Hoe wij beveiligingsincidentmanagement aanpakken
Onze methode voor het beheren van beveiligingsincidenten
Atlassian heeft een uitgebreide reeks beveiligingsmaatregelen getroffen om ervoor te zorgen dat we klantinformatie beschermen en de meest betrouwbare en veilige services bieden. We beseffen echter dat beveiligingsincidenten nog steeds kunnen voorkomen. En dat gebeurt ook. Het is dus al even belangrijk om effectieve methoden te hebben om ze aan te pakken wanneer ze zich voordoen.
Als gevolg hiervan hebben we een duidelijk gedefinieerde aanpak om te reageren op beveiligingsincidenten die van invloed zijn op onze services of infrastructuur. Onze aanpak voor incidentrespons omvat uitgebreide logregistratie en monitoring van onze producten en infrastructuur om ervoor te zorgen dat we snel potentiële incidenten detecteren. De aanpak wordt ondersteund door zorgvuldig gedefinieerde processen die ervoor zorgen dat in alle stadia van een incident duidelijkheid is wat we moeten doen. Dit wordt ondersteund door een team van hooggekwalificeerde incidentmanagers die op afroep beschikbaar zijn en die ruime ervaring hebben met het coördineren van een effectieve reactie. We hebben bovendien toegang tot een reeks externe experts die ons helpen zo effectief mogelijk onderzoek te doen en te reageren. We hebben onze aanpak van incidentmanagement gestructureerd op basis van richtlijnen van NIST 800-61 Computer Security Incident Handling handleiding. Ook catalogiseren we onze incidenten volgens het Verizon VERIS-framework.
Meer over onze filosofie en aanpak
Onder een beveiligingsincident valt voor ons elk geval waarbij de vertrouwelijkheid, integriteit of beschikbaarheid van klantgegevens of de gegevens of services van Atlassian negatief worden beïnvloed.
We hebben de impact eerder gekwalificeerd met het woord "opzettelijk", maar die term hebben we verwijderd om ook onbedoelde datalekken en dergelijke op te nemen.
De kern van de manier waarop we op beveiligingsincidenten reageren, is dat we ervoor zorgen dat we onze waarden handhaven, en er in het bijzonder voor zorgen dat we dat de klant niet voor de gek houden. We willen de beste processen opzetten, zodat we beveiligingsincidenten behandelen op een manier die altijd aansluit bij de belangen van onze klanten en waarborgen dat ze een uitstekende ervaring blijven hebben met het gebruik van onze producten. We hebben daarom een gedegen incidentresponsproces ontwikkeld dat verschillende van de onderstaande functies bevat.
Verschillende manieren om potentiële incidenten snel op te sporen
We hebben verschillende bewakingsmechanismen om storingen of afwijkingen in onze producten en infrastructuur op te sporen die een indicator kunnen zijn voor een mogelijk beveiligingsincident. Deze systemen waarschuwen ons onmiddellijk als er een activiteit wordt gedetecteerd die verder onderzoek vereist. We hebben een geaggregeerd platform voor het vastleggen en analyseren van logs dat logs op één locatie verzamelt, zodat onze analisten ze snel en grondig kunnen onderzoeken. Onze Site Reliability Engineers bewaken het platform om ervoor te zorgen dat het altijd beschikbaar is. We maken ook waarschuwingen aan in onze toepassing voor beveiligingsinformatie en gebeurtenissen, zodat onze teams proactief op de hoogte worden gesteld.
We onderhouden daarnaast externe rapportagekanalen die ons kunnen informeren over kwetsbaarheden of incidenten. Voorbeelden daarvan zijn ons Bug Bounty-programma, onze supportportal voor klanten en vaste e-mailinboxen en telefoonnummers voor beveiliging.
Een bewezen framework voor het beheer van beveiligingsincidenten
Om ervoor te zorgen dat ons incidentresponsproces consistent, herhaalbaar en efficiënt is, hebben we een duidelijk gedefinieerd intern framework met daarin de stappen die we moeten nemen in elke fase van het incidentresponsproces. We hebben draaiboeken gemaakt die voortdurend worden bijgewerkt en waarin in detail wordt beschreven welke stappen we moeten nemen om effectief te reageren op verschillende soorten incidenten. Op hoog niveau omvat ons responsframework:
Detectie en analyse van incidenten – de stappen die we nemen na de eerste meldingen over een mogelijk incident, inclusief hoe we controleren of er een beveiligingsincident heeft plaatsgevonden (zodat we onterechte meldingen minimaliseren), tot inzicht in de aanvalsvectoren, omvang van inbreuken en de impact op Atlassian en zijn klanten.
Categorisering van ernst van incidenten – Zodra we door middel van een passende analyse begrijpen wat er is gebeurd, gebruiken we deze informatie om de ernst van het incident te bepalen. We wijzen een van de vier ernstniveaus aan:
Beschrijving ernst van incidenten | |
Niveau | Beschrijving |
0 | Crisisincident met maximale impact |
1 | Kritiek incident met erg veel impact |
2 | Groot incident met aanzienlijke impact |
3 | Klein incident met weinig impact |
We gebruiken verschillende indicatoren om de ernst van een incident te bepalen – deze variëren per product, maar we kijken in elk geval of er sprake is van een totale servicestoring (en het aantal getroffen klanten), of de kernfunctionaliteit is verbroken en of er sprake is van gegevensverlies.
Inperking, uitroeiing en herstel – Op basis van de ernst van het incident bepalen en implementeren we vervolgens de stappen die nodig zijn om het incident te beperken, de onderliggende oorzaken uit te bannen en onze herstelprocessen te starten, zodat we zo snel mogelijk kunnen terugkeren naar business as usual. Uiteraard zullen de stappen die we in deze fase nemen aanzienlijk variëren, afhankelijk van de aard van het incident. Wanneer het onze klanten ten goede komt (of wanneer onze wettelijke of contractuele verplichtingen dat vereisen), zal Atlassian tijdens deze fase van het incidentresponsproces ook met zijn klanten communiceren over het incident en de mogelijke gevolgen ervan voor hen.
Melding - We streven ernaar om elke klant zonder onnodige vertraging op de hoogte te stellen als hun gegevens betrokken zijn bij een bevestigd incident. Dit is in eerste instantie misschien alleen op hoofdlijnen, maar we zullen elk beschikbaar detail verstrekken wanneer het beschikbaar is.
Een robuust beoordelingsproces na incidenten – Nadat elk incident is opgelost, bekijken we welke lessen we kunnen leren van wat er is gebeurd. Deze kunnen de basis vormen voor de ontwikkeling van technische oplossingen, procesverbeteringen en de introductie van aanvullende best practices, zodat we onze klanten de beste ervaring kunnen blijven bieden en het kwaadwillende actoren de volgende keer nog moeilijker maken.
Duidelijk gedefinieerde rollen en verantwoordelijkheden
Elk incident wordt beheerd door een van onze hooggekwalificeerde en ervaren Major Incident Managers (of MIM's). MIM's nemen doorgaans beslissingen met betrekking tot de beveiliging, houden toezicht op het responsproces en wijzen intern taken toe om ons responsproces te vergemakkelijken. De MIM's worden verder ondersteund door incidentanalisten die het onderzoek en de analyse van incidenten aansturen, en door een reeks andere rollen die helpen bij het responsproces. Als een incident gevolgen heeft voor meer dan één regio, worden vaak twee MIM's aan een incident toegewezen om ervoor te zorgen dat er altijd iemand verantwoordelijk is voor de voortgang van ons responsproces en om te voorkomen dat inperkings- of herstelactiviteiten niet worden belemmerd of anderszins worden beïnvloed door tijdverschillen.
In het geval van zeer grootschalige incidenten kunnen er gevallen zijn waarin een MIM van een ander team (gewoonlijk Site Reliability Engineering) wordt ingeschakeld om het responsproces te helpen beheren. Lees meer over de rollen en verantwoordelijkheden die we toewijzen rondom beveiligingsincidenten.
Toegang tot externe deskundigen waar nodig
Soms hebben we bij het onderzoeken van een incident een helpende hand nodig van een externe expert. We maken gebruik van de diensten van gespecialiseerde cyberbeveiligingsadviseurs en forensische experts voor gevallen waarin we mogelijk diepgaande forensische analyse of forensische opsporingsbevelen nodig hebben voor e-discovery ter ondersteuning van geschillen.
Hoe we onze eigen tools gebruiken om beveiligingsincidenten te beheren
We gebruiken speciaal geconfigureerde versies van veel van onze eigen producten om ervoor te zorgen dat we incidenten zo methodisch, consistent en dynamisch mogelijk kunnen afhandelen. Dit zijn onder andere:
Confluence – We gebruiken Confluence om gezamenlijk onze incidentresponsprocessen op een centrale locatie te maken, te documenteren en bij te werken, om ervoor te zorgen dat die processen onder alle medewerkers worden verspreid en om te garanderen dat ze snel kunnen worden bijgewerkt als reactie op lessen die zijn getrokken uit incidenten uit het verleden. We gebruiken Confluence ook om onze draaiboeken en zoektochten te documenteren.
Jira – We gebruiken Jira om tickets aan te maken voor het afhandelen van zowel het eerste onderzoek naar vermoedelijke incidenten als om ons responsproces te vergemakkelijken en te volgen als uit ons eerste onderzoek blijkt dat er een incident heeft plaatsgevonden. Deze tickets helpen ons om informatie over een incident samen te voegen, oplossingen te ontwikkelen en andere logistieke werkzaamheden uit te voeren (zoals het delegeren van taken als onderdeel van het responsproces en, waar nodig, contact opnemen met andere teams binnen het bedrijf). We gebruiken Jira ook om bij te houden welke zoektochten we uitvoeren, en het succes of falen van elke zoektocht.
Bitbucket — We gebruiken Bitbucket voor het beheren van broncodes wanneer we oplossingen op basis van code ontwikkelen voor unieke edge-case-problemen die zich voordoen bij bepaalde soorten incidenten. Vervolgens kan intern worden samengewerkt aan de oplossingen die we ontwikkelen. Ook kunnen ze intern worden getest, terwijl ze privé blijven. Waar nodig zijn bovendien snelle iteraties mogelijk. We gebruiken Bitbucket ook in combinatie met een plan voor continue integratie/continue levering, en rollen code uit om de oorzaak van een incident te helpen verminderen of om te helpen bij het opsporen of voorkomen van toekomstige incidenten.
Uiteindelijk helpt het gebruik van deze tools ons om een responsframework op te zetten dat ervoor zorgt dat incidenten allemaal een zekere structuur en vertrouwdheid krijgen, ongeacht hun type, zodat we zo snel mogelijk kunnen handelen om een oplossing te vinden.
Samenvatting
Atlassian hanteert een gedegen en alomvattende aanpak voor het afhandelen van beveiligingsincidenten. Deze aanpak draait om het gebruik van dezelfde tools die we ook aan onze klanten ter beschikking stellen. Hierdoor kunnen we met een hoge mate van consistentie, voorspelbaarheid en effectiviteit op incidenten reageren en de kans op schade voor onze klanten, onze partners en Atlassian zelf minimaliseren.
Wil je meer te weten komen?
We hebben een aantal andere bronnen gepubliceerd waarin je meer te weten komt over onze aanpak van beveiligingsincidenten en onze algemene benadering van beveiliging.