Applicatiebeheer | - De uitvoering van uitvoerbare bestanden, softwarebibliotheken, scripts, installatieprogramma's, gecompileerde HTML, HTML-toepassingen en applets in het bedieningspaneel wordt op werkstations voorkomen vanuit standaard gebruikersprofielen en tijdelijke mappen die worden gebruikt door het besturingssysteem, webbrowsers en e-mailclients.
| - Applicatiebeheer is geïmplementeerd op werkstations en servers met internettoegang.
- Applicatiebeheer beperkt de uitvoering van uitvoerbare bestanden, softwarebibliotheken, scripts, installatieprogramma's, gecompileerde HTML, HTML-toepassingen en applets in het bedieningspaneel tot een set die is goedgekeurd door de organisatie.
- Toegestane en geblokkeerde uitvoeringen op werkstations en servers met internettoegang zijn geregistreerd.
| - Applicatiebeheer is geïmplementeerd op werkstations en servers.
- Applicatiebeheer beperkt de uitvoering van uitvoerbare bestanden, softwarebibliotheken, scripts, installatieprogramma's, gecompileerde HTML, HTML-toepassingen, applets en stuurprogramma's voor het bedieningspaneel tot een set die is goedgekeurd door de organisatie.
- De 'aanbevolen blokkeringsregels' van Microsoft zijn geïmplementeerd. De 'aanbevolen blokkeringsregels voor stuurprogramma's' van Microsoft zijn geïmplementeerd.
- De regelsets voor applicatiebeheer worden jaarlijks of vaker gevalideerd.
- Toegestane en geblokkeerde uitvoeringen op werkstations en servers worden centraal geregistreerd.
- Gebeurtenislogs zijn beschermd tegen ongeoorloofde wijziging en verwijdering. Gebeurtenislogs worden gecontroleerd op tekenen van een compromis en er wordt actie ondernomen wanneer er tekenen van een compromis worden ontdekt.
| Het gebruik van hulpprogramma's in de productieomgeving is beperkt en gecontroleerd. Alle servers zijn geconfigureerd via ons gecentraliseerde puppetconfiguratiesysteem voor onze standaard besturingsomgeving, waaronder het verwijderen van bepaalde pakketten uit de standaardafbeelding en essentiële pakketupdates. Voor alle serverrollen geldt standaard 'alles afwijzen' voor binnenkomende netwerkaanvragen, waarbij bepaalde poorten alleen toegankelijk zijn voor de andere serverrollen die toegang nodig hebben tot die poort om te kunnen functioneren. Het bedrijfsnetwerk van Atlassian is gescheiden van ons productienetwerk en onze machine-images zijn gehard zodat alleen de noodzakelijke poorten en protocollen mogelijk zijn. Alle productiesystemen worden momenteel gehost in Amerikaanse regio's van onze cloudprovider. Alle gegevens die buiten geharde virtuele privécloudnetwerken (VPC) worden doorgevoerd, worden versleuteld via kanalen volgens de industriestandaard. Daarbij is er op alle productieservers een IDS-systeem geïnstalleerd dat zorgt voor realtime monitoring en waarschuwing bij eventuele veranderingen in de bestanden of configuratie van het productiesysteem en abnormale beveiligingsgebeurtenissen. |
Patch-toepassingen | - Een geautomatiseerde methode voor het ontdekken van assets wordt minstens om de twee weken gebruikt om de detectie van assets te ondersteunen voor latere scanactiviteiten op het gebied van kwetsbaarheden.
- Een kwetsbaarheidsscanner met een actuele kwetsbaarheidsdatabase wordt gebruikt voor het scannen van kwetsbaarheden. Een kwetsbaarheidsscanner wordt minstens dagelijks gebruikt om ontbrekende patches of updates voor kwetsbaarheden in services met internettoegang te identificeren.
- Een kwetsbaarheidsscanner wordt minstens om de twee weken gebruikt om ontbrekende patches of updates voor kwetsbaarheden in productiviteitssuites op het kantoor, webbrowsers en hun extensies, e-mailclients, PDF-software en beveiligingsproducten te identificeren.
- Patches, updates en andere oplossingen van leveranciers voor kwetsbaarheden in services met internettoegang worden binnen twee weken na de release toegepast en binnen 48 uur als er een exploit is.
- Patches, updates of andere oplossingen van leveranciers voor kwetsbaarheden in productiviteitssuites op het kantoor, webbrowsers en hun extensies, e-mailclients, PDF-software en beveiligingsproducten worden binnen een maand na de release toegepast.
- Services met internetverbinding, kantoorproductiviteitssuites, webbrowsers en hun extensies, e-mailclients, PDF-software, Adobe Flash Player en beveiligingsproducten die niet langer door leveranciers worden ondersteund, worden verwijderd.
| - Een geautomatiseerde methode voor het ontdekken van assets wordt minstens om de twee weken gebruikt om de detectie van assets te ondersteunen voor latere scanactiviteiten op het gebied van kwetsbaarheden.
- Een kwetsbaarheidsscanner met een actuele kwetsbaarheidsdatabase wordt gebruikt voor het scannen van kwetsbaarheden.
- Een kwetsbaarheidsscanner wordt minstens dagelijks gebruikt om ontbrekende patches of updates voor kwetsbaarheden in services met internettoegang te identificeren.
- Een kwetsbaarheidsscanner wordt minstens wekelijks gebruikt om ontbrekende patches of updates voor kwetsbaarheden te identificeren in productiviteitssuites op het kantoor, webbrowsers en hun extensies, e-mailclients, PDF-software en beveiligingsproducten.
- Een kwetsbaarheidsscanner wordt minstens om de twee weken gebruikt om ontbrekende patches of updates voor kwetsbaarheden in andere applicaties te identificeren.
- Patches, updates en andere oplossingen van leveranciers voor kwetsbaarheden in services met internettoegang worden binnen twee weken na de release toegepast en binnen 48 uur als er een exploit is.
- Patches, updates of andere oplossingen van leveranciers voor kwetsbaarheden in productiviteitssuites op het kantoor, webbrowsers en hun extensies, e-mailclients, PDF-software en beveiligingsproducten worden binnen twee weken na de release toegepast.
- Patches, updates of andere oplossingen van leveranciers voor kwetsbaarheden in andere toepassingen worden binnen een maand na de release toegepast.
- Services met internetverbinding, kantoorproductiviteitssuites, webbrowsers en hun extensies, e-mailclients, PDF-software, Adobe Flash Player en beveiligingsproducten die niet langer door leveranciers worden ondersteund, worden verwijderd.
| - Een geautomatiseerde methode voor het ontdekken van assets wordt minstens om de twee weken gebruikt om de detectie van assets te ondersteunen voor latere scanactiviteiten op het gebied van kwetsbaarheden.
- Een kwetsbaarheidsscanner met een actuele kwetsbaarheidsdatabase wordt gebruikt voor het scannen van kwetsbaarheden.
- Een kwetsbaarheidsscanner wordt minstens dagelijks gebruikt om ontbrekende patches of updates voor kwetsbaarheden in services met internettoegang te identificeren.
- Een kwetsbaarheidsscanner wordt minstens wekelijks gebruikt om ontbrekende patches of updates voor kwetsbaarheden te identificeren in productiviteitssuites op het kantoor, webbrowsers en hun extensies, e-mailclients, PDF-software en beveiligingsproducten.
- Een kwetsbaarheidsscanner wordt minstens om de twee weken gebruikt om ontbrekende patches of updates voor kwetsbaarheden in andere applicaties te identificeren.
- Patches, updates en andere oplossingen van leveranciers voor kwetsbaarheden in services met internettoegang worden binnen twee weken na de release toegepast en binnen 48 uur als er een exploit is.
- Patches, updates of andere oplossingen van leveranciers voor kwetsbaarheden in productiviteitssuites op het kantoor, webbrowsers en hun extensies, e-mailclients, PDF-software en beveiligingsproducten worden binnen een maand na de release toegepast en binnen 48 uur als er een exploit is.
- Patches, updates of andere oplossingen van leveranciers voor kwetsbaarheden in andere toepassingen worden binnen een maand na de release toegepast.
- Applicaties die niet langer door leveranciers worden ondersteund, worden verwijderd.
| Voor al onze producten en services hebben we een uitgebreid proces voor probleemoplossing (waarbij gebruik wordt gemaakt van ons eigen product Jira, dat problemen vastlegt en ons helpt om aanvragen op te lossen). Hieraan ten grondslag liggen talloze beleidsregels voor het oplossen van beveiligingsbugs, adviesservices en SLO's waaraan we ons houden. We behandelen bugrapporten via ons ondersteuningskanaal, ons Bug Bounty-programma en security@atlassian.com. Meer informatie is beschikbaar in ons Vertrouwenscentrum over onze SLO's voor Oplossingen voor beveiligingsbugs.
Meer informatie over onze aanpak van beveiligingstests is ook te vinden in ons Vertrouwenscentrum op: Aanpak van externe beveiligingstests
Ons Atlassian Security-team gebruikt meerdere methoden om kwetsbaarheden in zowel de interne als de externe infrastructuur op te sporen. Jira-tickets worden aangemaakt voor opsporings- en hersteldoeleinden, en vervaldatums worden toegewezen volgens onze SLO op basis van zowel de ernst als de oorzaak van de kwetsbaarheid. We hebben een lopend proces om tickets voor geïdentificeerde kwetsbaarheden uit te vaardigen aan systeemeigenaren, en ons beveiligingsmanagementteam beoordeelt alle gerapporteerde kwetsbaarheden en zorgt ervoor dat er actie wordt ondernomen tegen deze kwetsbaarheden. |
Macro-instellingen van Microsoft Office configureren | - Macro's van Microsoft Office zijn uitgeschakeld voor gebruikers die geen aangetoonde zakelijke vereisten hebben.
- Macro's van Microsoft Office in bestanden die afkomstig zijn van het internet worden geblokkeerd.
- Macro-antivirusscanning van Microsoft Office is ingeschakeld.
- De macro-beveiligingsinstellingen van Microsoft Office kunnen niet door gebruikers worden veranderd.
| - Macro's van Microsoft Office zijn uitgeschakeld voor gebruikers die geen aangetoonde zakelijke vereisten hebben.
- Macro's van Microsoft Office in bestanden die afkomstig zijn van het internet worden geblokkeerd. Macro-antivirusscanning van Microsoft Office is ingeschakeld.
- Macro's van Microsoft Office kunnen geen Win32 API-calls uitvoeren.
- De macro-beveiligingsinstellingen van Microsoft Office kunnen niet door gebruikers worden veranderd.
- Toegestane en geblokkeerde macro-uitvoeringen in Microsoft Office worden geregistreerd.
| - Macro's van Microsoft Office zijn uitgeschakeld voor gebruikers die geen aangetoonde zakelijke vereisten hebben.
- Alleen macro's van Microsoft Office die worden uitgevoerd vanuit een sandbox-omgeving, op een vertrouwde locatie of macro's die digitaal zijn ondertekend door een vertrouwde uitgever mogen worden uitgevoerd.
- Alleen bevoegde gebruikers die verantwoordelijk zijn voor het bevestigen dat macro's van Microsoft Office geen schadelijke code bevatten, kunnen naar inhoud binnen Trusted Locations schrijven en deze wijzigen.
- Macro's van Microsoft Office die digitaal zijn ondertekend door een niet-vertrouwde uitgever, kunnen niet worden ingeschakeld via de berichtenbalk of de Backstage-weergave.
- De lijst van vertrouwde uitgevers van Microsoft Office wordt jaarlijks of vaker gevalideerd.
- Macro's van Microsoft Office in bestanden die afkomstig zijn van het internet worden geblokkeerd.
- Macro-antivirusscanning van Microsoft Office is ingeschakeld.
- Macro's van Microsoft Office kunnen geen Win32 API-calls uitvoeren.
- De macro-beveiligingsinstellingen van Microsoft Office kunnen niet door gebruikers worden veranderd.
- Toegestane en geblokkeerde macro-uitvoeringen in Microsoft Office worden centraal geregistreerd.
- Gebeurtenislogs zijn beschermd tegen ongeoorloofde wijziging en verwijdering.
- Gebeurtenislogs worden gecontroleerd op tekenen van een compromis en er wordt actie ondernomen wanneer er tekenen van een compromis worden ontdekt.
| Atlassian werkt samen met externe onderaannemers voor de website, ontwikkeling van de applicatie, hosting, onderhoud, back-up, opslag, virtuele infrastructuur, verwerking van betalingen, analyses en andere services. Deze serviceproviders hebben mogelijk toegang tot PII of verwerken die om die services aan ons te leveren. Atlassian maakt elk gebruik van onderaannemers die mogelijk de PII verwerken, aan de relevante klanten bekend via een kennisgeving voordat de verwerking plaatsvindt. Een externe lijst van onderaannemers waarmee Atlassian samenwerkt, is te vinden op de pagina Subverwerkers van Atlassian op: lijst met gegevens van subverwerkers.. Op deze pagina worden bezoekers uitgenodigd om zich te abonneren op een RSS-feed om op de hoogte te worden gehouden wanneer we nieuwe Atlassian-subverwerkers toevoegen.
We hebben een oplossing voor gecentraliseerd systeembeheer (mobiel apparaatbeheer) geïmplementeerd voor ons assortiment Mac-laptops. We hebben een oplossing voor het beheer van mobiele apparaten geïmplementeerd voor onze Windows-eindpunten en smartphones (VMware Workplace ONE). |
Verharding van gebruikersapplicaties | - Webbrowsers verwerken geen Java van het internet.
- Webbrowsers verwerken geen webadvertenties van het internet.
- Internet Explorer 11 verwerkt geen inhoud van het internet.
- De beveiligingsinstellingen van webbrowsers kunnen niet door gebruikers worden veranderd.
| - Webbrowsers verwerken geen Java van het internet.
- Webbrowsers verwerken geen webadvertenties van het internet.
- Internet Explorer 11 verwerkt geen inhoud van het internet.
- ACSC of verhardingsrichtlijnen voor leveranciers voor webbrowsers zijn geïmplementeerd.
- De beveiligingsinstellingen van webbrowsers kunnen niet door gebruikers worden veranderd.
- Microsoft Office kan geen onderliggende processen aanmaken.
- Microsoft Office kan geen uitvoerbare inhoud aanmaken.
- Microsoft Office kan geen code in andere processen injecteren.
- Microsoft Office is zo geconfigureerd dat de activering van OLE-pakketten wordt voorkomen.
- ACSC of verhardingsrichtlijnen voor Microsoft Office zijn geïmplementeerd.
- De beveiligingsinstellingen van Microsoft Office kunnen niet door gebruikers worden veranderd.
- Pdf-software kan geen onderliggende processen aanmaken.
- ACSC of verhardingsrichtlijnen voor leveranciers voor pdf-software zijn geïmplementeerd.
- De beveiligingsinstellingen van pdf-software kunnen niet door gebruikers worden veranderd.
- Uitvoeringen van geblokkeerde PowerShell-scripts worden geregistreerd.
| - Webbrowsers verwerken geen Java van het internet.
- Webbrowsers verwerken geen webadvertenties van het internet.
- Internet Explorer 11 is uitgeschakeld of verwijderd.
- ACSC of verhardingsrichtlijnen voor leveranciers voor webbrowsers zijn geïmplementeerd.
- De beveiligingsinstellingen van webbrowsers kunnen niet door gebruikers worden veranderd.
- Microsoft Office kan geen onderliggende processen aanmaken.
- Microsoft Office kan geen uitvoerbare inhoud aanmaken.
- Microsoft Office kan geen code in andere processen injecteren.
- Microsoft Office is zo geconfigureerd dat de activering van OLE-pakketten wordt voorkomen.
- ACSC of verhardingsrichtlijnen voor Microsoft Office zijn geïmplementeerd.
- De beveiligingsinstellingen van Microsoft Office kunnen niet door gebruikers worden veranderd.
- Pdf-software kan geen onderliggende processen aanmaken.
- ACSC of verhardingsrichtlijnen voor leveranciers voor pdf-software zijn geïmplementeerd.
- De beveiligingsinstellingen van pdf-software kunnen niet door gebruikers worden veranderd.
- .NET Framework 3.5 (inclusief .NET 2.0 en 3.0) is uitgeschakeld of verwijderd.
- Windows PowerShell 2.0 is uitgeschakeld of verwijderd.
- PowerShell is zo geconfigureerd dat de Constrained Language Mode wordt gebruikt.
- Uitvoeringen van geblokkeerde PowerShell-scripts worden centraal geregistreerd.
- Gebeurtenislogs zijn beschermd tegen ongeoorloofde wijziging en verwijdering.
- Gebeurtenislogs worden gecontroleerd op tekenen van een compromis en er wordt actie ondernomen wanneer er tekenen van een compromis worden ontdekt.
| De image-versies van het AWS Linux AMI-basisbesturingssysteem hebben een beperkt aantal poorten, protocollen en services. We vergelijken onze versies met de huidige AMI-versie om zeker te zijn van de juiste instellingen. Onze Docker-images worden beheerd in een streng gecontroleerde veranderomgeving om ervoor te zorgen dat alle veranderingen op de juiste manier worden beoordeeld en goedgekeurd.
Onze endpoints zijn verhard om onze gebruikers te beschermen. De toegang tot hardwarepoorten wordt echter niet beperkt.
We gebruiken een HTTP-proxyproduct van derden voor onze openbare Jira/Confluence-versies en we hebben daar L7 HTTP-beveiligingsregels voor geïmplementeerd (je zou het WAF kunnen noemen, aangezien de functionaliteit in wezen hetzelfde is). |
Beheerdersrechten beperken | - Verzoeken om bevoorrechte toegang tot systemen en applicaties worden geverifieerd wanneer ze voor het eerst worden aangevraagd.
- Bevoorrechte accounts (met uitzondering van bevoorrechte serviceaccounts) hebben geen toegang tot het internet, e-mail en webservices.
- Bevoorrechte gebruikers maken gebruik van afzonderlijke bevoorrrechte en onbevoorrechte besturingsomgevingen.
- Onbevoorrechte accounts kunnen niet worden aangemeld bij bevoorrechte besturingsomgevingen.
- Bevoorrechte accounts (met uitzondering van lokale beheerdersaccounts) kunnen niet worden aangemeld bij onbevoorrrechte besturingsomgevingen.
| - Verzoeken om bevoorrechte toegang tot systemen en applicaties worden geverifieerd wanneer ze voor het eerst worden aangevraagd.
- Bevoorrechte toegang tot systemen en toepassingen wordt na 12 maanden automatisch uitgeschakeld, tenzij deze opnieuw wordt verlengd.
- Bevoorrechte toegang tot systemen en toepassingen wordt automatisch uitgeschakeld na 45 dagen inactiviteit.
- Bevoorrechte accounts (met uitzondering van bevoorrechte serviceaccounts) hebben geen toegang tot het internet, e-mail en webservices.
- Bevoorrechte gebruikers maken gebruik van afzonderlijke bevoorrrechte en onbevoorrechte besturingsomgevingen.
- Bevoorrechte besturingsomgevingen worden niet gevirtualiseerd in onbevoorrechte besturingsomgevingen.
- Onbevoorrechte accounts kunnen niet worden aangemeld bij bevoorrechte besturingsomgevingen.
- Bevoorrechte accounts (met uitzondering van lokale beheerdersaccounts) kunnen niet worden aangemeld bij onbevoorrrechte besturingsomgevingen.
- Beheerdersactiviteiten worden uitgevoerd via jump-servers.
- De toegangsgegevens voor lokale beheerdersaccounts en serviceaccounts zijn lang, uniek en onvoorspelbaar en worden beheerd.
- Gebeurtenissen met bevoorrechte toegang worden geregistreerd.
- Gebeurtenissen voor geprivilegieerde accounts en groepsbeheer worden geregistreerd.
| - Verzoeken om bevoorrechte toegang tot systemen en applicaties worden geverifieerd wanneer ze voor het eerst worden aangevraagd.
- Bevoorrechte toegang tot systemen en toepassingen wordt na 12 maanden automatisch uitgeschakeld, tenzij deze opnieuw wordt verlengd.
- Bevoorrechte toegang tot systemen en toepassingen wordt automatisch uitgeschakeld na 45 dagen inactiviteit.
- Bevoorrechte toegang tot systemen en toepassingen is beperkt tot alleen wat gebruikers en diensten nodig hebben om hun taken uit te voeren.
- Bevoorrechte accounts hebben geen toegang tot internet, e-mail en webdiensten.
- Bevoorrechte gebruikers maken gebruik van afzonderlijke bevoorrrechte en onbevoorrechte besturingsomgevingen.
- Bevoorrechte besturingsomgevingen worden niet gevirtualiseerd in onbevoorrechte besturingsomgevingen.
- Onbevoorrechte accounts kunnen niet worden aangemeld bij bevoorrechte besturingsomgevingen.
- Bevoorrechte accounts (met uitzondering van lokale beheerdersaccounts) kunnen niet worden aangemeld bij onbevoorrrechte besturingsomgevingen.
- Just-in-time-beheer wordt gebruikt om systemen en toepassingen te beheren.
- Beheerdersactiviteiten worden uitgevoerd via jump-servers.
- De toegangsgegevens voor lokale beheerdersaccounts en serviceaccounts zijn lang, uniek en onvoorspelbaar en worden beheerd.
- Windows Defender Credential Guard en Windows Defender Remote Credential Guard zijn ingeschakeld.
- Gebeurtenissen met bevoorrechte toegang worden centraal geregistreerd.
- Gebeurtenissen voor bevoorrechte accounts en groepsbeheer worden centraal geregistreerd.
- Gebeurtenislogs zijn beschermd tegen ongeoorloofde wijziging en verwijdering.
- Gebeurtenislogs worden gecontroleerd op tekenen van een compromis en er wordt actie ondernomen wanneer er tekenen van een compromis worden ontdekt.
| Atlassian handhaaft beperkingen voor het personeel dat deze toegang nodig heeft voor hun functie en verantwoordelijkheden. Alle niveau 1-systemen worden beheerd via de centrale enkelvoudige aanmelding (SSO) en mapoplossing van Atlassian. Gebruikers krijgen de juiste toegangsrechten op basis van deze profielen, aangestuurd via de workflow van ons HR-beheersysteem. Atlassian maakt gebruik van MFA voor toegang tot alle niveau 1-systemen. We hebben tweefactorauthenticatie mogelijk gemaakt voor de hypervisorbeheerconsole en de AWS-API, en we geven een dagelijks auditrapport uit over alle toegang tot de hypervisorbeheerfuncties. De toegangslijsten voor de hypervisorbeheerconsole en de AWS-API worden elk kwartaal herzien. We zorgen ook voor een synchronisatie van elke 8 uur tussen ons HR-systeem en ons identiteitsarchief.We hanteren een tweejaarlijkse beoordelingscyclus voor kritieke diensten in het kader van ons proces voor de beoordeling van gebruiksrechten. De gebruikerstoegang wordt regelmatig geverifieerd bij systeemeigenaren voor interne zakelijke gebruikersaccounts. |
Besturingssystemen patchen | - Een geautomatiseerde methode voor het ontdekken van assets wordt minstens om de twee weken gebruikt om de detectie van assets te ondersteunen voor latere scanactiviteiten op het gebied van kwetsbaarheden.
- Een kwetsbaarheidsscanner met een actuele kwetsbaarheidsdatabase wordt gebruikt voor het scannen van kwetsbaarheden.
- Een kwetsbaarheidsscanner wordt minstens dagelijks gebruikt om ontbrekende patches of updates voor kwetsbaarheden in besturingssystemen van internetdiensten te identificeren.
- Een kwetsbaarheidsscanner wordt minstens om de twee weken gebruikt om ontbrekende patches of updates voor kwetsbaarheden in besturingssystemen van werkstations, servers en netwerkapparaten te identificeren.
- Patches, updates en andere oplossingen van leveranciers voor kwetsbaarheden in besturingssystemen van internetdiensten worden binnen twee weken na de release toegepast, of binnen 48 uur als er een exploit bestaat.
- Patches, updates en andere oplossingen van leveranciers voor kwetsbaarheden in besturingssystemen van werkstations, servers en netwerkapparaten worden binnen een maand na de release toegepast.
- Besturingssystemen die niet langer door leveranciers worden ondersteund, worden vervangen.
| - Een geautomatiseerde methode voor het ontdekken van assets wordt minstens om de twee weken gebruikt om de detectie van assets te ondersteunen voor latere scanactiviteiten op het gebied van kwetsbaarheden.
- Een kwetsbaarheidsscanner met een actuele kwetsbaarheidsdatabase wordt gebruikt voor het scannen van kwetsbaarheden.
- Een kwetsbaarheidsscanner wordt minstens dagelijks gebruikt om ontbrekende patches of updates voor kwetsbaarheden in besturingssystemen van internetdiensten te identificeren.
- Een kwetsbaarheidsscanner wordt minstens wekelijks gebruikt om ontbrekende patches of updates voor kwetsbaarheden in besturingssystemen van werkstations, servers en netwerkapparaten te identificeren.
- Patches, updates en andere oplossingen van leveranciers voor kwetsbaarheden in besturingssystemen van internetdiensten worden binnen twee weken na de release toegepast, of binnen 48 uur als er een exploit bestaat.
- Patches, updates en andere oplossingen van leveranciers voor kwetsbaarheden in besturingssystemen van werkstations, servers en netwerkapparaten worden binnen twee weken na de release toegepast.
- Besturingssystemen die niet langer door leveranciers worden ondersteund, worden vervangen.
| - Een geautomatiseerde methode voor het ontdekken van assets wordt minstens om de twee weken gebruikt om de detectie van assets te ondersteunen voor latere scanactiviteiten op het gebied van kwetsbaarheden.
- Een kwetsbaarheidsscanner met een actuele kwetsbaarheidsdatabase wordt gebruikt voor het scannen van kwetsbaarheden.
- Een kwetsbaarheidsscanner wordt minstens dagelijks gebruikt om ontbrekende patches of updates voor kwetsbaarheden in besturingssystemen van internetdiensten te identificeren.
- Een kwetsbaarheidsscanner wordt minstens wekelijks gebruikt om ontbrekende patches of updates voor kwetsbaarheden in besturingssystemen van werkstations, servers en netwerkapparaten te identificeren.
- Patches, updates en andere oplossingen van leveranciers voor kwetsbaarheden in besturingssystemen van internetdiensten worden binnen twee weken na de release toegepast, of binnen 48 uur als er een exploit bestaat.
- Patches, updates en andere oplossingen van leveranciers voor kwetsbaarheden in besturingssystemen van werkstations, servers en netwerkapparaten worden binnen twee weken na de release toegepast, of binnen 48 uur als er een exploit bestaat.
- De nieuwste of vorige versies van besturingssystemen worden gebruikt. Besturingssystemen die niet langer door leveranciers worden ondersteund, worden vervangen.
| Voor al onze producten en services hebben we een uitgebreid proces voor probleemoplossing (waarbij gebruik wordt gemaakt van ons eigen product Jira, dat problemen vastlegt en ons helpt om aanvragen op te lossen). Hieraan ten grondslag liggen talloze beleidsregels voor het oplossen van beveiligingsbugs, adviesservices en SLO's waaraan we ons houden. We behandelen bugrapporten via ons ondersteuningskanaal, ons Bug Bounty-programma en security@atlassian.com. Meer informatie is beschikbaar in ons Vertrouwenscentrum over onze SLO's voor Oplossingen voor beveiligingsbugs.
Meer informatie over onze aanpak van beveiligingstests is ook te vinden in ons Vertrouwenscentrum op: Aanpak van externe beveiligingstests
Ons Atlassian Security-team gebruikt meerdere methoden om kwetsbaarheden in zowel de interne als de externe infrastructuur op te sporen. Jira-tickets worden aangemaakt voor opsporings- en hersteldoeleinden, en vervaldatums worden toegewezen volgens onze SLO op basis van zowel de ernst als de oorzaak van de kwetsbaarheid. We hebben een lopend proces om tickets voor geïdentificeerde kwetsbaarheden uit te vaardigen aan systeemeigenaren, en ons beveiligingsmanagementteam beoordeelt alle gerapporteerde kwetsbaarheden en zorgt ervoor dat er actie wordt ondernomen tegen deze kwetsbaarheden. |
Meervoudige authenticatie | - Gebruikers van een organisatie gebruiken meervoudige authenticatie wanneer ze zich aanmelden bij de internetdiensten van hun organisatie.
- Meervoudige authenticatie wordt door gebruikers van een organisatie gebruikt wanneer ze zich aanmelden bij diensten van derden die gevoelige gegevens van hun organisatie verwerken, opslaan of doorgeven.
- Meervoudige authenticatie (indien beschikbaar) wordt gebruikt door gebruikers van een organisatie wanneer ze zich aanmelden bij diensten van derden die niet-gevoelige gegevens van hun organisatie verwerken, opslaan of doorgeven.
- Meervoudige authenticatie is standaard ingeschakeld voor niet-organisatorische gebruikers van een organisatie wanneer ze zich aanmelden bij de internetdiensten van de organisatie. Ze kunnen zich er echter ook voor afmelden.
| - Gebruikers van een organisatie gebruiken meervoudige authenticatie wanneer ze zich aanmelden bij de internetdiensten van hun organisatie.
- Gebruikers van een organisatie maken gebruik van meervoudige authenticatie wanneer ze zich aanmelden bij externe internetdiensten die gevoelige gegevens van hun organisatie verwerken, opslaan of doorgeven.
- Meervoudige authenticatie (indien beschikbaar) wordt gebruikt door gebruikers van een organisatie wanneer ze zich aanmelden bij diensten van derden die niet-gevoelige gegevens van hun organisatie verwerken, opslaan of doorgeven.
- Meervoudige authenticatie is standaard ingeschakeld voor niet-organisatorische gebruikers van een organisatie wanneer ze zich aanmelden bij de internetdiensten van de organisatie. Ze kunnen zich er echter ook voor afmelden.
- Meervoudige authenticatie wordt gebruikt om bevoorrechte gebruikers van systemen te verifiëren.
- Bij meervoudige authenticatie wordt er ofwel gebruikgemaakt van: iets dat gebruikers hebben en iets dat gebruikers weten, ofwel iets dat gebruikers hebben dat wordt ontgrendeld door iets dat gebruikers weten of zijn.
- Succesvolle en mislukte meervoudige-authenticatiepogingen worden geregistreerd.
| - Gebruikers van een organisatie gebruiken meervoudige authenticatie wanneer ze zich aanmelden bij de internetdiensten van hun organisatie.
- Gebruikers van een organisatie gebruiken meervoudige authenticatie wanneer ze zich aanmelden bij internetdiensten van derden die gevoelige gegevens van hun organisatie verwerken, opslaan of doorgeven.
- Meervoudige authenticatie (indien beschikbaar) wordt gebruikt door gebruikers van een organisatie wanneer ze zich aanmelden bij diensten van derden die niet-gevoelige gegevens van hun organisatie verwerken, opslaan of doorgeven.
- Meervoudige authenticatie is standaard ingeschakeld voor niet-organisatorische gebruikers van een organisatie wanneer ze zich aanmelden bij de internetdiensten van de organisatie. Ze kunnen zich er echter ook voor afmelden.
- Meervoudige authenticatie wordt gebruikt om bevoorrechte gebruikers van systemen te verifiëren.
- Meervoudige authenticatie wordt gebruikt om gebruikers van belangrijke repository's voor gegevens te verifiëren.
- Meervoudige authenticatie is bestand tegen phishing en maakt gebruik van: iets dat gebruikers hebben en iets dat gebruikers weten, of iets dat gebruikers hebben dat wordt ontgrendeld door iets dat gebruikers weten of zijn.
- Succesvolle en mislukte meervoudige-authenticatiepogingen worden centraal geregistreerd.
- Gebeurtenislogs zijn beschermd tegen ongeoorloofde wijziging en verwijdering.
- Gebeurtenislogs worden gecontroleerd op tekenen van een compromis en er wordt actie ondernomen wanneer er tekenen van een compromis worden ontdekt.
| Meervoudige authenticatie is beschikbaar voor individuele accounts van Confluence en Jira. Voor meer informatie over hoe je meervoudige verificatie kunt inschakelen, bekijk: Tweestapsverificatie verplichten
BBC maakt al gebruik van 2FA vanaf februari 2022. Deze 2FA is over het algemeen geïntegreerd met Atlassian Access en ondersteunt aanvullende functionaliteit die door Access wordt aangeboden. Verplichte meervoudige authenticatie kan worden ingesteld op organisatieniveau met Atlassian Access. Bekijk voor meer informatie: Tweestapsverificatie verplichten
Specifieke producten
Bitbucket ondersteunt het gebruik van op MFA gebaseerde SSO-oplossingen. Bekijk voor meer informatie: Tweestapsverificatie verplichten | Bitbucket Cloud
Halp gebruikt SSO via Slack OAuth en MS Teams. Slack en MS Teams bieden meerdere opties voor meervoudige authenticatie. Bekijk voor meer informatie: SAML eenmalige aanmelding en Azure AD Connect: probleemloze eenmalige aanmelding
Opsgenie ondersteunt het gebruik van op MFA gebaseerde SSO-oplossingen. Bekijk voor meer informatie: SSO configureren voor Opsgenie
Statuspage ondersteunt het gebruik van op MFA gebaseerde SSO-oplossingen.
Trello ondersteunt meervoudige authenticatie. Bekijk voor meer informatie over hoe je meervoudige authenticatie kunt inschakelen: Tweestapsauthenticatie gebruiken voor je Trello-account
Jira Align ondersteunt het gebruik van op MFA gebaseerde SSO-oplossingen. |
Regelmatige back-ups | - Back-ups van belangrijke gegevens, software en configuratie-instellingen worden uitgevoerd en bewaard met een frequentie en een bewaartermijn in overeenstemming met de vereisten voor bedrijfscontinuïteit.
- Back-ups van belangrijke gegevens, software en configuratie-instellingen worden gesynchroniseerd zodat ze kunnen worden teruggezet naar een overkoepelend tijdstip.
- Back-ups van belangrijke gegevens, software en configuratie-instellingen worden op veilige en robuuste wijze bewaard.
- Het herstel van belangrijke gegevens-, software- en configuratie-instellingen van back-ups naar een overkoepelend tijdstip wordt getest als onderdeel van disaster recovery-oefeningen.
- Onbevoorrechte accounts hebben geen toegang tot back-ups van andere accounts.
- Onbevoorrechte accounts kunnen back-ups niet wijzigen of verwijderen.
| - Back-ups van belangrijke gegevens, software en configuratie-instellingen worden uitgevoerd en bewaard met een frequentie en een bewaartermijn in overeenstemming met de vereisten voor bedrijfscontinuïteit.
- Back-ups van belangrijke gegevens, software en configuratie-instellingen worden gesynchroniseerd zodat ze kunnen worden teruggezet naar een overkoepelend tijdstip.
- Back-ups van belangrijke gegevens, software en configuratie-instellingen worden op veilige en robuuste wijze bewaard.
- Het herstel van belangrijke gegevens-, software- en configuratie-instellingen van back-ups naar een overkoepelend tijdstip wordt getest als onderdeel van disaster recovery-oefeningen.
- Onbevoorrechte accounts hebben geen toegang tot back-ups van andere accounts.
- Bevoorrechte accounts (met uitzondering van beheerdersaccounts voor back-ups) hebben geen toegang tot back-ups van andere accounts.
- Onbevoorrechte accounts kunnen back-ups niet wijzigen of verwijderen.
- Bevoorrechte accounts (met uitzondering van beheerdersaccounts voor back-ups) kunnen back-ups niet wijzigen of verwijderen.
| - Back-ups van belangrijke gegevens, software en configuratie-instellingen worden uitgevoerd en bewaard met een frequentie en een bewaartermijn in overeenstemming met de vereisten voor bedrijfscontinuïteit.
- Back-ups van belangrijke gegevens, software en configuratie-instellingen worden gesynchroniseerd zodat ze kunnen worden teruggezet naar een overkoepelend tijdstip.
- Back-ups van belangrijke gegevens, software en configuratie-instellingen worden op veilige en robuuste wijze bewaard.
- Het herstel van belangrijke gegevens-, software- en configuratie-instellingen van back-ups naar een overkoepelend tijdstip wordt getest als onderdeel van disaster recovery-oefeningen.
- Onbevoorrechte accounts hebben geen toegang tot back-ups van andere accounts, noch tot hun eigen accounts.
- Bevoorrechte accounts (met uitzondering van beheerdersaccounts voor back-ups) hebben geen toegang tot back-ups van andere accounts, noch tot hun eigen accounts.
- Onbevoorrechte accounts kunnen back-ups niet wijzigen of verwijderen. Bevoorrechte accounts (waaronder beheerdersaccounts voor back-ups) kunnen tijdens de bewaarperiode geen back-ups wijzigen of verwijderen.
| Atlassian hanteert een standaard voor gegevensbehoud en -vernietiging, die aangeeft hoe lang we verschillende soorten gegevens moeten bewaren. Gegevens worden geclassificeerd in overeenstemming met ons Atlassian-beleid inzake gegevensbeveiliging en levenscyclus van informatie. Op basis daarvan worden controles geïmplementeerd. Voor klantgegevens: na beëindiging van een Atlassian-contract worden de gegevens van een klantenteam verwijderd uit de live productiedatabase en worden alle bestandsbijlagen die rechtstreeks naar Atlassian zijn geüpload binnen 14 dagen verwijderd. De gegevens van het team blijven in versleutelde back-ups staan totdat de bewaartermijn van 60 dagen voor back-ups vervalt. Daarna worden de gegevens vernietigd in overeenstemming met ons Atlassian-beleid voor gegevensbehoud. In het geval dat een databaseherstel nodig is binnen 60 dagen na het verwijderen van de gevraagde gegevens, verwijdert het operationele team opnieuw de gegevens zo snel als redelijkerwijs mogelijk nadat het live productiesysteem volledig is hersteld. Raadpleeg voor meer informatie: opslag bijhouden en gegevens verplaatsen tussen producten |