Kontrola aplikacji | Pierwszy poziom dojrzałości - Uniemożliwiono wykonywanie plików wykonywalnych, bibliotek oprogramowania, skryptów, instalatorów, skompilowanego kodu HTML, aplikacji HTML i apletów panelu sterowania na stacjach roboczych z poziomu standardowych profili użytkowników oraz folderów tymczasowych używanych przez system operacyjny, przeglądarki internetowe i klienty poczty e-mail.
| - Kontrola aplikacji odbywa się na stacjach roboczych i serwerach z dostępem do Internetu.
- Kontrola aplikacji ogranicza wykonywanie plików wykonywalnych, bibliotek oprogramowania, skryptów, instalatorów, skompilowanego kodu HTML, aplikacji HTML i apletów panelu sterowania do zestawu zatwierdzonego przez organizację.
- Rejestruje się zdarzenia dopuszczonego i zablokowanego wykonywania na stacjach roboczych i serwerach z dostępem do Internetu.
| Trzeci poziom dojrzałości - Kontrola aplikacji jest wdrożona na stacjach roboczych i serwerach.
- Kontrola aplikacji ogranicza wykonywanie plików wykonywalnych, bibliotek oprogramowania, skryptów, instalatorów, skompilowanego kodu HTML, aplikacji HTML, apletów panelu sterowania i sterowników do zestawu zatwierdzonego przez organizację.
- Zaimplementowano „zalecane reguły blokowania” firmy Microsoft. Zaimplementowano „zalecane reguły blokowania sterowników” firmy Microsoft.
- Zestawy reguł kontroli aplikacji są zatwierdzane co najmniej raz w roku lub częściej.
- Rejestruje się zdarzenia dopuszczonego i zablokowanego wykonywania na stacjach roboczych i serwerach są rejestrowane centralnie.
- Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem. Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.
| Korzystanie z programów narzędziowych w środowisku produkcyjnym jest ograniczone i kontrolowane. Wszystkie serwery są konfigurowane przy użyciu naszego scentralizowanego systemu konfiguracji Puppet do naszego standardowego środowiska operacyjnego, co obejmuje usuwanie wybranych pakietów z domyślnego obrazu i krytyczne aktualizacje pakietów. Wszystkie role serwera zakładają domyślne odrzucanie wszystkich przychodzących żądań sieciowych, przy czym wybrane porty są otwierane tylko dla innych ról serwera, których funkcjonowanie wymaga dostępu do tego portu. Nasza sieć korporacyjna jest odseparowana od naszej sieci produkcyjnej, a obrazy naszych maszyn mają ograniczone funkcjonalności, aby zezwalać tylko na niezbędne porty i protokoły. Wszystkie systemy produkcyjne są obecnie hostowane w Stanach Zjednoczonych, w regionach działalności naszego dostawcy chmury. Wszystkie dane przesyłane poza wzmocnionymi sieciami wirtualnych chmur prywatnych (VPC) są szyfrowane za pośrednictwem kanałów zgodnych ze standardami branżowymi. Ponadto na wszystkich serwerach produkcyjnych działa system IDS, który obejmuje monitorowanie w czasie rzeczywistym i powiadamianie o wszelkich zmianach w plikach systemu produkcyjnego lub konfiguracji oraz o anomaliach w zabezpieczeniach. |
Aplikacje poprawek | Pierwszy poziom dojrzałości - Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach.
- Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk. Skaner luk w zabezpieczeniach jest stosowany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach usług internetowych.
- Skaner luk w zabezpieczeniach jest używany co najmniej raz na dwa tygodnie w celu identyfikowania brakujących poprawek lub aktualizacji pod kątem luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem.
- Poprawki, aktualizacje lub inne środki ograniczające przewidziane przez dostawców i dotyczące luk w zabezpieczeniach usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
- Poprawki, aktualizacje lub inne ograniczenia dostawców przewidziane przez dostawców i dotyczące luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem, wdrażane są w ciągu miesiąca od wydania.
- Usługi wymagające połączenia z Internetem, pakiety narzędzi biurowych, przeglądarki internetowe i ich rozszerzenia, klienty poczty e-mail, oprogramowanie do przeglądania plików PDF oraz produkty związane z bezpieczeństwem, które przestały być wspierane przez swoich dostawców, są usuwane.
| - Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach.
- Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk.
- Skaner luk w zabezpieczeniach jest stosowany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach usług internetowych.
- Skaner luk w zabezpieczeniach jest używany co najmniej raz w tygodniu w celu identyfikowania brakujących poprawek lub aktualizacji pod kątem luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem.
- Skaner luk w zabezpieczeniach jest stosowany co najmniej raz na dwa tygodnie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach innych aplikacji.
- Poprawki, aktualizacje lub inne środki ograniczające przewidziane przez dostawców i dotyczące luk w zabezpieczeniach usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
- Poprawki, aktualizacje lub inne ograniczenia dostawców przewidziane przez dostawców i dotyczące luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem, wdrażane są w ciągu dwóch tygodni od wydania.
- Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach innych aplikacji są wdrażane w ciągu miesiąca od wydania.
- Usługi wymagające połączenia z Internetem, pakiety narzędzi biurowych, przeglądarki internetowe i ich rozszerzenia, klienty poczty e-mail, oprogramowanie do przeglądania plików PDF oraz produkty związane z bezpieczeństwem, które przestały być wspierane przez swoich dostawców, są usuwane.
| Trzeci poziom dojrzałości - Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach.
- Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk.
- Skaner luk w zabezpieczeniach jest stosowany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach usług internetowych.
- Skaner luk w zabezpieczeniach jest używany co najmniej raz w tygodniu w celu identyfikowania brakujących poprawek lub aktualizacji pod kątem luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem.
- Skaner luk w zabezpieczeniach jest stosowany co najmniej raz na dwa tygodnie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach innych aplikacji.
- Poprawki, aktualizacje lub inne środki ograniczające przewidziane przez dostawców i dotyczące luk w zabezpieczeniach usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
- Poprawki, aktualizacje lub inne ograniczenia dostawców przewidziane przez dostawców i dotyczące luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem, wdrażane są w ciągu dwóch tygodni od wydania bądź w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
- Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach innych aplikacji są wdrażane w ciągu miesiąca od wydania.
- Aplikacje, które nie są już wspierane przez swoich dostawców, są usuwane.
| Wszystkie nasze produkty i oferowane usługi są objęte rozbudowanym procesem usuwania błędów (w którym wykorzystujemy nasz własny produkt Jira do rejestrowania zgłoszeń i ułatwiania zarządzania rozwiązywaniem wniosków). U jego podstaw leżą liczne zasady dotyczące naprawiania błędów zabezpieczeń, usługi doradcze oraz poziomy SLO, których przestrzegamy. Przyjmujemy zgłoszenia błędów za pośrednictwem naszego kanału wsparcia, programu wykrywania błędów oraz pod adresem security@atlassian.com. W naszym Centrum zaufania można znaleźć więcej informacji na temat naszych SLO poprawek błędów zabezpieczeń.
Więcej informacji na temat naszego podejścia do testowania zabezpieczeń można również znaleźć w naszym Centrum zaufania: Podejście do zewnętrznych testów zabezpieczeń
Zespół ds. bezpieczeństwa Atlassian wykorzystuje wiele metod wykrywania luk w zabezpieczeniach, zarówno w infrastrukturze wewnętrznej, jak i zewnętrznej. Zgłoszenia Jira są tworzone w celu śledzenia i naprawiania błędów, a terminy ustala się zgodnie z naszymi poziomami SLO, z uwzględnieniem zarówno ważności, jak i źródła luki w zabezpieczeniach. Prowadzimy ciągły proces tworzenia zgłoszeń dotyczących rozpoznanych luk w zabezpieczeniach kierowanych do właścicieli systemów, a nasz zespół ds. zarządzania bezpieczeństwem sprawdza każdą zgłoszoną lukę w zabezpieczeniach i dba o podjęcie stosownych działań zaradczych. |
Konfigurowanie ustawienia makr pakietu Microsoft Office | Pierwszy poziom dojrzałości - Makra pakietu Microsoft Office są wyłączone dla użytkowników, którzy nie wykazali, że są one niezbędne w ich pracy.
- Makra pakietu Microsoft Office w plikach pochodzących z Internetu są blokowane.
- Skanowanie antywirusowe makr pakietu Microsoft Office jest włączone.
- Użytkownicy nie mogą zmieniać ustawień zabezpieczeń dotyczących makr pakietu Microsoft Office.
| - Makra pakietu Microsoft Office są wyłączone dla użytkowników, którzy nie wykazali, że są one niezbędne w ich pracy.
- Makra pakietu Microsoft Office w plikach pochodzących z Internetu są blokowane. Skanowanie antywirusowe makr pakietu Microsoft Office jest włączone.
- Makra pakietu Microsoft Office są zablokowane przed wykonywaniem wywołań interfejsu API Win32.
- Użytkownicy nie mogą zmieniać ustawień zabezpieczeń dotyczących makr pakietu Microsoft Office.
- Zdarzenia dopuszczenia i zablokowania zdarzeń wykonywania makr pakietu Microsoft Office są rejestrowane.
| Trzeci poziom dojrzałości - Makra pakietu Microsoft Office są wyłączone dla użytkowników, którzy nie wykazali, że są one niezbędne w ich pracy.
- Dopuszczalne jest jedynie wykonywaniem makr pakietu Microsoft Office uruchamianych ze środowiska piaskownicy, zaufanej lokalizacji lub makr podpisanych cyfrowo przez zaufanego wydawcę.
- Tylko użytkownicy mający specjalne uprawnienia, odpowiedzialni za sprawdzenie, czy makra pakietu Microsoft Office nie zawierają złośliwego kodu, mogą zapisywać i modyfikować treści w zaufanych lokalizacjach.
- Makr pakietu Microsoft Office podpisanych cyfrowo przez niezaufanego wydawcę nie można włączyć za pomocą paska komunikatów ani widoku Backstage.
- Lista zaufanych wydawców pakietu Microsoft Office jest sprawdzana nie rzadziej niż co roku.
- Makra pakietu Microsoft Office w plikach pochodzących z Internetu są blokowane.
- Skanowanie antywirusowe makr pakietu Microsoft Office jest włączone.
- Makra pakietu Microsoft Office są zablokowane przed wykonywaniem wywołań interfejsu API Win32.
- Użytkownicy nie mogą zmieniać ustawień zabezpieczeń dotyczących makr pakietu Microsoft Office.
- Zdarzenia dopuszczenia i zablokowania zdarzeń wykonywania makr pakietu Microsoft Office są centralnie rejestrowane.
- Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem.
- Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.
| Atlassian współpracuje z zewnętrznymi podwykonawcami przy dostarczaniu witryn internetowych, tworzeniu aplikacji, hostingu, konserwacji, tworzeniu kopii zapasowych, przechowywaniu danych, infrastrukturze wirtualnej, przetwarzaniu płatności, analizie i innych usługach. Ci dostawcy usług mogą mieć dostęp do identyfikowalnych danych osobowych lub przetwarzać je w celu świadczenia tych usług dla nas. Atlassian informuje swoich klientów o korzystaniu z usług podwykonawców, którzy mogą przetwarzać ich dane osobowe, poprzez powiadomienie przed rozpoczęciem przetwarzania. Zewnętrzna lista podwykonawców, z którymi współpracuje Atlassian, znajduje się na stronie podrzędnych podmiotów przetwarzających dane tutaj: Lista podwykonawców podrzędnych podmiotów przetwarzających dane. Na stronie tej odwiedzających prosi się o subskrybowanie kanału RSS, aby otrzymywać powiadomienia o dodaniu nowych podrzędnych podmiotów Atlassian przetwarzających dane.
Z myślą o naszej flocie laptopów typu Mac wdrożyliśmy scentralizowane rozwiązanie do zarządzania systemem (Mobile Device Management). Na potrzeby naszych urządzeń końcowych z systemem Windows oraz smartfonów wdrożyliśmy rozwiązanie do zarządzania urządzeniami mobilnymi (VMware Workplace ONE). |
Wzmacnianie aplikacji użytkownika | Pierwszy poziom dojrzałości - Przeglądarki internetowe nie przetwarzają języka Java z Internetu.
- Przeglądarki internetowe nie przetwarzają reklam internetowych.
- Internet Explorer 11 nie przetwarza treści z Internetu.
- Użytkownicy nie mogą zmieniać ustawienia zabezpieczeń przeglądarki internetowej.
| - Przeglądarki internetowe nie przetwarzają języka Java z Internetu.
- Przeglądarki internetowe nie przetwarzają reklam internetowych.
- Internet Explorer 11 nie przetwarza treści z Internetu.
- Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla przeglądarek internetowych.
- Użytkownicy nie mogą zmieniać ustawienia zabezpieczeń przeglądarki internetowej.
- Zablokowano możliwość tworzenia procesów podrzędnych przez Microsoft Office.
- Zablokowano możliwość tworzenia zawartości wykonywalnej przez Microsoft Office.
- Zablokowano możliwość wstrzykiwania kodu do innych procesów przez Microsoft Office.
- Pakiet Microsoft Office jest skonfigurowany tak, aby uniemożliwiać aktywację pakietów OLE.
- Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla pakietu Microsoft Office.
- Użytkownicy nie mogą zmieniać ustawień zabezpieczeń pakietu Microsoft Office.
- Zablokowano możliwość tworzenia procesów podrzędnych przez oprogramowanie PDF.
- Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla oprogramowania PDF.
- Użytkownicy nie mogą zmieniać ustawień zabezpieczeń oprogramowania PDF.
- Zablokowane zdarzenia wykonywania skryptów PowerShell są rejestrowane.
| Trzeci poziom dojrzałości - Przeglądarki internetowe nie przetwarzają języka Java z Internetu.
- Przeglądarki internetowe nie przetwarzają reklam internetowych.
- Przeglądarka Internet Explorer 11 jest wyłączona lub usunięta.
- Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla przeglądarek internetowych.
- Użytkownicy nie mogą zmieniać ustawienia zabezpieczeń przeglądarki internetowej.
- Zablokowano możliwość tworzenia procesów podrzędnych przez Microsoft Office.
- Zablokowano możliwość tworzenia zawartości wykonywalnej przez Microsoft Office.
- Zablokowano możliwość wstrzykiwania kodu do innych procesów przez Microsoft Office.
- Pakiet Microsoft Office jest skonfigurowany tak, aby uniemożliwiać aktywację pakietów OLE.
- Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla pakietu Microsoft Office.
- Użytkownicy nie mogą zmieniać ustawień zabezpieczeń pakietu Microsoft Office.
- Zablokowano możliwość tworzenia procesów podrzędnych przez oprogramowanie PDF.
- Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla oprogramowania PDF.
- Użytkownicy nie mogą zmieniać ustawień zabezpieczeń oprogramowania PDF.
- Program .NET Framework 3.5 (w tym .NET 2.0 i 3.0) jest wyłączony lub usunięty.
- Program Windows PowerShell 2.0 jest wyłączony lub usunięty.
- Program PowerShell jest skonfigurowany pod kątem korzystania z trybu ograniczonego języka.
- Zablokowane zdarzenia wykonywania skryptów PowerShell są rejestrowane centralnie.
- Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem.
- Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.
| Kompilacje podstawowego obrazu systemu operacyjnego AWS Linux AMI mają ograniczone porty, protokoły i usługi. Porównujemy nasze kompilacje z obecną wersją AMI, aby zapewnić odpowiednie ustawienia.
Nasze obrazy Docker są zarządzane w ściśle kontrolowanym środowisku zmian, aby umożliwić odpowiedni przegląd i zatwierdzanie wszelkich zmian.
Nasze punkty końcowe są wzmocnione, aby chronić naszych użytkowników, jednak nie ograniczamy dostępu do portów sprzętowych.
Używamy zewnętrznego produktu proxy HTTP dla naszej publicznej krawędzi Jira/Confluence i wdrożyliśmy w niej reguły zabezpieczeń HTTP warstwy 7. (można to nazwać WAF — funkcjonalność jest zasadniczo taka sama). |
Ogranicz uprawnienia administracyjne | Pierwszy poziom dojrzałości - Wnioski o uprzywilejowany dostęp do systemów i aplikacji są weryfikowane z chwilą ich otrzymania po raz pierwszy.
- Konta uprzywilejowane (z wyłączeniem uprzywilejowanych kont usług) nie mają dostępu do Internetu, poczty elektronicznej ani usług internetowych.
- Uprzywilejowani użytkownicy korzystają z oddzielnych uprzywilejowanych i nieuprzywilejowanych środowisk.
- Nieuprzywilejowane konta nie mogą logować się do uprzywilejowanych środowisk operacyjnych.
- Konta uprzywilejowane (z wyłączeniem kont administratorów lokalnych) nie mogą logować się do nieuprzywilejowanych środowisk operacyjnych.
| - Wnioski o uprzywilejowany dostęp do systemów i aplikacji są weryfikowane z chwilą ich otrzymania po raz pierwszy.
- Uprzywilejowany dostęp do systemów i aplikacji jest automatycznie wyłączany po 12 miesiącach, chyba że zostanie ponownie zatwierdzony.
- Uprzywilejowany dostęp do systemów i aplikacji jest automatycznie wyłączany po 45 dniach braku aktywności.
- Konta uprzywilejowane (z wyłączeniem uprzywilejowanych kont usług) nie mają dostępu do Internetu, poczty elektronicznej ani usług internetowych.
- Uprzywilejowani użytkownicy korzystają z oddzielnych uprzywilejowanych i nieuprzywilejowanych środowisk.
- Uprzywilejowane środowiska operacyjne nie są wirtualizowane w nieuprzywilejowanych środowiskach operacyjnych.
- Nieuprzywilejowane konta nie mogą logować się do uprzywilejowanych środowisk operacyjnych.
- Konta uprzywilejowane (z wyłączeniem kont administratorów lokalnych) nie mogą logować się do nieuprzywilejowanych środowisk operacyjnych.
- Działania administracyjne są prowadzone za pośrednictwem serwerów typu jump.
- Dane uwierzytelniające kont administratorów lokalnych i kont usług są długie, unikatowe, nieprzewidywalne i zarządzane.
- Zdarzenia dostępu uprzywilejowanego są rejestrowane.
- Zdarzenia związane z zarządzaniem grupami i kontami uprzywilejowanymi są rejestrowane.
| Trzeci poziom dojrzałości - Wnioski o uprzywilejowany dostęp do systemów i aplikacji są weryfikowane z chwilą ich otrzymania po raz pierwszy.
- Uprzywilejowany dostęp do systemów i aplikacji jest automatycznie wyłączany po 12 miesiącach, chyba że zostanie ponownie zatwierdzony.
- Uprzywilejowany dostęp do systemów i aplikacji jest automatycznie wyłączany po 45 dniach braku aktywności.
- Uprzywilejowany dostęp do systemów i aplikacji jest ograniczony tylko do tego, czego wymagają użytkownicy i usługi do wykonywania swoich obowiązków.
- Konta uprzywilejowane nie mają dostępu do Internetu, poczty elektronicznej ani usług internetowych.
- Uprzywilejowani użytkownicy korzystają z oddzielnych uprzywilejowanych i nieuprzywilejowanych środowisk.
- Uprzywilejowane środowiska operacyjne nie są wirtualizowane w nieuprzywilejowanych środowiskach operacyjnych.
- Nieuprzywilejowane konta nie mogą logować się do uprzywilejowanych środowisk operacyjnych.
- Konta uprzywilejowane (z wyłączeniem kont administratorów lokalnych) nie mogą logować się do nieuprzywilejowanych środowisk operacyjnych.
- Administracja just-in-time służy do administrowania systemami i aplikacjami.
- Działania administracyjne są prowadzone za pośrednictwem serwerów typu jump.
- Dane uwierzytelniające kont administratorów lokalnych i kont usług są długie, unikatowe, nieprzewidywalne i zarządzane.
- Windows Defender Credential Guard i Windows Defender Remote Credential Guard są włączone.
- Zdarzenia dostępu uprzywilejowanego są rejestrowane centralnie.
- Zdarzenia związane z zarządzaniem grupami i kontami uprzywilejowanymi są rejestrowane centralnie.
- Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem.
- Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.
| Firma Atlassian ogranicza dostęp do personelu, który potrzebuje tego dostępu ze względu na swoją rolę i obowiązki. Wszystkie systemy warstwy 1 są zarządzane za pośrednictwem scentralizowanej usługi logowania jednokrotnego (SSO) oraz katalogu Atlassian. Użytkownicy otrzymują odpowiednie prawa dostępu w oparciu o te profile, sterowane za pomocą przepływu pracy z naszego systemu zarządzania HR. W przypadku dostępu do wszystkich systemów warstwy 1 firma Atlassian stosuje uwierzytelnianie wieloskładnikowe. Włączyliśmy usługę uwierzytelniania dwuskładnikowego w konsoli zarządzania usługą hipernadzorcy oraz w interfejsie API AWS, a także codzienny raport z audytu na temat wszystkich prób uzyskania dostępu do funkcji zarządzania usługą hipernadzorcy. Listy dostępu do konsoli zarządzania usługą hipernadzorcy oraz interfejsu API AWS są przeglądane co kwartał. Co 8 godzin przeprowadzamy również synchronizację naszego systemu HR i magazynu tożsamości.
W procesie weryfikacji uprawnień stosujemy cykl przeglądu usług krytycznych składający się z dwóch przeglądów na rok. Weryfikacja dostępu użytkowników odbywa się regularnie z udziałem właścicieli systemów w przypadku wewnętrznych kont użytkowników korporacyjnych. |
Poprawki systemów operacyjnych | Pierwszy poziom dojrzałości - Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach.
- Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk.
- Skaner luk w zabezpieczeniach jest używany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych usług internetowych.
- Skaner luk w zabezpieczeniach jest używany co najmniej raz na dwa tygodnie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych stacji roboczych, serwerów i urządzeń sieciowych.
- Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
- Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych stacji roboczych, serwerów i urządzeń sieciowych są wdrażane w ciągu miesiąca od wydania.
- Systemy operacyjne, które nie są już obsługiwane przez dostawców, są zastępowane.
| - Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach.
- Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk.
- Skaner luk w zabezpieczeniach jest używany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych usług internetowych.
- Skaner luk w zabezpieczeniach jest używany co najmniej raz na tydzień w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych stacji roboczych, serwerów i urządzeń sieciowych.
- Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
- Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych stacji roboczych, serwerów i urządzeń sieciowych są wdrażane w ciągu dwóch tygodni od wydania.
- Systemy operacyjne, które nie są już obsługiwane przez dostawców, są zastępowane.
| Trzeci poziom dojrzałości - Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach.
- Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk.
- Skaner luk w zabezpieczeniach jest używany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych usług internetowych.
- Skaner luk w zabezpieczeniach jest używany co najmniej raz na tydzień w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych stacji roboczych, serwerów i urządzeń sieciowych.
- Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
- Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych stacji roboczych, serwerów i urządzeń sieciowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
- Używane są najnowsze lub poprzednie wydania systemów operacyjnych. Systemy operacyjne, które nie są już obsługiwane przez dostawców, są zastępowane.
| Wszystkie nasze produkty i oferowane usługi są objęte rozbudowanym procesem usuwania błędów (w którym wykorzystujemy nasz własny produkt Jira do rejestrowania zgłoszeń i ułatwiania zarządzania rozwiązywaniem wniosków). U jego podstaw leżą liczne zasady dotyczące naprawiania błędów zabezpieczeń, usługi doradcze oraz poziomy SLO, których przestrzegamy. Przyjmujemy zgłoszenia błędów za pośrednictwem naszego kanału wsparcia, programu wykrywania błędów oraz pod adresem security@atlassian.com. W naszym Centrum zaufania można znaleźć więcej informacji na temat naszych SLO poprawek błędów zabezpieczeń.
Więcej informacji na temat naszego podejścia do testowania zabezpieczeń można również znaleźć w naszym Centrum zaufania: Podejście do zewnętrznych testów zabezpieczeń
Zespół ds. bezpieczeństwa Atlassian wykorzystuje wiele metod wykrywania luk w zabezpieczeniach, zarówno w infrastrukturze wewnętrznej, jak i zewnętrznej. Zgłoszenia Jira są tworzone w celu śledzenia i naprawiania błędów, a terminy ustala się zgodnie z naszymi poziomami SLO, z uwzględnieniem zarówno ważności, jak i źródła luki w zabezpieczeniach. Prowadzimy ciągły proces tworzenia zgłoszeń dotyczących rozpoznanych luk w zabezpieczeniach kierowanych do właścicieli systemów, a nasz zespół ds. zarządzania bezpieczeństwem sprawdza każdą zgłoszoną lukę w zabezpieczeniach i dba o podjęcie stosownych działań zaradczych. |
Uwierzytelnianie wieloskładnikowe | Pierwszy poziom dojrzałości - Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji, gdy uwierzytelniają się w usługach internetowych swojej organizacji.
- Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują poufne dane organizacji.
- Uwierzytelnianie wieloskładnikowe (gdy jest dostępne) jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują niepoufne dane organizacji.
- Uwierzytelnianie wieloskładnikowe jest domyślnie włączone dla użytkowników nienależących do organizacji (ale mogą z niego zrezygnować), gdy uwierzytelniają się w usługach internetowych organizacji.
| - Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji, gdy uwierzytelniają się w usługach internetowych swojej organizacji.
- Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują poufne dane organizacji.
- Uwierzytelnianie wieloskładnikowe (gdy jest dostępne) jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują niepoufne dane organizacji.
- Uwierzytelnianie wieloskładnikowe jest domyślnie włączone dla użytkowników nienależących do organizacji (ale mogą z niego zrezygnować), gdy uwierzytelniają się w usługach internetowych organizacji.
- Uwierzytelnianie wieloskładnikowe służy do uwierzytelniania uprzywilejowanych użytkowników systemów.
- Uwierzytelnianie wieloskładnikowe wykorzystuje coś, co użytkownicy mają, coś, co użytkownicy wiedzą, albo coś, co użytkownicy mają, a co jest odblokowywane przez coś, co użytkownicy wiedzą, lub przez coś, czym są.
- Udane i nieudane zdarzenia uwierzytelniania wieloskładnikowego są rejestrowane.
| Trzeci poziom dojrzałości - Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji, gdy uwierzytelniają się w usługach internetowych swojej organizacji.
- Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji, gdy uwierzytelniają się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują poufne dane swojej organizacji.
- Uwierzytelnianie wieloskładnikowe (gdy jest dostępne) jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują niepoufne dane organizacji.
- Uwierzytelnianie wieloskładnikowe jest domyślnie włączone dla użytkowników nienależących do organizacji (ale mogą z niego zrezygnować), gdy uwierzytelniają się w usługach internetowych organizacji.
- Uwierzytelnianie wieloskładnikowe służy do uwierzytelniania uprzywilejowanych użytkowników systemów.
- Uwierzytelnianie wieloskładnikowe służy do uwierzytelniania użytkowników ważnych repozytoriów danych.
- Uwierzytelnianie wieloskładnikowe jest odporne na ataki typu phishing i wykorzystuje coś, co użytkownicy mają, coś, co użytkownicy wiedzą, albo coś, co użytkownicy mają, a co jest odblokowywane przez coś, co użytkownicy wiedzą, lub przez coś, czym są.
- Udane i nieudane zdarzenia uwierzytelniania wieloskładnikowego są rejestrowane centralnie.
- Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem.
- Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.
| W przypadku Confluence, Jira uwierzytelnianie wieloskładnikowe jest dostępne dla poszczególnych kont. Aby uzyskać więcej informacji na temat włączania uwierzytelniania wieloskładnikowego, zobacz: Wymuszanie weryfikacji dwuetapowej
BBC nadal obsługuje 2FA od lutego 2022 r. zasadniczo jest częścią narzędzia Atlassian Access i obsługuje dodatkowe funkcje oferowane przez Access. Wymuszone uwierzytelnianie wieloskładnikowe można ustawić na poziomie organizacji za pomocą narzędzia Atlassian Access. Aby uzyskać więcej informacji, patrz Wymuszanie weryfikacji dwuetapowej
W odniesieniu do określonych produktów
BitBucket obsługuje używanie opcji SSO opartych na MFA. Aby uzyskać więcej informacji, patrz Wymuszanie weryfikacji dwuetapowej | Bitbucket Cloud
Halp używa SSO za pośrednictwem Slack OAuth i MS Teams. Slack i MS Teams zapewniają wiele opcji uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, patrz Logowanie jednokrotne SAML i Azure AD Connect: bezproblemowe logowanie jednokrotne
Opsgenie obsługuje używanie opcji SSO opartych na MFA. Aby uzyskać więcej informacji, patrz Konfigurowanie SSO dla Opsgenie
Statuspage obsługuje używanie opcji SSO opartych na MFA.
Trello obsługuje uwierzytelnianie wieloskładnikowe. Aby uzyskać więcej informacji na temat włączania uwierzytelniania wieloskładnikowego, patrz Włączanie uwierzytelniania dwuskładnikowego na koncie Trello
Jira Align obsługuje używanie opcji SSO opartych na MFA. |
Regularne kopie zapasowe | Pierwszy poziom dojrzałości - Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są wykonywane i przechowywane z częstotliwością i przedziałem czasowym przechowywania zgodnymi z wymaganiami dotyczącymi zapewniania ciągłości działalności biznesowej.
- Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są synchronizowane tak, aby umożliwić ich przywrócenie do wspólnego punktu w czasie.
- Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są przechowywane w bezpieczny i niezawodny sposób.
- Przywracanie ważnych danych, oprogramowania i ustawień konfiguracji z kopii zapasowych do wspólnego punktu w czasie jest testowane w ramach testów odzyskiwania awaryjnego.
- Konta nieuprzywilejowane nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont.
- Nieuprzywilejowane konta nie mogą modyfikować ani usuwać kopii zapasowych.
| - Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są wykonywane i przechowywane z częstotliwością i przedziałem czasowym przechowywania zgodnymi z wymaganiami dotyczącymi zapewniania ciągłości działalności biznesowej.
- Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są synchronizowane tak, aby umożliwić ich przywrócenie do wspólnego punktu w czasie.
- Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są przechowywane w bezpieczny i niezawodny sposób.
- Przywracanie ważnych danych, oprogramowania i ustawień konfiguracji z kopii zapasowych do wspólnego punktu w czasie jest testowane w ramach testów odzyskiwania awaryjnego.
- Konta nieuprzywilejowane nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont.
- Konta uprzywilejowane (poza kontami administratorów kopii zapasowych) nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont.
- Nieuprzywilejowane konta nie mogą modyfikować ani usuwać kopii zapasowych.
- Konta uprzywilejowane (poza kontami administratorów kopii zapasowych) nie mogą modyfikować ani usuwać kopii zapasowych.
| Trzeci poziom dojrzałości - Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są wykonywane i przechowywane z częstotliwością i przedziałem czasowym przechowywania zgodnymi z wymaganiami dotyczącymi zapewniania ciągłości działalności biznesowej.
- Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są synchronizowane tak, aby umożliwić ich przywrócenie do wspólnego punktu w czasie.
- Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są przechowywane w bezpieczny i niezawodny sposób.
- Przywracanie ważnych danych, oprogramowania i ustawień konfiguracji z kopii zapasowych do wspólnego punktu w czasie jest testowane w ramach testów odzyskiwania awaryjnego.
- Konta nieuprzywilejowane nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont ani ich własnych kont.
- Konta uprzywilejowane (poza kontami administratorów kopii zapasowych) nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont ani ich własnych kont.
- Nieuprzywilejowane konta nie mogą modyfikować ani usuwać kopii zapasowych. Konta uprzywilejowane (w tym konta administratorów kopii zapasowych) nie mogą modyfikować ani usuwać kopii zapasowych w okresie ich przechowywania.
| Firma Atlassian przestrzega standardów dotyczących przechowywania i niszczenia danych, które określają, jak długo musimy zatrzymywać różnego rodzaju dane. Dane są klasyfikowane zgodnie z zasadami firmy Atlassian dotyczącymi bezpieczeństwa danych i cyklu życia informacji, a na tej podstawie wdrażane są środki kontroli. W przypadku danych klienta w momencie rozwiązania umowy z firmą Atlassian dane należące do zespołu klienta zostaną usunięte z aktywnej produkcyjnej bazy danych, w wszystkie pliki załączników przekazane bezpośrednio do firmy Atlassian zostaną usunięte w ciągu 14 dni. Dane zespołu zostaną zachowane w zaszyfrowanych kopiach zapasowych przez 60 dni, a następnie zniszczone zgodnie z zasadami przechowywania danych firmy Atlassian. Jeśli w ciągu 60 dni od zażądania usunięcia danych konieczne okaże się przywrócenie bazy danych, zespół odpowiedzialny za eksploatację systemów ponownie usunie dane możliwie jak najszybciej po pełnym przywróceniu aktywnego systemu produkcyjnego. Aby uzyskać więcej informacji, zobacz temat: Monitorowanie pamięci masowej i przenoszenie danych między produktami |