Nasze podejście do zarządzania incydentami związanymi z bezpieczeństwem
Nasze podejście do obsługi incydentów związanych z bezpieczeństwem
Atlassian oferuje kompleksowy zestaw środków bezpieczeństwa w celu zapewniania ochrony informacji o klientach i udostępniania możliwie jak najbardziej niezawodnych i najbezpieczniejszych usług. Jednak zdajemy sobie również sprawę, że incydenty związane z bezpieczeństwem mogą się zdarzyć (i wciąż się zdarzają), dlatego równie ważne jest dysponowanie skutecznymi metodami radzenia sobie z nimi, gdy już się pojawią.
W związku z tym wytyczyliśmy wyraźną ścieżkę reagowania na incydenty związane z bezpieczeństwem, które wywierają wpływ na nasze usługi lub infrastrukturę.Nasze podejście do reagowania na incydenty obejmuje kompleksowe rejestrowanie i monitorowanie naszych produktów oraz infrastruktury, dzięki czemu błyskawicznie wykrywamy potencjalne incydenty. Towarzyszą temu starannie zdefiniowane procesy, które w jasny sposób precyzują sposoby postępowania na każdym etapie incydentu. Cały proces jest obsługiwany przez zespół wysoce wykwalifikowanych kierowników ds. incydentów pełniących dyżury domowe. Są to osoby o dużym doświadczeniu w zakresie koordynowania skutecznych reakcji. Mamy również dostęp do szeregu ekspertów zewnętrznych, którzy pomagają nam w badaniu incydentów i możliwie jak najbardziej efektywnym reagowaniu. Wypracowaliśmy nasze podejście do zarządzania incydentami w oparciu o wytyczne zawarte w przewodniku na temat postępowania w przypadku incydentów związanych z bezpieczeństwem komputerowym NIST 800-61 i katalogujemy nasze incydenty zgodnie z podstawą ramową VERIS opracowaną przez Verizon.
Więcej na temat naszej filozofii i podejścia
Pod pojęciem incydentu związanego z bezpieczeństwem rozumiemy dowolny incydent wywierający lub mogący wywierać negatywny wpływ na poufność, integralność lub dostępność danych klientów, danych Atlassian lub usług Atlassian.
Wcześniej uwzględnialiśmy skutki opisywane słowem „zamierzone”, jednak usunięto je, aby uwzględnić także przypadkowe wycieki danych itp.
Podstawą naszego sposobu reagowania na incydenty związane z bezpieczeństwem, jest przestrzeganie naszych wartości, a w szczególności „niegranie klientom na nerwach”. Skupiamy się na wprowadzaniu najlepszych procesów, dzięki czemu radzimy sobie z incydentami związanymi z bezpieczeństwem w sposób, który jest zawsze zgodny z najlepszym interesem naszych klientów i zapewnia ich niezmienne zadowolenie z jakości naszych produktów. W tym celu opracowaliśmy kompleksowy proces reagowania na incydenty obejmujący kilka opisanych poniżej elementów.
Kilka sposobów szybkiego wykrywania potencjalnych incydentów
Mamy kilka mechanizmów monitorujących do wykrywania usterek lub nieprawidłowości w naszych produktach i infrastrukturze, które mogą stanowić wskaźnik informujący o potencjalnym incydencie związanym z bezpieczeństwem. Systemy te ostrzegają nas natychmiast o wykryciu aktywności wymagającej dalszego dochodzenia. Dysponujemy platformą do przechwytywania i analizy zagregowanych dzienników, na której dzienniki gromadzone są w jednym miejscu, dzięki czemu nasi analitycy mogą szybko i dokładnie analizować ich zawartość, a nasi inżynierowie ds. niezawodności witryn monitorują platformę, dbając o jej stałą dostępność. Tworzymy również alerty w naszej aplikacji do obsługi zdarzeń i informacji związanych z bezpieczeństwem, które następnie wykorzystujemy do proaktywnego powiadamiania naszych zespołów.
Obsługujemy również zewnętrzne kanały zgłaszania, za pośrednictwem których mogą napływać do nas informacje o lukach w zabezpieczeniach i incydentach, takie jak nasz program wykrywania błędów Bug Bounty, portal wsparcia dla klientów czy specjalnie wyznaczone skrzynki e-mailowe i numery telefonów.
Ustalone ramy zarządzania incydentami związanymi z bezpieczeństwem
Aby zapewnić spójny, powtarzalny i efektywny proces reagowania na incydenty, mamy jasno określone ramy wewnętrzne, które obejmują kroki, jakie musimy podejmować na każdym etapie procesu reagowania na incydenty. Mamy udokumentowane i stale aktualizowane porady strategiczne, które szczegółowo określają kroki, jakie musimy podejmować, aby skutecznie reagować na różne rodzaje incydentów. Na poziomie ogólnym nasze zalecenia ramowe dotyczące reagowania obejmują:
Wykrywanie i analiza incydentów — kroki, jakie podejmujemy po otrzymaniu pierwszych powiadomień o potencjalnym incydencie, z uwzględnieniem sposobu potwierdzania, czy faktycznie doszło do incydentu związanego z bezpieczeństwem (w celu zminimalizowania liczby fałszywych alarmów), aż po odkrycie wektorów ataku, zakresu naruszenia i wpływu na firmę Atlassian oraz jej klientów.
Kategoryzacja incydentów według poziomu ważności — informacje na temat istoty incydentu uzyskane w wyniku właściwej analizy wykorzystujemy do określenia poziomu ważności incydentu. Każdemu incydentowi nadajemy jeden z czterech poziomów ważności:
Opis ważności incydentu | |
Ważność | Opis |
0 | Incydent kryzysowy o najpoważniejszych skutkach |
1 | Incydent krytyczny o bardzo poważnych skutkach |
2 | Incydent poważny o znaczących skutkach |
3 | Incydent mało ważny o niewielkich skutkach |
Poziom ważności incydentu ustalamy na podstawie różnych wskaźników — różnią się one, w zależności od produktu, którego dotyczy incydent, jednak ogólnie uwzględniają one wystąpienie całkowitej przerwy w dostępie do usługi (oraz liczbę poszkodowanych klientów), naruszenie podstawowych funkcji oraz ewentualną utratę danych.
Ograniczenie skutków, eliminowanie i odzyskiwanie — w oparciu o poziom ważności incydentu w dalszej kolejności ustalamy i wdrażamy środki niezbędne do ograniczenia skutków incydentu, wyeliminowania przyczyn leżących u jego podstaw i rozpoczynamy nasze procesy odzyskiwania, aby jak najszybciej przywrócić prawidłowe działanie. Oczywiście kroki, jakie podejmiemy w tej fazie, będą się znacznie różnić, w zależności od charakteru incydentu. Gdy będzie to korzystne dla naszych klientów (lub wynika z naszych zobowiązań prawnych lub umownych), na tym etapie procesu reagowania na incydenty Atlassian będzie również informować klientów o incydencie i jego potencjalnym wpływie na ich działalność.
Powiadomienie — dążymy do powiadamiania każdego klienta bez zbędnej zwłoki, jeśli potwierdzony incydent dotyczy jego danych. Na początku informacja może mieć charakter ogólny, jednak w miarę zdobywania kolejnych szczegółów, będziemy je udostępniać.
Proces gruntownego przeglądu po incydencie — po rozstrzygnięciu każdego incydentu przyglądamy się wnioskom, jakie możemy wyciągnąć z zaistniałego wydarzenia, które mogą dostarczyć cennych informacji do opracowywania rozwiązań technicznych, usprawnienia procesów i wprowadzenia dodatkowych najlepszych praktyk. Pozwala nam to oferować naszym klientom najwyższą jakość usług i jeszcze bardziej utrudniać działanie sprawcom ataków.
Jasno określone role i obowiązki
Zarządzanie każdym incydentem, jakiego doświadczamy, powierzamy jednemu z naszych wysoce wykwalifikowanych i doświadczonych kierowników ds. poważnych incydentów (w skrócie MIM). Osoby te zazwyczaj podejmują decyzje związane z bezpieczeństwem, nadzorują proces reagowania i przydzielają zadania wewnętrznie, aby usprawnić nasz proces reagowania.Kierownicy ci są wspierani przez analityków ds. incydentów, którzy prowadzą dochodzenie i analizują incydenty, a także przez szereg innych osób pełniących role pomocnicze w procesie reagowania. W wielu przypadkach, jeśli skutki incydentu obejmują swoim zasięgiem więcej niż jeden rejon geograficzny, do incydentu przydziela się dwóch kierowników ds. poważnych incydentów, dzięki czemu przez cały czas ktoś nadzoruje postępy w procesie reagowania na incydent, a działania związane z ograniczaniem skutków lub odzyskiwaniem nie są wstrzymywane ani w inny sposób zakłócane przez różnice czasu.
W przypadku incydentów na bardzo dużą skalę może się zdarzyć, że kierownik ds. poważnych incydentów (MIM) z innego zespołu (zazwyczaj inżynierów ds. zapewniania niezawodności witryn) zostanie wezwany do pomocy przy zarządzaniu procesem reagowania. Możesz poczytać więcej na temat ról i obowiązków, jakie przydzielamy w przypadku wystąpienia incydentów związanych z bezpieczeństwem.
Dostęp do zewnętrznych ekspertów w razie potrzeby
Czasami możemy potrzebować pomocnej dłoni od zewnętrznego eksperta, który pomoże nam w zbadaniu incydentu. Korzystamy z usług wyspecjalizowanych konsultantów ds. bezpieczeństwa cybernetycznego i kryminologów, gdy potrzebujemy dogłębnej analizy kryminalistycznej lub sądowej w związku ze śledztwem informatycznym prowadzonym w ramach sporów sądowych.
Jak wykorzystujemy własne narzędzia do zarządzania incydentami związanymi z bezpieczeństwem
Używamy specjalnie skonfigurowanych wersji wielu naszych własnych produktów, aby móc reagować na incydenty w sposób jak najbardziej metodyczny, spójny i dynamiczny. Należą do nich:
Confluence — używamy Confluence do wspólnego tworzenia, dokumentowania i aktualizowania naszych procesów reagowania na incydenty w centralnej lokalizacji, a także do rozpowszechniania tych procesów wśród wszystkich pracowników i szybkiej ich aktualizacji w odpowiedzi na wnioski wyciągnięte z poprzednich incydentów. Confluence wykorzystujemy również do dokumentowania naszych gier i wyników poszukiwań.
Jira — system Jira wykorzystujemy do tworzenia zgłoszeń pomocnych zarówno w trakcie wstępnego badania potencjalnych incydentów, jak i monitorowania naszego procesu reagowania, jeśli początkowe dochodzenie potwierdzi, że istotnie doszło do incydentu. Zgłoszenia te pomagają nam gromadzić informacje dotyczące incydentu, opracowywać rozwiązania i wykonywać inne prace logistyczne (takie jak delegowanie zadań w ramach procesu reagowania i kontaktowanie się z innymi zespołami w firmie, jeśli zajdzie taka potrzeba). System Jira wykorzystujemy również do śledzenia wszelkich pozorowanych ataków oraz ich pomyślnego lub niepomyślnego wyniku.
Bitbucket — system Bitbucket jest naszym narzędziem do kontroli powstającego kodu źródłowego podczas opracowywania opartych na kodzie rozwiązań unikalnych problemów pobocznych, jakie mogą pojawiać się w przypadku określonego rodzaju incydentów. Nad opracowanymi rozwiązaniami możemy następnie współpracować wewnętrzne i je testować, zachowując przy tym prywatny charakter działań, a w razie potrzeby pracując w szybkich iteracjach. System Bitbucket stosujemy także w kombinacji z planem ciągłej integracji i ciągłego wdrażania, wydając kod, który ułatwi wyeliminowanie przyczyny incydentu, wykrywanie przyszłych incydentów bądź zapobieganie ich występowaniu.
Zastosowanie tych narzędzi pomaga nam ustanowić ramy reagowania, dzięki którym każdy incydent, niezależnie od jego rodzaju, od początku zyskuje pewną strukturę, a niektóre jego aspekty są znajome, co pozwala nam możliwie szybko znaleźć rozwiązanie.
Podsumowanie
Atlassian stosuje solidne i kompleksowe podejście do obsługi incydentów związanych z bezpieczeństwem, skupione wokół korzystania z tych samych narzędzi, które udostępniamy naszym klientom. Dzięki temu możemy reagować na incydenty bardzo spójnie, przewidywalnie i skutecznie oraz minimalizować ryzyko szkód dla naszych klientów, naszych partnerów i samej firmy Atlassian.
Chcesz pogłębić swoją wiedzę?
Opublikowaliśmy szereg innych materiałów, z których można się dowiedzieć o naszym podejściu do obsługi incydentów związanych z bezpieczeństwem oraz naszym ogólnym podejściu do bezpieczeństwa.