Наша Программа поддержки безопасности
Программа поддержки безопасности Atlassian
Компания Atlassian хорошо понимает, что нельзя почивать на лаврах, когда дело касается безопасности. Одна из наших основных ценностей — «воплощать в себе то, к чему стремишься», и мы целенаправленно придерживаемся ее, постоянно совершенствуя наш подход к безопасности по мере эволюционирования киберугроз.
Примером такого постоянного совершенствования является наша Программа поддержки безопасности.
Что такое Программа поддержки безопасности?
На платформе управления инцидентами и событиями безопасности Atlassian по расписанию выполняются профилактические обнаружения — поисковые запросы, предназначенные для выявления вредоносных действий против компании Atlassian и ее клиентов. Так, предусмотрены обнаружения для анализа заголовков входящей электронной почты, выявления вредоносного поведения расширений браузера или идентификации подозрительной структуры DNS-трафика.
К концу 2018 года компания Atlassian представила официальную Программу поддержки безопасности и утвердила ее в качестве основного подхода для команды выявления угроз безопасности. Программа поддержки безопасности направлена на сокращение времени обнаружения вредоносных действий. Это достигается путем регулярного создания новых обнаружений, настройки и совершенствования существующих обнаружений, а также автоматизации реагирования на обнаружения.
Программа поддержки безопасности дополняет существующие процессы управления инцидентами безопасности Atlassian. Хотя служба безопасности Atlassian доверяет этим процессам, программа была создана с учетом того, что Atlassian продолжает расти и обслуживает все больше клиентов по всему миру, поэтому нам необходимо:
расширить наши возможности по скорейшему выявлению инцидентов на фоне все более сложных угроз;
убедиться, что наш подход к управлению инцидентами не только учитывает угрозы, с которыми мы сталкиваемся сейчас, но и в достаточной степени предвосхищает угрозы, с которыми мы столкнемся в будущем.
Цели Программы поддержки безопасности
Ключевые цели внедрения Программы поддержки безопасности с точки зрения Atlassian состояли в следующем:
увеличить долю инцидентов безопасности, которые выявляются в результате оповещений об обнаружениях, созданных службой безопасности, и уменьшить долю тех, которые могли быть выявлены таким образом, однако попали в поле зрения благодаря иному источнику (например, внешним отчетам/уведомлениям);
понять и расширить диапазон наших обнаружений по целому ряду направлений, включая продукты, типы атак и источники журналов, с конечной целью максимально приблизить охват к 100 %;
обеспечить ясный способ измерения и проверки подхода нашей команды к обнаружению инцидентов безопасности, чтобы все вместе мы могли быть уверены, что движемся в правильном направлении и постепенно расширяем наши возможности обнаружения инцидентов и реагирования на них.
Программа также позволила нашей команде выявления угроз безопасности усовершенствовать как навыки работы со Splunk, так и навыки написания обнаружений в целом, поскольку аналитикам безопасности Atlassian теперь выделено время на обсуждение и разработку идей обнаружения.
Как работает программа
В рамках программы каждый аналитик команды выявления угроз безопасности должен писать как минимум одно новое обнаружение безопасности в месяц.
Когда аналитик пишет новое обнаружение, он также составляет:
- подробную документацию, описывающую, как работает обнаружение и каковы его последствия для безопасности;
- перечень действий в ответ на обнаружение, когда оно генерирует оповещение. Такие перечни действий доступны из заявок Jira, создаваемых для оповещений об обнаружении, поэтому у аналитиков есть вся информация, необходимая для быстрого реагирования на оповещения;
- документированный анализ обнаружений для определения динамики соотношения истинных и ложных срабатываний;
- классификацию обнаружения по соответствующему продукту, службе и источнику журналов Atlassian, а также по вектору или методу атаки, к которому относится это обнаружение (что помогает нам получить хорошее общее представление о диапазоне обнаружений).
Каждое обнаружение также проходит проверку коллегами, что гарантирует его качество и способствует обмену знаниями внутри команды.
Когда обнаруживается что-то потенциально вредоносное, генерируется оповещение, на которое реагирует команда выявления угроз безопасности. В результате может быть начато расследование или сформирован инцидент безопасности либо срабатывание будет признано незначительным или ложным.
Стандартизация обнаружений
Специалисты по безопасности Atlassian рано осознали, что необходим метод достижения высокого уровня согласованности и качества обнаружений, написанных аналитиками. Без процедуры стандартизации команда рисковала получить обнаружения с несогласованными именами, неразвитыми процессами управления версиями и неполными историческими данными, при этом не имея возможности оценить охват различных продуктов и служб обнаружениями.
Для достижения цели команда создала стандартную схему классификации обнаружений. Когда аналитик пишет новое обнаружение, оно проходит автоматизированный процесс, гарантирующий соответствие требованиям схемы. Рабочий процесс в общих чертах выглядит следующим образом.
- Аналитик по выявлению угроз безопасности создает задачу Jira для любых новых сценариев обнаружения, которые пишет. Jira служит единым достоверным источником информации для всех наших обнаружений.
- Для формирования нового обнаружения аналитик выбирает пользовательский тип задачи, который требует заполнения базового набора данных, включая относящиеся к обнаружению продукты, службы и инфраструктуру, типы атак и текстовые поля для логики поиска Splunk.
- После того как обнаружение создано, мы стандартизируем его, запустив инструмент командной строки, специально разработанный командой автоматизации. Этот инструмент помогает проверить обнаружение и распространить его по различным системам и компонентам, составляющим конвейер оповещений. Данный инструмент, в частности:
- считывает задачу Jira в объект Jira;
- проверяет поля задачи и добавляет ключевые метки;
- генерирует стандартное имя для обнаружения и создает запросы pull для него, которые содержат строфу Splunk, ключи и параметры, необходимые, чтобы обнаружение выполняло запланированные поисковые запросы и распространяло оповещения на Jira;
- создает и заполняет страницу Confluence, на которую аналитики могут добавлять сведения при реагировании на оповещение, и связывает ее с соответствующей задачей Jira. Таким образом расширяется видимость и собирается историческая информация об обнаружениях. Кроме того, формируется «представление уровня руководства» с критически важной информацией, необходимой для отчетности.
Процесс стандартизации также позволяет команде классифицировать каждое обнаружение в соответствии с типом атаки и продуктом, службой или инфраструктурой Atlassian, к которой оно относится, обеспечивая единое «витринное» представление об охвате задач команды выявления угроз безопасности и, в частности, выделяя области, где могут присутствовать требующие внимания лакуны.
В настоящее время команда выявления угроз безопасности использует платформу MITRE ATT&CK в качестве отправной точки для классификации обнаружений в зависимости от типа атаки. В дополнение к этому работа «красной команды» безопасности Atlassian, прошлые инциденты и понимание командой возникающих угроз и методов атак способствуют выявлению приоритетных областей, на которых командам следует сосредоточиться при написании новых обнаружений.
***Вышеприведенные данные и цифры указаны для примера.
Компания Atlassian считает такой подход огромным шагом вперед в обеспечении ясности и целенаправленности Программы поддержки безопасности, а также в формировании высокого уровня согласованности и качества разрабатываемых обнаружений.
Система предотвращения вторжений (IPS)
Atlassian использует Cloudflare Enterprise для брандмауэра веб-приложений, DDOS и терминации только TLS 1.2. В пределах брандмауэра в решении включена функция AlertLogic IDS.
Резюме
Программа поддержки безопасности является важной частью упреждающего подхода Atlassian к обнаружению инцидентов и реагированию на них. Мы считаем, что применяемый нами подход к стандартизации может принести пользу командам безопасности во многих организациях. Чтобы узнать больше, обратитесь в нашу команду поддержки.
Хотите узнать больше?
Мы опубликовали ряд других ресурсов, где можно узнать о нашем подходе к обработке инцидентов безопасности и общем подходе к обеспечению безопасности.