安全與信任中心
你的數據安全是我們的首要任務
信任
我們信賴的平台是由嵌入安Beplay体育安卓版本全在整個軟件開發和交付生命周期。我們遵循嚴格的操作安全實踐如滲透測試、漏洞評估和強勁的內部訪問控製。我們相信公開透明是贏得信任的關鍵——我們分享如何運作,並與我們的客戶和合作夥伴緊密合作,解決他們的安全需求。beplay体育app下载地址我們提供了pci dss, HIPAA和FedRAMP合規,我們ISO 27001、ISO 27017、ISO 27018和SOC 2 II型兼容的。
合同的承諾
超出了文檔和最佳實踐,你會發現在我們的安全與信任中心,我們還提供合同承諾安全用平實的語言,我們所有的客戶。beplay体育app下载地址這個承諾中捕獲安全附件我們的客戶協議,描述了安全措施和實踐,我們保證您的數據安全。
脆弱性管理
檢測和快速修複脆弱的軟件,你依靠是最重要責任的任何軟件或服務提供者。我們認真對待這一責任和分享我們的修複時間承諾安全附件。
在內部,我們有自動化的脆弱性管理有效地跟蹤,優先考慮、協調、解決漏洞在我們的環境中。我們每天執行身份驗證漏洞掃描數據磚和磚使用的第三方/開源包,以及靜態和動態代碼分析(科協和DAST)使用可信安全掃描工具,在我們推廣新代碼或圖片來生產。磚也雇傭第三方專家分析我們的麵向公眾的網站和報告潛在的風險。
磚已經資助的一個漏洞響應程序監控新興漏洞之前他們掃描報告給我們的供應商。我們完成這個使用內部工具、社交媒體、郵件列表和威脅情報來源(例如,us - cert和其他政府,行業和開源提要)。磚監控漏洞平台開放,等Beplay体育安卓版本CVE趨勢和打開CVDB。我們有建立流程來應對這些我們可以快速識別影響我們公司產品或客戶。beplay体育app下载地址這個程序允許我們快速複製報告漏洞和解決零日漏洞。
我們的脆弱性管理項目致力於治療Severity-0漏洞,如零天,最高的緊迫感,優先解決高於其他產品。
滲透測試和bug賞金
我們執行滲透測試通過結合內部進攻安全團隊,合格的第三方滲透測試人員和全年的公共錯誤賞金計劃。我們使用的混合物起毛、安全代碼審查和動態應用程序測試評估平台的完整性和我們的應用程序的安全。Beplay体育安卓版本我們進行滲透測試的主要發行版,新的服務和安全敏感特性。進攻安全小組工作與我們的冠軍在事件反應小組和安全工程解決結果和注入知識的公司。
我們通常執行外部第三方滲透測試8 - 10和15 - 20每年內部滲透測試,和所有材料發現必須解決之前可以標記為一個測試通過。公開透明作為我們的承諾的一部分,我們分享我們的platform-wide第三方測試報告在我們的盡職調查方案。Beplay体育安卓版本
我們的公共錯誤賞金HackerOne促進了程序,允許一個全球網絡安全研究人員和集體滲透測試人員測試磚安全漏洞。的一些關鍵決定我們成功使程序包括:
- 鼓勵參與社區的黑客活躍在我們的程序通過提供透明度HackerOne項目統計數據如反應率和支出
- 及時響應錯誤賞金提交,平均time-to-bounty下一個星期
- 執行變異分析每個有效提交識別替代方式,利用可以使用,並驗證修複的100%
- 增加獎金驅動注意產品的最重要領域
我們努力使我們的項目成功,互相學習。我們的開放和協作方法錯誤賞beplay娱乐ios金計劃導致超過100安全研究人員感謝超過200報告。感謝大家幫助我們保持磚安全!
我們希望我們的客戶有信心beplay体育app下载地址在工作負載在磚上運行。如果你的團隊想要運行一個漏洞掃描對磚或滲透測試,我們建議您:
- 飛機係統上運行脆弱性掃描數據在雲服務提供商的帳戶。
- 對代碼運行測試,這些測試是完全包含在數據平麵(或其他係統)位於你的雲服務提供者賬戶和評估你的控製。
- 加入磚Bug的賞金程序訪問一個專門部署磚進行滲透測試。任何針對我們的多租戶的滲透測試控製飛機需要參與這個項目。
安全調查和事件反應
我們使用磚作為SIEM和XDR平台每天9 tb的數據檢測和安全調查。Beplay体育安卓版本我們接收和處理日誌和安全信號從雲基礎設施,設備,身份管理係統和SaaS應用程序。我們使用結構化流管道和δ生活表來確定最相關的安全事件使用數據驅動的方法和統計毫升模型生成新穎的警報,或關聯,減少重複和優先考慮現有的警報從已知的安全產品。我們的模型運行手冊上的對手戰術、技術和程序(TTP)跟蹤使用主教法冠ATT&CK框架。我們的安全調查小組使用協作磚筆記本創建可重複的調查過程中,不斷地進化事件調查beplay娱乐ios劇本,並執行威脅狩獵對超過2 pb的曆史事件日誌處理複雜非結構化和半結構化數據搜索。
我們的事件響應團隊保持最新,幫助磚準備事件管理場景:
- 參與industry-reputed課程從供應商無和參加安全會議像錄象:cloudsec,黑色的帽子,BSides, RSA
- 執行與行政領導和內部團隊定期桌麵演習實踐安全響應場景相關的磚產品和企業基礎設施
- 與工程團隊合作優先平台可觀測性,允許有效的安全檢測和響應Beplay体育安卓版本
- 定期更新招聘和培訓策略基於改進的事件反應技能和能力矩陣
內部訪問
我們嚴格的政策和控製應用於內部員工訪問我們的生產係統,客戶環境和客戶數據。
我們需要多因素身份驗證訪問核心基礎設施雲服務提供商等遊戲機控製台(AWS, GCP和Azure)。磚的政策和程序,以避免使用顯式憑據,如密碼或API密鑰,隻要有可能。例如,隻有任命安全團隊成員可以處理異常請求新的AWS我校長或政策。
磚的員工可以訪問生產係統在非常特殊的情況下(如緊急break-fix)。訪問是由Databricks-built係統驗證訪問和執行政策的檢查。訪問要求,員工是我們的VPN連接,並使用我們的單點登錄解決方案驗證的多因素身份驗證。
了解更多→
我們的內部安全標準要求盡可能職責分離。例如,我們集中我們的雲提供商的身份驗證和授權過程分離授權訪問(瑪麗應該訪問係統)授予訪問(瑪麗現在可以訪問係統)。
我們優先考慮最小特權訪問,為我們的訪問內部係統和生產係統。最小特權是顯式地構建到我們的內部政策和反映在我們的程序。例如,大多數客戶可以控製是否磚員工可beplay体育app下载地址以訪問他們的工作區,和我們編程應用眾多檢查之前訪問可以自動授予和撤銷訪問之後有限的時間。
了解更多→
安全軟件開發生命周期
磚的軟件開發生命周期(SDLC)構建安全所有的設計,開發和生產步驟-從功能要求生產監控工具支持的旨在通過生命周期跟蹤功能。我們有自動安全脆弱性掃描和自動跟蹤係統,圖書館和代碼。
磚利用一個思想門戶跟蹤特性請求並允許投票為客戶和員工。beplay体育app下载地址我們的功能設計過程包括隱私和安全設計。一個初步評估後,高影響力的特性受到產品的安全設計審查安全團隊從工程與安全協會冠軍,以及其他威脅建模和安全特定的檢查。
我們使用敏捷開發方法,將新特性分解為多個sprint。磚不外包磚的發展平台,和所有開發人員都必須經過安全軟件開發培訓,包括OWASP前十名——當雇傭,此後每年。Beplay体育安卓版本生產數據和環境是分開發展,QA和舉辦環境。所有的代碼簽入到源代碼控製係統,需要單點登錄的多因素身份驗證和細粒度的權限。代碼合並需要功能性工程業主批準的每個領域的影響,以及所有代碼是同行評議。產品安全團隊手動審查安全敏感代碼消除業務邏輯錯誤。
我們使用最好的工具來識別脆弱的包或代碼。自動化在預生產環境中運行驗證主機和容器操作係統的漏洞掃描和安裝的軟件包,以及動態和靜態代碼分析掃描。工程票自動創建任何漏洞和分配給相關團隊。產品安全小組還分類關鍵漏洞評估其嚴重性的磚結構。
我們運行質量檢查(如單元測試和端到端測試)在SDLC過程的多個階段,包括在合並代碼,代碼合並後,在發布和生產。我們的測試包括積極測試,回歸測試和負麵測試。一旦部署,我們有廣泛的監控識別故障,用戶可以對係統可用性通過警報狀態頁。在發生任何P0或P1問題,磚自動化觸發“5個為什麼”的根本原因分析方法,選擇後期團隊成員監督審查。發現是行政領導溝通,並跟蹤後續項目。
磚有正式的發布管理過程,包括正式發布前可行或不可行的決策代碼。變化經過測試旨在避免回歸和驗證新功能測試在現實的工作負載。此外,有策劃推出監測早期識別問題。實現職責分離,隻有我們的部署管理係統可以發布更改生產,和多人的批準是必需的部署。
我們遵循一個不變的基礎設施模型,係統所取代,而不是修補改善可靠性和安全性,避免的風險配置漂移。新係統圖像或啟動應用程序代碼時,我們的工作負載轉移到新實例,推出新的代碼。這是正確的控製平麵和數據平麵(參見安全特性部分磚結構)。一旦在生產代碼,驗證流程確認工件不添加,刪除或擅自改變。
SDLC過程的最後階段是創建麵向客戶的文檔。磚文檔管理就像我們的源代碼,和文檔存儲在相同的源代碼控製係統。重大變化既需要技術和文檔團隊審查才可以合並和發表。
訪問文檔→
安全策略和溝通細節
磚遵循RFC 9116, ISO / IEC 30111:2019 (E)和ISO / IEC 29147:2018 (E)安全漏洞處理和通信標準。對我們的安全通信和PGP簽名的詳細信息,請參閱我們的security.txt文件。