Close

Ons Security Detections Program


Ons Security Detections Program @ Atlassian

We zijn ons er terdege van bewust dat we niet op onze lauweren kunnen rusten als het gaat om beveiliging. Een van onze kernwaarden is "Wees de verandering die je wenst". We willen deze waarde uitdragen door de manier waarop wij veiligheid benaderen voortdurend mee te laten ontwikkelen met het landschap van cyberdreigingen.

Ons Security Detections Program is een voorbeeld van onze voortdurende verbeteringen.

Wat is het Security Detections Program?

Detecties bestaan voornamelijk uit zoekopdrachten die proactief volgens een schema worden uitgevoerd op het platform van Atlassian voor beveiligingsincidenten en evenementenbeheer. Deze zoekopdrachten zijn bedoeld om kwaadaardige activiteiten op te sporen die gericht zijn op Atlassian en zijn klanten. Zo zijn er detecties om kopteksten van inkomende e-mailberichten te analyseren, het gedrag van schadelijke browserextensies te detecteren of een verdacht patroon in DNS-verkeer op te sporen.

Eind 2018 introduceerde Atlassian een formeel 'Security Detections Program' dat we als primaire methode voor ons Security Intelligence-team instelden. Het detectieprogramma moet de tijd voor het opsporen van kwaadaardige activiteiten verkorten. We doen dit door regelmatig nieuwe detecties aan te maken, bestaande detecties af te stemmen en te verbeteren en detectierespons te automatiseren.

Het detectieprogramma verbetert de bestaande processen van Atlassian voor het beheer van beveiligingsincidenten.Atlassian Security heeft vertrouwen in deze processen, maar het programma werd bedacht vanuit het besef dat naarmate Atlassian blijft groeien met meer klanten over de hele wereld, we:

ons vermogen moeten verbeteren om incidenten sneller op te sporen in een steeds complexer dreigingslandschap; en

ervoor moeten zorgen dat onze aanpak van incidentmanagement niet alleen rekening houdt met de bedreigingen waarmee we al te maken kregen, maar ook voldoende anticipeert en voorbereidt op het dreigingslandschap waarmee we in de toekomst te maken zullen krijgen.

De doelen van het detectieprogramma

De belangrijkste doelstellingen van Atlassian bij de introductie van het detectieprogramma waren:

Toename van het aandeel beveiligingsincidenten dat wordt herkend dankzij de waarschuwingen van detecties die Beveiliging heeft aangemaakt, en vermindering van de incidenten die hadden kunnen plaatsvinden maar die we onder de aandacht kregen vanuit een andere bron (bijv. externe rapporten/meldingen);

Inzicht in en verbetering van de dekking van onze detectie over een aantal dimensies, waaronder producten, aanvalstypen en logbronnen, met als uiteindelijk doel een dekking die zo dicht mogelijk bij 100% ligt; en

Een duidelijke manier om de aanpak van ons team voor het detecteren van beveiligingsincidenten te meten en te valideren, zodat we als team erop kunnen vertrouwen dat we op de goede weg zitten en onze mogelijkheden voor het detecteren van en reageren op incidenten in de loop van de tijd kunnen verbeteren.

Dankzij het programma kon ons Security Intelligence-team ook vaardigheden verfijnen, zowel in Splunk als in het schrijven van detecties in het algemeen, doordat beveiligingsanalisten van Atlassian nu tijd hebben om detectie-ideeën te bespreken en ontwikkelen.

Zo werkt het programma

Als onderdeel van het programma streeft elke analist binnen het Security Intelligence-team ernaar om minstens één nieuwe beveiligingsdetectie per maand te schrijven.

Wanneer een analist een nieuwe detectie schrijft, zorgt deze ook voor:

  • Gedetailleerde documentatie waarin wordt beschreven hoe de detectie werkt en wat de gevolgen zijn voor de beveiliging ervan;
  • Een run-book met instructies voor het reageren op een detectie wanneer deze een waarschuwing genereert. Deze run-books zijn toegankelijk via Jira-tickets die zijn aangemaakt voor detectiewaarschuwingen. Daardoor beschikken analisten over alle informatie die nodig is om snel op die waarschuwingen te reageren;
  • Een gedocumenteerde analyse van de verhouding tussen positieve en fout-positieve detecties in de loop van de tijd;
  • Classificatie van de detectie naar bijbehorende Atlassian-producten, -services en logs, maar ook de gebruikte aanvalsvector of -techniek (dit helpt ons een goed overzicht te krijgen van detectie-dekking).

Elke detectie ondergaat bovendien een peer review-proces, zodat een bepaalde zekerheid wordt geboden over de kwaliteit van de detecties die we schrijven en kennis met ons hele team kan worden gedeeld.

Zodra een detectie iets verdachts vindt, wordt een waarschuwing gegenereerd die door het Security Intelligence-team wordt beantwoord. De uitkomst van de waarschuwing kan variëren van bevestiging als minimaal of fout-positief tot een onderzoek of aanmaak van een beveiligingsincident.

Standaardisering van onze detecties

Atlassian Security besefte al vroeg dat er behoefte was aan een methode die een hoge mate van consistentie en kwaliteit mogelijk maakt onder de door analisten geschreven detecties. Zonder proces voor standaardisatie liep het team het risico op detecties met inconsistente naamgeving, rudimentaire broncontroleprocessen, onvolledige historische gegevens en geen inzicht in de omvang van onze detecties in onze verschillende producten en services.

Daarom maakte het team een standaardschema voor het classificeren van detecties. Als een analist een nieuwe detectie schrijft, doorloopt deze een geautomatiseerd proces om ervoor te zorgen dat aan de vereisten van het schema wordt voldaan. Het proces is in grote lijnen als volgt:

  • Een security intelligence analyst maakt een Jira-issue aan voor nieuwe detecties die hij/zij schrijft. Jira dient in feite als de enige bron van waarheid voor al onze detecties;
  • Ze hebben een door ons aangepast issuetype met een kernset met gegevens die de analist invult om een nieuwe detectie aan te maken, inclusief in-scope producten, services en infrastructuur, aanvalstypen en tekstvelden voor Splunk-zoeklogica;
  • Zodra de detectie is aangemaakt, standaardiseren we deze via een door ons automatiseringsteam op maat gemaakt opdrachtregelinterface-hulpprogramma. Dit helpt de detectie te valideren en te verspreiden in de verschillende systemen en componenten die onze waarschuwingspipeline vormen. Daarbij wordt specifiek het volgende uitgevoerd:
    • De Jira-issue wordt uitgelezen in een Jira-object;
    • De velden in de issue worden gevalideerd en er worden sleutellabels toegevoegd;
    • Er wordt een standaardnaam voor de detectie gegenereerd en er worden pull requests (PR's) voor gemaakt. De PR bevat de Splunk-strofe, sleutels en parameters die nodig zijn voor detecties om geplande zoekopdrachten uit te voeren en waarschuwingen aan Jira door te geven;
    • Er wordt een Confluence-pagina aangemaakt en ingevuld die analisten kunnen aanvullen als ze reageren op de waarschuwing. Ook wordt deze pagina gekoppeld aan de bijbehorende Jira-issue. Dit helpt om meer zichtbaarheid te creëren en slaat historische informatie op rond onze detecties. Ook levert het een 'beeld op executive-niveau' op van de meest kritische informatie die nodig is voor rapportage.
Grafiek met cycli tussen Track (Jira), Aggregaat (Kerngegevens), opslag/validatie (Git), Document (Confluence) en Detecteren (Splunk)

Met het standaardisatieproces kan het team ook elke detectie classificeren op basis van het aanvalstype en het Atlassian-product, de service of de infrastructuur waarop de aanval betrekking heeft. Daarnaast wordt er transparantie geboden voor de totale omvang van het beveiligingsteam –en met name voor gebieden waar mogelijk hiaten zijn die moeten worden aangepakt.

Het beveiligingsteam gebruikt momenteel het MITRE ATT&CK-framework als uitgangspunt voor het classificeren van detecties op basis van het type aanval. Dit is een aanvulling op de red team-operaties van Atlassian, incidenten in het verleden en de kennis van het team ten aanzien van opkomende bedreigingen en aanvalsmethoden –en biedt hulp bij het identificeren van prioriteiten waarop teams zich moeten concentreren als ze nieuwe detecties schrijven.

Diagram met statistieken voor Jira-issues

***Details en cijfers hierboven zijn bedoeld ter illustratie.

Bij Atlassian geloven we dat deze aanpak een enorme stap voorwaarts is in het verschaffen van duidelijkheid en richting voor ons detectieprogramma en dat het een hoge mate van consistentie en kwaliteit waarborgt in de detecties die we schrijven.

Inbraakpreventiesysteem (IPS)
Atlassian gebruikt Cloudflare Enterprise voor de firewall van onze webtoepassingen, DDOS en voor de beëindiging van alleen TLS 1.2. Binnen de firewall heeft de oplossing AlertLogic IDS ingeschakeld.

Samenvatting

Ons programma voor beveiligingsdetectie is een belangrijk onderdeel van Atlassians proactieve benadering van incidentdetectie en -respons. We zijn ook van mening dat beveiligingsteams in veel organisaties kunnen profiteren van de aanpak die we hebben gekozen voor standaardisatie. Wil je meer weten? Neem dan contact op met ons supportteam.

Wil je meer te weten komen?

We hebben een aantal andere bronnen gepubliceerd waarin je meer te weten komt over onze aanpak van beveiligingsincidenten en onze algemene benadering van beveiliging.