploit. Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità in suite di produttività per ufficio, browser web e relative estensioni, client e-mail, software PDF e prodotti di sicurezza vengono applicati entro un mese dal rilascio. I servizi connessi a Internet, le suite di produttività per ufficio, i browser web e le relative estensioni, i client e-mail, il software PDF, Adobe Flash Player e i prodotti di sicurezza che non sono più supportati dai fornitori vengono rimossi.	Livello di maturità due Un metodo automatizzato di rilevamento degli asset viene utilizzato almeno ogni due settimane per supportare il rilevamento degli asset per le successive attività di scansione delle vulnerabilità. Per le attività di scansione delle vulnerabilità viene utilizzato uno scanner di vulnerabilità con un database delle vulnerabilità aggiornato. Uno scanner di vulnerabilità viene utilizzato almeno quotidianamente per identificare le patch mancanti o gli per rimuovere le vulnerabilità nei servizi connessi a Internet. Uno scanner di vulnerabilità viene utilizzato almeno ogni settimana per identificare le patch mancanti o gli aggiornamenti per rimuovere le vulnerabilità in suite di produttività per ufficio, browser web e relative estensioni, client e-mail, software PDF e prodotti di sicurezza. Uno scanner di vulnerabilità viene utilizzato almeno ogni due settimane per identificare le patch mancanti o gli aggiornamenti per rimuovere le vulnerabilità in altre applicazioni. Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità nei servizi connessi a Internet vengono applicati entro due settimane dal rilascio o entro 48 ore qualora vengano rilevati exploit. Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità in suite di produttività per ufficio, browser web e relative estensioni, client e-mail, software PDF e prodotti di sicurezza vengono applicati entro due settimane dal rilascio. Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità in altre applicazioni vengono applicate entro un mese dal rilascio. I servizi connessi a Internet, le suite di produttività per ufficio, i browser web e le relative estensioni, i client e-mail, il software PDF, Adobe Flash Player e i prodotti di sicurezza che non sono più supportati dai fornitori vengono rimossi.	Livello di maturità tre Un metodo automatizzato di rilevamento degli asset viene utilizzato almeno ogni due settimane per supportare il rilevamento degli asset per le successive attività di scansione delle vulnerabilità. Per le attività di scansione delle vulnerabilità viene utilizzato uno scanner di vulnerabilità con un database delle vulnerabilità aggiornato. Uno scanner di vulnerabilità viene utilizzato almeno quotidianamente per identificare le patch mancanti o gli per rimuovere le vulnerabilità nei servizi connessi a Internet. Uno scanner di vulnerabilità viene utilizzato almeno ogni settimana per identificare le patch mancanti o gli aggiornamenti per rimuovere le vulnerabilità in suite di produttività per ufficio, browser web e relative estensioni, client e-mail, software PDF e prodotti di sicurezza. Uno scanner di vulnerabilità viene utilizzato almeno ogni due settimane per identificare le patch mancanti o gli aggiornamenti per rimuovere le vulnerabilità in altre applicazioni. Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità nei servizi connessi a Internet vengono applicati entro due settimane dal rilascio o entro 48 ore qualora vengano rilevati exploit. Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità in suite di produttività per ufficio, browser web e relative estensioni, client e-mail, software PDF e prodotti di sicurezza vengono applicati entro due settimane dal rilascio o entro 48 ore qualora venga rilevato un exploit. Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità in altre applicazioni vengono applicate entro un mese dal rilascio. Le applicazioni che non sono più supportate dai fornitori vengono rimosse.	Risposta di Atlassian Per tutte le nostre offerte di prodotti e servizi, disponiamo di un processo completo di correzione dei bug (attraverso il nostro prodotto Jira, che acquisisce i ticket e ci aiuta a gestire le richieste di risoluzione). Alla base di questo ci sono numerose policy di correzione dei bug di sicurezza, servizi di consulenza e SLO a cui aderiamo. Riceviamo le segnalazioni dei bug tramite il nostro canale di assistenza, il nostro programma Bug Bounty e security@atlassian.com. Ulteriori informazioni sono disponibili nella sezione del nostro Trust Center dedicata agli SLO per la correzione dei bug di sicurezza. Nel Trust Center sono disponibili anche ulteriori informazioni sul nostro approccio ai test di sicurezza all'indirizzo: Approccio ai test di sicurezza esterni Il team di sicurezza di Atlassian utilizza diversi metodi per rilevare le vulnerabilità nell'infrastruttura interna ed esterna. I ticket Jira vengono creati per finalità di monitoraggio e correzione, e le date di scadenza sono assegnate in conformità al nostro SLO in base sia alla gravità che all'origine della vulnerabilità. Disponiamo di un processo continuo che ci consente di inviare ticket per le vulnerabilità identificate ai responsabili dei sistemi e il nostro team di gestione della sicurezza esamina tutte le vulnerabilità segnalate e garantisce che vengano intraprese le opportune contromisure.
Configurazione delle impostazioni macro di Microsoft Office	Livello di maturità uno Le macro di Microsoft Office sono disabilitate per gli utenti che non hanno una necessità aziendale dimostrata. Le macro di Microsoft Office presenti nei file provenienti da Internet sono bloccate. La scansione antivirus delle macro di Microsoft Office è abilitata. Le impostazioni di sicurezza delle macro di Microsoft Office non possono essere modificate dagli utenti.	Livello di maturità due Le macro di Microsoft Office sono disabilitate per gli utenti che non hanno una necessità aziendale dimostrata. Le macro di Microsoft Office presenti nei file provenienti da Internet sono bloccate. La scansione antivirus delle macro di Microsoft Office è abilitata. Alle macro di Microsoft Office è impedito di effettuare chiamate API Win32. Le impostazioni di sicurezza delle macro di Microsoft Office non possono essere modificate dagli utenti. Gli eventi di esecuzione di macro di Microsoft Office consentiti e bloccati vengono registrati.	Livello di maturità tre Le macro di Microsoft Office sono disabilitate per gli utenti che non hanno una necessità aziendale dimostrata. È consentita l'esecuzione delle sole macro Microsoft Office in un ambiente sandbox, in un percorso attendibile o con firma digitale da un editore attendibile. Solo gli utenti con privilegi che hanno la responsabilità di verificare che le macro di Microsoft Office siano prive di codice dannoso possono scrivere e modificare i contenuti all'interno dei percorsi attendibili. Le macro di Microsoft Office firmate digitalmente da un editore non attendibile non possono essere abilitate tramite la barra dei messaggi o la visualizzazione Backstage. L'elenco degli editori attendibili di Microsoft Office viene convalidato ogni anno o con una frequenza maggiore. Le macro di Microsoft Office presenti nei file provenienti da Internet sono bloccate. La scansione antivirus delle macro di Microsoft Office è abilitata. Alle macro di Microsoft Office è impedito di effettuare chiamate API Win32. Le impostazioni di sicurezza delle macro di Microsoft Office non possono essere modificate dagli utenti. Gli eventi di esecuzione di macro di Microsoft Office consentiti e bloccati vengono registrati centralmente. I log degli eventi sono protetti da modifiche ed eliminazioni non autorizzate. I log degli eventi vengono monitorati per individuare i segni di compromissione e, in tal caso, vengono intraprese le opportune azioni.	Risposta di Atlassian Atlassian lavora con subappaltatori di terzi per fornire servizi come siti web, sviluppo di applicazioni, hosting, manutenzione, backup, archiviazione, infrastruttura virtuale, elaborazione dei pagamenti e analisi. Questi fornitori di servizi possono avere accesso alle informazioni personali identificabili (PII) o elaborarle per svolgere la propria attività. Atlassian comunica ai clienti pertinenti qualsiasi utilizzo di subappaltatori che possano elaborare le loro PII, tramite notifica, prima che avvenga l'elaborazione. Un elenco esterno di subappaltatori con cui collabora Atlassian è fornito nella pagina relativa all'elenco dei sub-responsabili del trattamento dei dati di Atlassian. In questa pagina, i visitatori sono invitati a iscriversi a un feed RSS per ricevere una notifica quando aggiungiamo nuovi sub-responsabili del trattamento Atlassian. Abbiamo implementato una soluzione di gestione centralizzata del sistema (Gestione dei dispositivi mobili) per la nostra flotta di portatili Mac. Abbiamo implementato una soluzione di gestione dei dispositivi mobili per i nostri endpoint e smartphone Windows (VMware Workplace ONE).
Protezione avanzata delle applicazioni utente	Livello di maturità uno I browser web non elaborano Java da internet. I browser web non elaborano annunci pubblicitari web di Internet. Internet Explorer 11 non elabora i contenuti di Internet. Le impostazioni di sicurezza del browser web non possono essere modificate dagli utenti.	Livello di maturità due I browser web non elaborano Java da internet. I browser web non elaborano annunci pubblicitari web di Internet. Internet Explorer 11 non elabora i contenuti di Internet. Sono state implementate le linee guida sulla protezione avanzata di ACSC e vendor per i browser web. Le impostazioni di sicurezza del browser web non possono essere modificate dagli utenti. A Microsoft Office è impedito di creare processi subordinati. A Microsoft Office è impedito di creare contenuti eseguibili. A Microsoft Office è impedito di inserire codice in altri processi. Microsoft Office è configurato in modo tale da impedire l'attivazione dei pacchetti OLE. Sono state implementate le linee guida sulla protezione avanzata di ACSC e fornitori per i Microsoft Office. Le impostazioni di sicurezza di Microsoft Office non possono essere modificate dagli utenti. Al software PDF è impedito di creare processi subordinati. Sono state implementate le linee guida sulla protezione avanzata di ACSC e fornitori per il software PDF. Le impostazioni di sicurezza del software PDF non possono essere modificate dagli utenti. Gli eventi di esecuzione degli script PowerShell bloccati vengono registrati.	Livello di maturità tre I browser web non elaborano Java da internet. I browser web non elaborano annunci pubblicitari web di Internet. Internet Explorer 11 è stato disabilitato o rimosso. Sono state implementate le linee guida sulla protezione avanzata di ACSC e vendor per i browser web. Le impostazioni di sicurezza del browser web non possono essere modificate dagli utenti. A Microsoft Office è impedito di creare processi subordinati. A Microsoft Office è impedito di creare contenuti eseguibili. A Microsoft Office è impedito di inserire codice in altri processi. Microsoft Office è configurato in modo tale da impedire l'attivazione dei pacchetti OLE. Sono state implementate le linee guida sulla protezione avanzata di ACSC e fornitori per i Microsoft Office. Le impostazioni di sicurezza di Microsoft Office non possono essere modificate dagli utenti. Al software PDF è impedito di creare processi subordinati. Sono state implementate le linee guida sulla protezione avanzata di ACSC e fornitori per il software PDF. Le impostazioni di sicurezza del software PDF non possono essere modificate dagli utenti. .NET Framework 3.5 (include .NET 2.0 e 3.0) è stato disabilitato o rimosso. Windows PowerShell 2.0 è stato disabilitato o rimosso. PowerShell è configurato in modo tale da utilizzare la modalità Linguaggio vincolato. Gli eventi di esecuzione degli script PowerShell bloccati vengono registrati in maniera centralizzata. I log degli eventi sono protetti da modifiche ed eliminazioni non autorizzate. I log degli eventi vengono monitorati per individuare i segni di compromissione e, in tal caso, vengono intraprese le opportune azioni.	Risposta di Atlassian Le build di immagini del sistema operativo di base dell'AMI AWS Linux hanno porte, protocolli e servizi limitati. Confrontiamo le nostre build con la versione dell'AMI attuale per garantire le impostazioni appropriate. Le nostre immagini Docker sono gestite in un ambiente di modifica strettamente controllato per garantire la revisione e l'approvazione appropriate di tutte le modifiche. Sebbene i nostri endpoint siano dotati di una protezione avanzata per proteggere i nostri utenti, non limitiamo l'accesso alle porte hardware. Utilizziamo un prodotto proxy HTTP di terze parti per il nostro edge pubblico Jira/Confluence e su di esso abbiamo implementato le regole di sicurezza HTTP L7 (alcuni lo chiamano WAF, la funzionalità è fondamentalmente la stessa).
Limitazione dei privilegi amministrativi	Livello di maturità uno Le richieste di accesso con privilegi a sistemi e applicazioni vengono convalidate alla prima richiesta. Agli account con privilegi (esclusi gli account di servizio con privilegi) viene impedito l'accesso a Internet, alla posta elettronica e ai servizi web. Gli utenti con privilegi utilizzano ambienti operativi privilegiati e non privilegiati separati. Gli account senza privilegi non possono accedere ad ambienti operativi privilegiati. Gli account con privilegi (esclusi gli account amministratore locali) non possono accedere ad ambienti operativi non privilegiati.	Livello di maturità due Le richieste di accesso con privilegi a sistemi e applicazioni vengono convalidate alla prima richiesta. L'accesso con privilegi ai sistemi e alle applicazioni viene disabilitato automaticamente dopo 12 mesi, a meno che non venga riconvalidato. L'accesso con privilegi ai sistemi e alle applicazioni viene disabilitato automaticamente dopo 45 giorni di inattività. Agli account con privilegi (esclusi gli account di servizio con privilegi) viene impedito l'accesso a Internet, alla posta elettronica e ai servizi web. Gli utenti con privilegi utilizzano ambienti operativi privilegiati e non privilegiati separati. Gli ambienti operativi privilegiati non sono virtualizzati all'interno di ambienti operativi non privilegiati. Gli account senza privilegi non possono accedere ad ambienti operativi privilegiati. Gli account con privilegi (esclusi gli account amministratore locali) non possono accedere ad ambienti operativi non privilegiati. Le attività amministrative sono condotte tramite jump server. Le credenziali degli account amministratore locali e degli account di servizio sono lunghe, univoche, imprevedibili e gestite. Gli eventi di accesso con privilegi vengono registrati. Gli eventi di gestione degli account e dei gruppi con privilegi vengono registrati.	Livello di maturità tre Le richieste di accesso con privilegi a sistemi e applicazioni vengono convalidate alla prima richiesta. L'accesso con privilegi ai sistemi e alle applicazioni viene disabilitato automaticamente dopo 12 mesi, a meno che non venga riconvalidato. L'accesso con privilegi ai sistemi e alle applicazioni viene disabilitato automaticamente dopo 45 giorni di inattività. L'accesso con privilegi a sistemi e applicazioni è limitato solo alle esigenze specifiche degli utenti e ai servizi necessari per svolgere i loro compiti. Agli account con privilegi viene impedito l'accesso a Internet, alla posta elettronica e ai servizi web. Gli utenti con privilegi utilizzano ambienti operativi privilegiati e non privilegiati separati. Gli ambienti operativi privilegiati non sono virtualizzati all'interno di ambienti operativi non privilegiati. Gli account senza privilegi non possono accedere ad ambienti operativi privilegiati. Gli account con privilegi (esclusi gli account amministratore locali) non possono accedere ad ambienti operativi non privilegiati. Viene utilizzata l'amministrazione just-in-time per amministrare sistemi e applicazioni. Le attività amministrative sono condotte tramite jump server. Le credenziali degli account amministratore locali e degli account di servizio sono lunghe, univoche, imprevedibili e gestite. Windows Defender Credential Guard e Windows Defender Remote Credential Guard sono abilitati. Gli eventi di accesso con privilegi vengono registrati in maniera centralizzata. Gli eventi di gestione degli account e dei gruppi con privilegi vengono registrati centralmente. I log degli eventi sono protetti da modifiche ed eliminazioni non autorizzate. I log degli eventi vengono monitorati per individuare i segni di compromissione e, in tal caso, vengono intraprese le opportune azioni.	Risposta di Atlassian Atlassian applica restrizioni sul personale che ha necessità di effettuare l'accesso per il proprio ruolo e le proprie responsabilità lavorative. Tutti i sistemi di livello 1 sono gestiti tramite una soluzione centralizzata di Single Sing-On (SSO) e directory Atlassian. Agli utenti vengono concessi i diritti di accesso appropriati in base a questi profili, gestiti tramite il flusso di lavoro del nostro sistema di gestione delle risorse umane. Atlassian utilizza l'autenticazione a più fattori per accedere a tutti i sistemi di primo livello. Abbiamo abilitato l'autenticazione a due fattori per la console di gestione dell'hypervisor, l'API AWS e un report di audit giornaliero su tutti gli accessi alle funzioni di gestione dell'hypervisor. Gli elenchi di accesso alla console di gestione degli hypervisor e all'API AWS vengono esaminati trimestralmente. Effettuiamo anche una sincronizzazione di 8 ore tra il sistema delle risorse umane e l'archivio delle identità. Nel nostro processo di revisione dei diritti per i servizi critici ci affidiamo a un ciclo di revisione due volte all'anno. Per gli account utente aziendali interni, viene eseguita regolarmente la convalida degli accessi degli utenti con i proprietari del sistema.
Patch dei sistemi operativi	Livello di maturità uno Un metodo automatizzato di rilevamento degli asset viene utilizzato almeno ogni due settimane per supportare il rilevamento degli asset per le successive attività di scansione delle vulnerabilità. Per le attività di scansione delle vulnerabilità viene utilizzato uno scanner di vulnerabilità con un database delle vulnerabilità aggiornato. Viene utilizzato almeno quotidianamente uno scanner di vulnerabilità per identificare le patch o gli aggiornamenti mancanti per rimuovere le vulnerabilità nei sistemi operativi dei servizi connessi a Internet. Viene utilizzato almeno ogni due settimane no scanner di vulnerabilità per identificare le patch o gli aggiornamenti mancanti per rimuovere le vulnerabilità nei sistemi operativi di workstation, server e dispositivi di rete. Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per gestire le vulnerabilità nei sistemi operativi dei servizi connessi a Internet vengono applicati entro due settimane dal rilascio o entro 48 ore in caso di exploit. Le patch, gli aggiornamenti o le mitigazioni di altri fornitori per gestire le vulnerabilità nei sistemi operativi di workstation, server e dispositivi di rete vengono applicati entro un mese dal rilascio. I sistemi operativi che non sono più supportati dai fornitori vengono sostituiti.	Livello di maturità due Un metodo automatizzato di rilevamento degli asset viene utilizzato almeno ogni due settimane per supportare il rilevamento degli asset per le successive attività di scansione delle vulnerabilità. Per le attività di scansione delle vulnerabilità viene utilizzato uno scanner di vulnerabilità con un database delle vulnerabilità aggiornato. Viene utilizzato almeno quotidianamente uno scanner di vulnerabilità per identificare le patch o gli aggiornamenti mancanti per rimuovere le vulnerabilità nei sistemi operativi dei servizi connessi a Internet. Viene utilizzato almeno una volta alla settimana uno scanner di vulnerabilità per identificare le patch o gli aggiornamenti mancanti per rimuovere le vulnerabilità nei sistemi operativi di workstation, server e dispositivi di rete. Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per gestire le vulnerabilità nei sistemi operativi dei servizi connessi a Internet vengono applicati entro due settimane dal rilascio o entro 48 ore in caso di exploit. Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per gestire le vulnerabilità nei sistemi operativi di workstation, server e dispositivi di rete vengono applicati entro due settimane dal rilascio. I sistemi operativi che non sono più supportati dai fornitori vengono sostituiti.	Livello di maturità tre Un metodo automatizzato di rilevamento degli asset viene utilizzato almeno ogni due settimane per supportare il rilevamento degli asset per le successive attività di scansione delle vulnerabilità. Per le attività di scansione delle vulnerabilità viene utilizzato uno scanner di vulnerabilità con un database delle vulnerabilità aggiornato. Viene utilizzato almeno quotidianamente uno scanner di vulnerabilità per identificare le patch o gli aggiornamenti mancanti per rimuovere le vulnerabilità nei sistemi operativi dei servizi connessi a Internet. Viene utilizzato almeno una volta alla settimana uno scanner di vulnerabilità per identificare le patch o gli aggiornamenti mancanti per rimuovere le vulnerabilità nei sistemi operativi di workstation, server e dispositivi di rete. Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per gestire le vulnerabilità nei sistemi operativi dei servizi connessi a Internet vengono applicati entro due settimane dal rilascio o entro 48 ore in caso di exploit. Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per gestire le vulnerabilità nei sistemi operativi di workstation, server e dispositivi di rete vengono applicati entro due settimane dal rilascio o entro 48 ore in caso di exploit. Viene utilizzata l'ultima versione (o la versione precedente) dei sistemi operativi. I sistemi operativi che non sono più supportati dai fornitori vengono sostituiti.	Risposta di Atlassian Per tutte le nostre offerte di prodotti e servizi, disponiamo di un processo completo di correzione dei bug (attraverso il nostro prodotto Jira, che acquisisce i ticket e ci aiuta a gestire le richieste di risoluzione). Alla base di questo ci sono numerose policy di correzione dei bug di sicurezza, servizi di consulenza e SLO a cui aderiamo. Riceviamo le segnalazioni dei bug tramite il nostro canale di assistenza, il nostro programma Bug Bounty e security@atlassian.com. Ulteriori informazioni sono disponibili nella sezione del nostro Trust Center dedicata agli SLO per la correzione dei bug di sicurezza. Nel Trust Center sono disponibili anche ulteriori informazioni sul nostro approccio ai test di sicurezza all'indirizzo: Approccio ai test di sicurezza esterni Il team di sicurezza di Atlassian utilizza diversi metodi per rilevare le vulnerabilità nell'infrastruttura interna ed esterna. I ticket Jira vengono creati per finalità di monitoraggio e correzione, e le date di scadenza sono assegnate in conformità al nostro SLO in base sia alla gravità che all'origine della vulnerabilità. Disponiamo di un processo continuo che ci consente di inviare ticket per le vulnerabilità identificate ai responsabili dei sistemi e il nostro team di gestione della sicurezza esamina tutte le vulnerabilità segnalate e garantisce che vengano intraprese le opportune contromisure.
Autenticazione a più fattori	Livello di maturità uno L'autenticazione a più fattori viene utilizzata dagli utenti di un'organizzazione quando si autenticano ai servizi connessi a Internet dell'organizzazione. L'autenticazione a più fattori viene utilizzata dagli utenti di un'organizzazione quando si autenticano a servizi di terze parti connessi a Internet che elaborano, archiviano o comunicano dati sensibili dell'organizzazione. L'autenticazione a più fattori (se disponibile) viene utilizzata dagli utenti di un'organizzazione quando si autenticano a servizi di terze parti connessi a Internet che elaborano, archiviano o comunicano dati non sensibili dell'organizzazione. L'autenticazione a più fattori è abilitata per impostazione predefinita per gli utenti non organizzativi di un'organizzazione (sebbene possano scegliere di disattivarla) quando si autenticano ai servizi connessi a Internet dell'organizzazione.	Livello di maturità due L'autenticazione a più fattori viene utilizzata dagli utenti di un'organizzazione quando si autenticano ai servizi connessi a Internet dell'organizzazione. L'autenticazione a più fattori viene utilizzata dagli utenti di un'organizzazione quando si autenticano a servizi di terze parti connessi a Internet che elaborano, archiviano o comunicano dati sensibili dell'organizzazione. L'autenticazione a più fattori (se disponibile) viene utilizzata dagli utenti di un'organizzazione quando si autenticano a servizi di terze parti connessi a Internet che elaborano, archiviano o comunicano dati non sensibili dell'organizzazione. L'autenticazione a più fattori è abilitata per impostazione predefinita per gli utenti non organizzativi di un'organizzazione (sebbene possano scegliere di disattivarla) quando si autenticano ai servizi connessi a Internet dell'organizzazione. L'autenticazione a più fattori viene utilizzata per autenticare gli utenti con privilegi dei sistemi. L'autenticazione a più fattori utilizza: qualcosa che gli utenti hanno e qualcosa che gli utenti sanno, oppure qualcosa che gli utenti hanno che viene sbloccato da qualcosa che gli utenti sanno o sono. Sia gli eventi di autenticazione a più fattori riusciti sia quelli non riusciti vengono registrati.	Livello di maturità tre L'autenticazione a più fattori viene utilizzata dagli utenti di un'organizzazione quando si autenticano ai servizi connessi a Internet dell'organizzazione. L'autenticazione a più fattori viene utilizzata dagli utenti di un'organizzazione quando si autenticano a servizi di terze parti connessi a Internet che elaborano, archiviano o comunicano dati sensibili dell'organizzazione. L'autenticazione a più fattori (se disponibile) viene utilizzata dagli utenti di un'organizzazione quando si autenticano a servizi di terze parti connessi a Internet che elaborano, archiviano o comunicano dati non sensibili dell'organizzazione. L'autenticazione a più fattori è abilitata per impostazione predefinita per gli utenti non organizzativi di un'organizzazione (sebbene possano scegliere di disattivarla) quando si autenticano ai servizi connessi a Internet dell'organizzazione. L'autenticazione a più fattori viene utilizzata per autenticare gli utenti con privilegi dei sistemi. L'autenticazione a più fattori viene utilizzata per autenticare gli utenti di importanti repository di dati. L'autenticazione a più fattori serve per contrastare il phishing e utilizza: qualcosa che gli utenti hanno e qualcosa che gli utenti sanno, oppure qualcosa che gli utenti hanno che viene sbloccato da qualcosa che gli utenti conoscono o sono. Sia gli eventi di autenticazione a più fattori riusciti sia quelli non riusciti vengono registrati in maniera centralizzata. I log degli eventi sono protetti da modifiche ed eliminazioni non autorizzate. I log degli eventi vengono monitorati per individuare i segni di compromissione e, in tal caso, vengono intraprese le opportune azioni.	Risposta di Atlassian Per quanto riguarda Confluence e Jira, l'autenticazione a più fattori è disponibile per i singoli account. Per ulteriori informazioni su come abilitare l'autenticazione a più fattori, consulta: Applicare la verifica in due passaggi BBC supporta la verifica in due passaggi a partire da febbraio 2022 e, in generale, è integrata con Atlassian Access e supporta funzionalità aggiuntive offerte tramite Access. L'autenticazione a più fattori applicata può essere impostata a livello di organizzazione con Atlassian Access. Per ulteriori informazioni, consulta: Applicare la verifica in due passaggi Per quanto riguarda prodotti specifici, Bitbucket supporta l'utilizzo di opzioni SSO (Single Sign-On) basate su autenticazione a più fattori. Per ulteriori informazioni, consulta: Applicare la verifica in due passaggi \| Bitbucket Cloud Halp utilizza l'SSO tramite Slack OAuth e MS Teams. Slack e MS Teams offrono diverse opzioni di autenticazione a più fattori. Per ulteriori informazioni, consulta: Single Sign-On SAML e Azure AD Connect: Single Sign-On senza interruzioni Opsgenie supporta l'utilizzo di opzioni SSO basate sull'autenticazione a più fattori. Per ulteriori informazioni, consulta: Configurare l'SSO per Opsgenie. Statuspage supporta l'utilizzo di opzioni SSO basate sull'autenticazione a più fattori. Trello supporta l'autenticazione a più fattori. Per ulteriori informazioni su come abilitare l'autenticazione a più fattori, consulta: Abilitazione dell'autenticazione a due fattori per il tuo account Trello Jira Align supporta l'utilizzo di opzioni SSO basate sull'autenticazione a più fattori.
Backup regolari	Livello di maturità uno I backup di dati, software e impostazioni di configurazione importanti vengono eseguiti e conservati con una frequenza e un periodo di conservazione conformi ai requisiti di continuità aziendale. I backup di dati importanti, software e impostazioni di configurazione sono sincronizzati per consentire il ripristino a un punto temporale comune. I backup di dati, software e impostazioni di configurazione importanti vengono conservati in modo sicuro e resiliente. Il ripristino di dati, software e impostazioni di configurazione importanti dai backup a un punto temporale comune viene testato durante le esercitazioni di ripristino di emergenza. Gli account senza privilegi non possono accedere ai backup appartenenti ad altri account. Agli account senza privilegi è impedito di modificare ed eliminare i backup.	Livello di maturità due I backup di dati, software e impostazioni di configurazione importanti vengono eseguiti e conservati con una frequenza e un periodo di conservazione conformi ai requisiti di continuità aziendale. I backup di dati importanti, software e impostazioni di configurazione sono sincronizzati per consentire il ripristino a un punto temporale comune. I backup di dati, software e impostazioni di configurazione importanti vengono conservati in modo sicuro e resiliente. Il ripristino di dati, software e impostazioni di configurazione importanti dai backup a un punto temporale comune viene testato durante le esercitazioni di ripristino di emergenza. Gli account senza privilegi non possono accedere ai backup appartenenti ad altri account. Gli account con privilegi (esclusi gli account degli amministratori di backup) non possono accedere ai backup appartenenti ad altri account. Agli account senza privilegi è impedito di modificare ed eliminare i backup. Agli account con privilegi (esclusi gli account degli amministratori di backup) è impedito di modificare ed eliminare i backup.	Livello di maturità tre I backup di dati, software e impostazioni di configurazione importanti vengono eseguiti e conservati con una frequenza e un periodo di conservazione conformi ai requisiti di continuità aziendale. I backup di dati importanti, software e impostazioni di configurazione sono sincronizzati per consentire il ripristino a un punto temporale comune. I backup di dati, software e impostazioni di configurazione importanti vengono conservati in modo sicuro e resiliente. Il ripristino di dati, software e impostazioni di configurazione importanti dai backup a un punto temporale comune viene testato durante le esercitazioni di ripristino di emergenza. Gli account senza privilegi non possono accedere ai backup appartenenti ad altri account, né al proprio account. Gli account con privilegi (esclusi gli account degli amministratori di backup) non possono accedere ai backup appartenenti ad altri account, né ai propri account. Agli account senza privilegi è impedito di modificare ed eliminare i backup. Agli account con privilegi (inclusi gli account degli amministratori di backup) è impedito di modificare ed eliminare i backup durante il periodo di conservazione.	Risposta di Atlassian Atlassian applica uno standard di conservazione e distruzione dei dati che indica per quanto tempo è tenuta a conservare dati di diversi tipi. I dati sono classificati in linea con la policy sulla sicurezza dei dati e la gestione del ciclo di vita delle informazioni di Atlassian e i controlli sono implementati in base a quanto previsto da tale policy. Per quanto riguarda i dati dei clienti, al momento della cessazione di un contratto Atlassian, i dati appartenenti a un team addetto ai clienti saranno rimossi dal database di produzione in tempo reale e tutti gli allegati caricati direttamente su Atlassian saranno rimossi entro 14 giorni. I dati del team rimarranno nei backup crittografati fino alla scadenza della finestra di conservazione dei backup di 60 giorni e saranno distrutti in conformità alla policy di conservazione dei dati di Atlassian. Qualora sia necessario eseguire il ripristino del database entro 60 giorni dalla richiesta di eliminazione dei dati, il team delle operazioni provvederà a eliminare di nuovo i dati non appena ragionevolmente possibile dopo il ripristino completo del sistema di produzione live. Per ulteriori informazioni, consulta: Monitoraggio dell'archiviazione e spostamento dei dati tra prodotti

Controllo delle applicazioni

Livello di maturità uno

L'esecuzione di eseguibili, librerie software, script, programmi di installazione, codice HTML compilato, applicazioni HTML e applet del pannello di controllo è impedita sulle workstation dall'interno dei profili utente standard e delle cartelle temporanee utilizzate dal sistema operativo, dai browser web e dai client e-mail.

Livello di maturità due

Il controllo delle applicazioni è implementato su workstation e server con connessione a Internet.
Il controllo delle applicazioni limita l'esecuzione di eseguibili, librerie software, script, programmi di installazione, codice HTML compilato, applicazioni HTML e applet del pannello di controllo a un set approvato dall'organizzazione.
Gli eventi di esecuzione consentiti e bloccati sulle workstation e sui server con connessione a Internet vengono registrati.

Livello di maturità tre

Il controllo delle applicazioni è implementato su workstation e server.
Il controllo delle applicazioni limita l'esecuzione di eseguibili, librerie software, script, programmi di installazione, codice HTML compilato, applicazioni HTML, applet e driver del pannello di controllo a un set approvato dall'organizzazione.
Vengono implementate le "regole di blocco consigliate" di Microsoft. Le regole consigliate per il blocco dei driver» di Microsoft sono implementate.
I set di regole di controllo delle applicazioni vengono convalidati ogni anno o con una frequenza maggiore.
Gli eventi di esecuzione consentiti e bloccati su workstation e server vengono registrati centralmente.
I log degli eventi sono protetti da modifiche ed eliminazioni non autorizzate. I log degli eventi vengono monitorati per individuare i segni di compromissione e, in tal caso, vengono intraprese le opportune azioni.

Risposta di Atlassian

L'uso di programmi di utilità nell'ambiente di produzione è limitato e controllato. Tutti i server sono configurati utilizzando il nostro sistema di configurazione puppet centralizzato in base al nostro ambiente operativo standard, inclusa la rimozione di determinati pacchetti dall'immagine predefinita e gli aggiornamenti dei pacchetti critici. Tutti i ruoli del server sono configurati per impostazione predefinita sul rifiuto di tutte le richieste di rete in entrata, con porte selezionate aperte solo agli altri ruoli del server che richiedono l'accesso a tali porte per poter svolgere la loro funzione. La rete aziendale di Atlassian è separata dalla rete di produzione e alle immagini delle macchine è applicata la protezione avanzata per consentire solo le porte e i protocolli necessari. Tutti i sistemi di produzione sono attualmente ospitati nelle regioni degli Stati Uniti del nostro provider di servizi cloud. Tutti i dati in transito al di fuori delle reti cloud private virtuali (VPC) con protezione avanzata sono crittografati su canali standard del settore.
Inoltre, su tutti i server di produzione è presente un sistema IDS, che include il monitoraggio e la creazione di avvisi in tempo reale sulle modifiche apportate ai file o alla configurazione del sistema di produzione e sugli eventi di sicurezza anomali.

Applicazione di patch

Livello di maturità uno

Un metodo automatizzato di rilevamento degli asset viene utilizzato almeno ogni due settimane per supportare il rilevamento degli asset per le successive attività di scansione delle vulnerabilità.
Per le attività di scansione delle vulnerabilità viene utilizzato uno scanner di vulnerabilità con un database delle vulnerabilità aggiornato. Uno scanner di vulnerabilità viene utilizzato almeno quotidianamente per identificare le patch mancanti o gli per rimuovere le vulnerabilità nei servizi connessi a Internet.
Uno scanner di vulnerabilità viene utilizzato almeno ogni due settimane per identificare le patch mancanti o gli aggiornamenti per rimuovere le vulnerabilità in suite di produttività per ufficio, browser web e relative estensioni, client e-mail, software PDF e prodotti di sicurezza.
Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità nei servizi connessi a Internet vengono applicati entro due settimane dal rilascio o entro 48 ore qualora vengano rilevati exploit.
Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità in suite di produttività per ufficio, browser web e relative estensioni, client e-mail, software PDF e prodotti di sicurezza vengono applicati entro un mese dal rilascio.
I servizi connessi a Internet, le suite di produttività per ufficio, i browser web e le relative estensioni, i client e-mail, il software PDF, Adobe Flash Player e i prodotti di sicurezza che non sono più supportati dai fornitori vengono rimossi.

Livello di maturità due

Un metodo automatizzato di rilevamento degli asset viene utilizzato almeno ogni due settimane per supportare il rilevamento degli asset per le successive attività di scansione delle vulnerabilità.
Per le attività di scansione delle vulnerabilità viene utilizzato uno scanner di vulnerabilità con un database delle vulnerabilità aggiornato.
Uno scanner di vulnerabilità viene utilizzato almeno quotidianamente per identificare le patch mancanti o gli per rimuovere le vulnerabilità nei servizi connessi a Internet.
Uno scanner di vulnerabilità viene utilizzato almeno ogni settimana per identificare le patch mancanti o gli aggiornamenti per rimuovere le vulnerabilità in suite di produttività per ufficio, browser web e relative estensioni, client e-mail, software PDF e prodotti di sicurezza.
Uno scanner di vulnerabilità viene utilizzato almeno ogni due settimane per identificare le patch mancanti o gli aggiornamenti per rimuovere le vulnerabilità in altre applicazioni.
Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità nei servizi connessi a Internet vengono applicati entro due settimane dal rilascio o entro 48 ore qualora vengano rilevati exploit.
Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità in suite di produttività per ufficio, browser web e relative estensioni, client e-mail, software PDF e prodotti di sicurezza vengono applicati entro due settimane dal rilascio.
Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità in altre applicazioni vengono applicate entro un mese dal rilascio.
I servizi connessi a Internet, le suite di produttività per ufficio, i browser web e le relative estensioni, i client e-mail, il software PDF, Adobe Flash Player e i prodotti di sicurezza che non sono più supportati dai fornitori vengono rimossi.

Livello di maturità tre

Un metodo automatizzato di rilevamento degli asset viene utilizzato almeno ogni due settimane per supportare il rilevamento degli asset per le successive attività di scansione delle vulnerabilità.
Per le attività di scansione delle vulnerabilità viene utilizzato uno scanner di vulnerabilità con un database delle vulnerabilità aggiornato.
Uno scanner di vulnerabilità viene utilizzato almeno quotidianamente per identificare le patch mancanti o gli per rimuovere le vulnerabilità nei servizi connessi a Internet.
Uno scanner di vulnerabilità viene utilizzato almeno ogni settimana per identificare le patch mancanti o gli aggiornamenti per rimuovere le vulnerabilità in suite di produttività per ufficio, browser web e relative estensioni, client e-mail, software PDF e prodotti di sicurezza.
Uno scanner di vulnerabilità viene utilizzato almeno ogni due settimane per identificare le patch mancanti o gli aggiornamenti per rimuovere le vulnerabilità in altre applicazioni.
Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità nei servizi connessi a Internet vengono applicati entro due settimane dal rilascio o entro 48 ore qualora vengano rilevati exploit.
Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità in suite di produttività per ufficio, browser web e relative estensioni, client e-mail, software PDF e prodotti di sicurezza vengono applicati entro due settimane dal rilascio o entro 48 ore qualora venga rilevato un exploit.
Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per rimuovere le vulnerabilità in altre applicazioni vengono applicate entro un mese dal rilascio.
Le applicazioni che non sono più supportate dai fornitori vengono rimosse.

Risposta di Atlassian

Per tutte le nostre offerte di prodotti e servizi, disponiamo di un processo completo di correzione dei bug (attraverso il nostro prodotto Jira, che acquisisce i ticket e ci aiuta a gestire le richieste di risoluzione). Alla base di questo ci sono numerose policy di correzione dei bug di sicurezza, servizi di consulenza e SLO a cui aderiamo. Riceviamo le segnalazioni dei bug tramite il nostro canale di assistenza, il nostro programma Bug Bounty e security@atlassian.com. Ulteriori informazioni sono disponibili nella sezione del nostro Trust Center dedicata agli SLO per la correzione dei bug di sicurezza.

Nel Trust Center sono disponibili anche ulteriori informazioni sul nostro approccio ai test di sicurezza all'indirizzo: Approccio ai test di sicurezza esterni

Il team di sicurezza di Atlassian utilizza diversi metodi per rilevare le vulnerabilità nell'infrastruttura interna ed esterna. I ticket Jira vengono creati per finalità di monitoraggio e correzione, e le date di scadenza sono assegnate in conformità al nostro SLO in base sia alla gravità che all'origine della vulnerabilità. Disponiamo di un processo continuo che ci consente di inviare ticket per le vulnerabilità identificate ai responsabili dei sistemi e il nostro team di gestione della sicurezza esamina tutte le vulnerabilità segnalate e garantisce che vengano intraprese le opportune contromisure.

Configurazione delle impostazioni macro di Microsoft Office

Livello di maturità uno

Le macro di Microsoft Office sono disabilitate per gli utenti che non hanno una necessità aziendale dimostrata.
Le macro di Microsoft Office presenti nei file provenienti da Internet sono bloccate.
La scansione antivirus delle macro di Microsoft Office è abilitata.
Le impostazioni di sicurezza delle macro di Microsoft Office non possono essere modificate dagli utenti.

Livello di maturità due

Le macro di Microsoft Office sono disabilitate per gli utenti che non hanno una necessità aziendale dimostrata.
Le macro di Microsoft Office presenti nei file provenienti da Internet sono bloccate. La scansione antivirus delle macro di Microsoft Office è abilitata.
Alle macro di Microsoft Office è impedito di effettuare chiamate API Win32.
Le impostazioni di sicurezza delle macro di Microsoft Office non possono essere modificate dagli utenti.
Gli eventi di esecuzione di macro di Microsoft Office consentiti e bloccati vengono registrati.

Livello di maturità tre

Le macro di Microsoft Office sono disabilitate per gli utenti che non hanno una necessità aziendale dimostrata.
È consentita l'esecuzione delle sole macro Microsoft Office in un ambiente sandbox, in un percorso attendibile o con firma digitale da un editore attendibile.
Solo gli utenti con privilegi che hanno la responsabilità di verificare che le macro di Microsoft Office siano prive di codice dannoso possono scrivere e modificare i contenuti all'interno dei percorsi attendibili.
Le macro di Microsoft Office firmate digitalmente da un editore non attendibile non possono essere abilitate tramite la barra dei messaggi o la visualizzazione Backstage.
L'elenco degli editori attendibili di Microsoft Office viene convalidato ogni anno o con una frequenza maggiore.
Le macro di Microsoft Office presenti nei file provenienti da Internet sono bloccate.
La scansione antivirus delle macro di Microsoft Office è abilitata.
Alle macro di Microsoft Office è impedito di effettuare chiamate API Win32.
Le impostazioni di sicurezza delle macro di Microsoft Office non possono essere modificate dagli utenti.
Gli eventi di esecuzione di macro di Microsoft Office consentiti e bloccati vengono registrati centralmente.
I log degli eventi sono protetti da modifiche ed eliminazioni non autorizzate.
I log degli eventi vengono monitorati per individuare i segni di compromissione e, in tal caso, vengono intraprese le opportune azioni.

Risposta di Atlassian

Atlassian lavora con subappaltatori di terzi per fornire servizi come siti web, sviluppo di applicazioni, hosting, manutenzione, backup, archiviazione, infrastruttura virtuale, elaborazione dei pagamenti e analisi. Questi fornitori di servizi possono avere accesso alle informazioni personali identificabili (PII) o elaborarle per svolgere la propria attività. Atlassian comunica ai clienti pertinenti qualsiasi utilizzo di subappaltatori che possano elaborare le loro PII, tramite notifica, prima che avvenga l'elaborazione. Un elenco esterno di subappaltatori con cui collabora Atlassian è fornito nella pagina relativa all'elenco dei sub-responsabili del trattamento dei dati di Atlassian. In questa pagina, i visitatori sono invitati a iscriversi a un feed RSS per ricevere una notifica quando aggiungiamo nuovi sub-responsabili del trattamento Atlassian.

Abbiamo implementato una soluzione di gestione centralizzata del sistema (Gestione dei dispositivi mobili) per la nostra flotta di portatili Mac.
Abbiamo implementato una soluzione di gestione dei dispositivi mobili per i nostri endpoint e smartphone Windows (VMware Workplace ONE).

Protezione avanzata delle applicazioni utente

Livello di maturità uno

I browser web non elaborano Java da internet.
I browser web non elaborano annunci pubblicitari web di Internet.
Internet Explorer 11 non elabora i contenuti di Internet.
Le impostazioni di sicurezza del browser web non possono essere modificate dagli utenti.

Livello di maturità due

I browser web non elaborano Java da internet.
I browser web non elaborano annunci pubblicitari web di Internet.
Internet Explorer 11 non elabora i contenuti di Internet.
Sono state implementate le linee guida sulla protezione avanzata di ACSC e vendor per i browser web.
Le impostazioni di sicurezza del browser web non possono essere modificate dagli utenti.
A Microsoft Office è impedito di creare processi subordinati.
A Microsoft Office è impedito di creare contenuti eseguibili.
A Microsoft Office è impedito di inserire codice in altri processi.
Microsoft Office è configurato in modo tale da impedire l'attivazione dei pacchetti OLE.
Sono state implementate le linee guida sulla protezione avanzata di ACSC e fornitori per i Microsoft Office.
Le impostazioni di sicurezza di Microsoft Office non possono essere modificate dagli utenti.
Al software PDF è impedito di creare processi subordinati.
Sono state implementate le linee guida sulla protezione avanzata di ACSC e fornitori per il software PDF.
Le impostazioni di sicurezza del software PDF non possono essere modificate dagli utenti.
Gli eventi di esecuzione degli script PowerShell bloccati vengono registrati.

Livello di maturità tre

I browser web non elaborano Java da internet.
I browser web non elaborano annunci pubblicitari web di Internet.
Internet Explorer 11 è stato disabilitato o rimosso.
Sono state implementate le linee guida sulla protezione avanzata di ACSC e vendor per i browser web.
Le impostazioni di sicurezza del browser web non possono essere modificate dagli utenti.
A Microsoft Office è impedito di creare processi subordinati.
A Microsoft Office è impedito di creare contenuti eseguibili.
A Microsoft Office è impedito di inserire codice in altri processi.
Microsoft Office è configurato in modo tale da impedire l'attivazione dei pacchetti OLE.
Sono state implementate le linee guida sulla protezione avanzata di ACSC e fornitori per i Microsoft Office.
Le impostazioni di sicurezza di Microsoft Office non possono essere modificate dagli utenti.
Al software PDF è impedito di creare processi subordinati.
Sono state implementate le linee guida sulla protezione avanzata di ACSC e fornitori per il software PDF.
Le impostazioni di sicurezza del software PDF non possono essere modificate dagli utenti.
.NET Framework 3.5 (include .NET 2.0 e 3.0) è stato disabilitato o rimosso.
Windows PowerShell 2.0 è stato disabilitato o rimosso.
PowerShell è configurato in modo tale da utilizzare la modalità Linguaggio vincolato.
Gli eventi di esecuzione degli script PowerShell bloccati vengono registrati in maniera centralizzata.
I log degli eventi sono protetti da modifiche ed eliminazioni non autorizzate.
I log degli eventi vengono monitorati per individuare i segni di compromissione e, in tal caso, vengono intraprese le opportune azioni.

Risposta di Atlassian

Le build di immagini del sistema operativo di base dell'AMI AWS Linux hanno porte, protocolli e servizi limitati. Confrontiamo le nostre build con la versione dell'AMI attuale per garantire le impostazioni appropriate.
Le nostre immagini Docker sono gestite in un ambiente di modifica strettamente controllato per garantire la revisione e l'approvazione appropriate di tutte le modifiche.

Sebbene i nostri endpoint siano dotati di una protezione avanzata per proteggere i nostri utenti, non limitiamo l'accesso alle porte hardware.

Utilizziamo un prodotto proxy HTTP di terze parti per il nostro edge pubblico Jira/Confluence e su di esso abbiamo implementato le regole di sicurezza HTTP L7 (alcuni lo chiamano WAF, la funzionalità è fondamentalmente la stessa).

Limitazione dei privilegi amministrativi

Livello di maturità uno

Le richieste di accesso con privilegi a sistemi e applicazioni vengono convalidate alla prima richiesta.
Agli account con privilegi (esclusi gli account di servizio con privilegi) viene impedito l'accesso a Internet, alla posta elettronica e ai servizi web.
Gli utenti con privilegi utilizzano ambienti operativi privilegiati e non privilegiati separati.
Gli account senza privilegi non possono accedere ad ambienti operativi privilegiati.
Gli account con privilegi (esclusi gli account amministratore locali) non possono accedere ad ambienti operativi non privilegiati.

Livello di maturità due

Le richieste di accesso con privilegi a sistemi e applicazioni vengono convalidate alla prima richiesta.
L'accesso con privilegi ai sistemi e alle applicazioni viene disabilitato automaticamente dopo 12 mesi, a meno che non venga riconvalidato.
L'accesso con privilegi ai sistemi e alle applicazioni viene disabilitato automaticamente dopo 45 giorni di inattività.
Agli account con privilegi (esclusi gli account di servizio con privilegi) viene impedito l'accesso a Internet, alla posta elettronica e ai servizi web.
Gli utenti con privilegi utilizzano ambienti operativi privilegiati e non privilegiati separati.
Gli ambienti operativi privilegiati non sono virtualizzati all'interno di ambienti operativi non privilegiati.
Gli account senza privilegi non possono accedere ad ambienti operativi privilegiati.
Gli account con privilegi (esclusi gli account amministratore locali) non possono accedere ad ambienti operativi non privilegiati.
Le attività amministrative sono condotte tramite jump server.
Le credenziali degli account amministratore locali e degli account di servizio sono lunghe, univoche, imprevedibili e gestite.
Gli eventi di accesso con privilegi vengono registrati.
Gli eventi di gestione degli account e dei gruppi con privilegi vengono registrati.

Livello di maturità tre

Le richieste di accesso con privilegi a sistemi e applicazioni vengono convalidate alla prima richiesta.
L'accesso con privilegi ai sistemi e alle applicazioni viene disabilitato automaticamente dopo 12 mesi, a meno che non venga riconvalidato.
L'accesso con privilegi ai sistemi e alle applicazioni viene disabilitato automaticamente dopo 45 giorni di inattività.
L'accesso con privilegi a sistemi e applicazioni è limitato solo alle esigenze specifiche degli utenti e ai servizi necessari per svolgere i loro compiti.
Agli account con privilegi viene impedito l'accesso a Internet, alla posta elettronica e ai servizi web.
Gli utenti con privilegi utilizzano ambienti operativi privilegiati e non privilegiati separati.
Gli ambienti operativi privilegiati non sono virtualizzati all'interno di ambienti operativi non privilegiati.
Gli account senza privilegi non possono accedere ad ambienti operativi privilegiati.
Gli account con privilegi (esclusi gli account amministratore locali) non possono accedere ad ambienti operativi non privilegiati.
Viene utilizzata l'amministrazione just-in-time per amministrare sistemi e applicazioni.
Le attività amministrative sono condotte tramite jump server.
Le credenziali degli account amministratore locali e degli account di servizio sono lunghe, univoche, imprevedibili e gestite.
Windows Defender Credential Guard e Windows Defender Remote Credential Guard sono abilitati.
Gli eventi di accesso con privilegi vengono registrati in maniera centralizzata.
Gli eventi di gestione degli account e dei gruppi con privilegi vengono registrati centralmente.
I log degli eventi sono protetti da modifiche ed eliminazioni non autorizzate.
I log degli eventi vengono monitorati per individuare i segni di compromissione e, in tal caso, vengono intraprese le opportune azioni.

Risposta di Atlassian

Atlassian applica restrizioni sul personale che ha necessità di effettuare l'accesso per il proprio ruolo e le proprie responsabilità lavorative. Tutti i sistemi di livello 1 sono gestiti tramite una soluzione centralizzata di Single Sing-On (SSO) e directory Atlassian. Agli utenti vengono concessi i diritti di accesso appropriati in base a questi profili, gestiti tramite il flusso di lavoro del nostro sistema di gestione delle risorse umane. Atlassian utilizza l'autenticazione a più fattori per accedere a tutti i sistemi di primo livello. Abbiamo abilitato l'autenticazione a due fattori per la console di gestione dell'hypervisor, l'API AWS e un report di audit giornaliero su tutti gli accessi alle funzioni di gestione dell'hypervisor. Gli elenchi di accesso alla console di gestione degli hypervisor e all'API AWS vengono esaminati trimestralmente. Effettuiamo anche una sincronizzazione di 8 ore tra il sistema delle risorse umane e l'archivio delle identità.

Nel nostro processo di revisione dei diritti per i servizi critici ci affidiamo a un ciclo di revisione due volte all'anno. Per gli account utente aziendali interni, viene eseguita regolarmente la convalida degli accessi degli utenti con i proprietari del sistema.

Patch dei sistemi operativi

Livello di maturità uno

Un metodo automatizzato di rilevamento degli asset viene utilizzato almeno ogni due settimane per supportare il rilevamento degli asset per le successive attività di scansione delle vulnerabilità.
Per le attività di scansione delle vulnerabilità viene utilizzato uno scanner di vulnerabilità con un database delle vulnerabilità aggiornato.
Viene utilizzato almeno quotidianamente uno scanner di vulnerabilità per identificare le patch o gli aggiornamenti mancanti per rimuovere le vulnerabilità nei sistemi operativi dei servizi connessi a Internet.
Viene utilizzato almeno ogni due settimane no scanner di vulnerabilità per identificare le patch o gli aggiornamenti mancanti per rimuovere le vulnerabilità nei sistemi operativi di workstation, server e dispositivi di rete.
Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per gestire le vulnerabilità nei sistemi operativi dei servizi connessi a Internet vengono applicati entro due settimane dal rilascio o entro 48 ore in caso di exploit.
Le patch, gli aggiornamenti o le mitigazioni di altri fornitori per gestire le vulnerabilità nei sistemi operativi di workstation, server e dispositivi di rete vengono applicati entro un mese dal rilascio.
I sistemi operativi che non sono più supportati dai fornitori vengono sostituiti.

Livello di maturità due

Un metodo automatizzato di rilevamento degli asset viene utilizzato almeno ogni due settimane per supportare il rilevamento degli asset per le successive attività di scansione delle vulnerabilità.
Per le attività di scansione delle vulnerabilità viene utilizzato uno scanner di vulnerabilità con un database delle vulnerabilità aggiornato.
Viene utilizzato almeno quotidianamente uno scanner di vulnerabilità per identificare le patch o gli aggiornamenti mancanti per rimuovere le vulnerabilità nei sistemi operativi dei servizi connessi a Internet.
Viene utilizzato almeno una volta alla settimana uno scanner di vulnerabilità per identificare le patch o gli aggiornamenti mancanti per rimuovere le vulnerabilità nei sistemi operativi di workstation, server e dispositivi di rete.
Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per gestire le vulnerabilità nei sistemi operativi dei servizi connessi a Internet vengono applicati entro due settimane dal rilascio o entro 48 ore in caso di exploit.
Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per gestire le vulnerabilità nei sistemi operativi di workstation, server e dispositivi di rete vengono applicati entro due settimane dal rilascio.
I sistemi operativi che non sono più supportati dai fornitori vengono sostituiti.

Livello di maturità tre

Un metodo automatizzato di rilevamento degli asset viene utilizzato almeno ogni due settimane per supportare il rilevamento degli asset per le successive attività di scansione delle vulnerabilità.
Per le attività di scansione delle vulnerabilità viene utilizzato uno scanner di vulnerabilità con un database delle vulnerabilità aggiornato.
Viene utilizzato almeno quotidianamente uno scanner di vulnerabilità per identificare le patch o gli aggiornamenti mancanti per rimuovere le vulnerabilità nei sistemi operativi dei servizi connessi a Internet.
Viene utilizzato almeno una volta alla settimana uno scanner di vulnerabilità per identificare le patch o gli aggiornamenti mancanti per rimuovere le vulnerabilità nei sistemi operativi di workstation, server e dispositivi di rete.
Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per gestire le vulnerabilità nei sistemi operativi dei servizi connessi a Internet vengono applicati entro due settimane dal rilascio o entro 48 ore in caso di exploit.
Le patch, gli aggiornamenti o gli strumenti di mitigazione di altri fornitori per gestire le vulnerabilità nei sistemi operativi di workstation, server e dispositivi di rete vengono applicati entro due settimane dal rilascio o entro 48 ore in caso di exploit.
Viene utilizzata l'ultima versione (o la versione precedente) dei sistemi operativi. I sistemi operativi che non sono più supportati dai fornitori vengono sostituiti.

Risposta di Atlassian

Autenticazione a più fattori

Livello di maturità uno

L'autenticazione a più fattori viene utilizzata dagli utenti di un'organizzazione quando si autenticano ai servizi connessi a Internet dell'organizzazione.
L'autenticazione a più fattori viene utilizzata dagli utenti di un'organizzazione quando si autenticano a servizi di terze parti connessi a Internet che elaborano, archiviano o comunicano dati sensibili dell'organizzazione.
L'autenticazione a più fattori (se disponibile) viene utilizzata dagli utenti di un'organizzazione quando si autenticano a servizi di terze parti connessi a Internet che elaborano, archiviano o comunicano dati non sensibili dell'organizzazione.
L'autenticazione a più fattori è abilitata per impostazione predefinita per gli utenti non organizzativi di un'organizzazione (sebbene possano scegliere di disattivarla) quando si autenticano ai servizi connessi a Internet dell'organizzazione.

Livello di maturità due

L'autenticazione a più fattori viene utilizzata dagli utenti di un'organizzazione quando si autenticano ai servizi connessi a Internet dell'organizzazione.
L'autenticazione a più fattori viene utilizzata dagli utenti di un'organizzazione quando si autenticano a servizi di terze parti connessi a Internet che elaborano, archiviano o comunicano dati sensibili dell'organizzazione.
L'autenticazione a più fattori (se disponibile) viene utilizzata dagli utenti di un'organizzazione quando si autenticano a servizi di terze parti connessi a Internet che elaborano, archiviano o comunicano dati non sensibili dell'organizzazione.
L'autenticazione a più fattori è abilitata per impostazione predefinita per gli utenti non organizzativi di un'organizzazione (sebbene possano scegliere di disattivarla) quando si autenticano ai servizi connessi a Internet dell'organizzazione.
L'autenticazione a più fattori viene utilizzata per autenticare gli utenti con privilegi dei sistemi.
L'autenticazione a più fattori utilizza: qualcosa che gli utenti hanno e qualcosa che gli utenti sanno, oppure qualcosa che gli utenti hanno che viene sbloccato da qualcosa che gli utenti sanno o sono.
Sia gli eventi di autenticazione a più fattori riusciti sia quelli non riusciti vengono registrati.

Livello di maturità tre

L'autenticazione a più fattori viene utilizzata dagli utenti di un'organizzazione quando si autenticano ai servizi connessi a Internet dell'organizzazione.
L'autenticazione a più fattori viene utilizzata dagli utenti di un'organizzazione quando si autenticano a servizi di terze parti connessi a Internet che elaborano, archiviano o comunicano dati sensibili dell'organizzazione.
L'autenticazione a più fattori (se disponibile) viene utilizzata dagli utenti di un'organizzazione quando si autenticano a servizi di terze parti connessi a Internet che elaborano, archiviano o comunicano dati non sensibili dell'organizzazione.
L'autenticazione a più fattori è abilitata per impostazione predefinita per gli utenti non organizzativi di un'organizzazione (sebbene possano scegliere di disattivarla) quando si autenticano ai servizi connessi a Internet dell'organizzazione.
L'autenticazione a più fattori viene utilizzata per autenticare gli utenti con privilegi dei sistemi.
L'autenticazione a più fattori viene utilizzata per autenticare gli utenti di importanti repository di dati.
L'autenticazione a più fattori serve per contrastare il phishing e utilizza: qualcosa che gli utenti hanno e qualcosa che gli utenti sanno, oppure qualcosa che gli utenti hanno che viene sbloccato da qualcosa che gli utenti conoscono o sono.
Sia gli eventi di autenticazione a più fattori riusciti sia quelli non riusciti vengono registrati in maniera centralizzata.
I log degli eventi sono protetti da modifiche ed eliminazioni non autorizzate.
I log degli eventi vengono monitorati per individuare i segni di compromissione e, in tal caso, vengono intraprese le opportune azioni.

Risposta di Atlassian

Per quanto riguarda Confluence e Jira, l'autenticazione a più fattori è disponibile per i singoli account. Per ulteriori informazioni su come abilitare l'autenticazione a più fattori, consulta: Applicare la verifica in due passaggi

BBC supporta la verifica in due passaggi a partire da febbraio 2022 e, in generale, è integrata con Atlassian Access e supporta funzionalità aggiuntive offerte tramite Access. L'autenticazione a più fattori applicata può essere impostata a livello di organizzazione con Atlassian Access. Per ulteriori informazioni, consulta: Applicare la verifica in due passaggi

Per quanto riguarda prodotti specifici,

Bitbucket supporta l'utilizzo di opzioni SSO (Single Sign-On) basate su autenticazione a più fattori. Per ulteriori informazioni, consulta: Applicare la verifica in due passaggi | Bitbucket Cloud

Halp utilizza l'SSO tramite Slack OAuth e MS Teams. Slack e MS Teams offrono diverse opzioni di autenticazione a più fattori. Per ulteriori informazioni, consulta: Single Sign-On SAML e Azure AD Connect: Single Sign-On senza interruzioni

Opsgenie supporta l'utilizzo di opzioni SSO basate sull'autenticazione a più fattori. Per ulteriori informazioni, consulta: Configurare l'SSO per Opsgenie.

Statuspage supporta l'utilizzo di opzioni SSO basate sull'autenticazione a più fattori.

Trello supporta l'autenticazione a più fattori. Per ulteriori informazioni su come abilitare l'autenticazione a più fattori, consulta: Abilitazione dell'autenticazione a due fattori per il tuo account Trello

Jira Align supporta l'utilizzo di opzioni SSO basate sull'autenticazione a più fattori.

Backup regolari

Livello di maturità uno

I backup di dati, software e impostazioni di configurazione importanti vengono eseguiti e conservati con una frequenza e un periodo di conservazione conformi ai requisiti di continuità aziendale.
I backup di dati importanti, software e impostazioni di configurazione sono sincronizzati per consentire il ripristino a un punto temporale comune.
I backup di dati, software e impostazioni di configurazione importanti vengono conservati in modo sicuro e resiliente.
Il ripristino di dati, software e impostazioni di configurazione importanti dai backup a un punto temporale comune viene testato durante le esercitazioni di ripristino di emergenza.
Gli account senza privilegi non possono accedere ai backup appartenenti ad altri account.
Agli account senza privilegi è impedito di modificare ed eliminare i backup.

Livello di maturità due

I backup di dati, software e impostazioni di configurazione importanti vengono eseguiti e conservati con una frequenza e un periodo di conservazione conformi ai requisiti di continuità aziendale.
I backup di dati importanti, software e impostazioni di configurazione sono sincronizzati per consentire il ripristino a un punto temporale comune.
I backup di dati, software e impostazioni di configurazione importanti vengono conservati in modo sicuro e resiliente.
Il ripristino di dati, software e impostazioni di configurazione importanti dai backup a un punto temporale comune viene testato durante le esercitazioni di ripristino di emergenza.
Gli account senza privilegi non possono accedere ai backup appartenenti ad altri account.
Gli account con privilegi (esclusi gli account degli amministratori di backup) non possono accedere ai backup appartenenti ad altri account.
Agli account senza privilegi è impedito di modificare ed eliminare i backup.
Agli account con privilegi (esclusi gli account degli amministratori di backup) è impedito di modificare ed eliminare i backup.

Livello di maturità tre

I backup di dati, software e impostazioni di configurazione importanti vengono eseguiti e conservati con una frequenza e un periodo di conservazione conformi ai requisiti di continuità aziendale.
I backup di dati importanti, software e impostazioni di configurazione sono sincronizzati per consentire il ripristino a un punto temporale comune.
I backup di dati, software e impostazioni di configurazione importanti vengono conservati in modo sicuro e resiliente.
Il ripristino di dati, software e impostazioni di configurazione importanti dai backup a un punto temporale comune viene testato durante le esercitazioni di ripristino di emergenza.
Gli account senza privilegi non possono accedere ai backup appartenenti ad altri account, né al proprio account.
Gli account con privilegi (esclusi gli account degli amministratori di backup) non possono accedere ai backup appartenenti ad altri account, né ai propri account.
Agli account senza privilegi è impedito di modificare ed eliminare i backup. Agli account con privilegi (inclusi gli account degli amministratori di backup) è impedito di modificare ed eliminare i backup durante il periodo di conservazione.

Risposta di Atlassian

Atlassian applica uno standard di conservazione e distruzione dei dati che indica per quanto tempo è tenuta a conservare dati di diversi tipi. I dati sono classificati in linea con la policy sulla sicurezza dei dati e la gestione del ciclo di vita delle informazioni di Atlassian e i controlli sono implementati in base a quanto previsto da tale policy.
Per quanto riguarda i dati dei clienti, al momento della cessazione di un contratto Atlassian, i dati appartenenti a un team addetto ai clienti saranno rimossi dal database di produzione in tempo reale e tutti gli allegati caricati direttamente su Atlassian saranno rimossi entro 14 giorni. I dati del team rimarranno nei backup crittografati fino alla scadenza della finestra di conservazione dei backup di 60 giorni e saranno distrutti in conformità alla policy di conservazione dei dati di Atlassian. Qualora sia necessario eseguire il ripristino del database entro 60 giorni dalla richiesta di eliminazione dei dati, il team delle operazioni provvederà a eliminare di nuovo i dati non appena ragionevolmente possibile dopo il ripristino completo del sistema di produzione live. Per ulteriori informazioni, consulta: Monitoraggio dell'archiviazione e spostamento dei dati tra prodotti

In primo piano

Jira

Confluence

Jira Service Management

Trello

Rovo NUOVA

Jira Product Discovery NUOVA

Compass NUOVA

Guard NUOVA

Loom NUOVA

Sviluppatori

Jira

Bitbucket

Compass NUOVA

Product manager

Jira

Confluence

Jira Product Discovery NUOVA

Professionisti IT

Jira Service Management

Guard NUOVA

Team aziendali

Jira

Confluence

Trello

Loom NUOVA

Team dirigenziale

Jira

Confluence

Loom NUOVA

Jira Align

Team

Software

Marketing

IT

Soluzione

Per dimensione del team

Per settore

Perché Atlassian

Integrazioni

Clienti

FedRAMP

Resilienza

Piattaforma

Trust Center

Risorse

Assistenza clienti

Trova un Partner

Programma per la migrazione

Università

Supporto

impara

ACSC - Essential 8 Maturity Model - Revisione delle linee guida 2023

Strategie di mitigazione

Livello di maturità uno

Livello di maturità due

Livello di maturità tre

Risposta di Atlassian

Prodotti

Risorse

Impara