Prueba y hackeo ético

Desc. gral.

Oracle cuenta con equipos de profesionales de seguridad especializada con el fin de evaluar la fortaleza de seguridad en cuanto a la infraestructura, los productos y servicios de la empresa. Estos equipos realizan diversos niveles de pruebas de seguridad complementarias:

  • Escaneo de seguridad operativa se realiza como parte de la administración normal de sistema de todos los sistemas y servicios de Oracle. Este tipo de evaluación hace uso en gran parte de herramientas incluidas las herramientas de escaneo comercial así como los propios productos de Oracle (como Oracle Enterprise Manager). El objetivo del escaneo de seguridad operativa es principalmente detectar configuraciones de seguridad no autorizadas e inseguras.
  • Pruebas de penetración también se realizan de forma rutinaria para chequear que los sistemas se hayan configurado de acuerdo con los estándares corporativos de Oracle y que estos sistemas pueden soportar su entorno operativo amenazante y resistir escaneos hostiles que se infiltren por Internet. Las pruebas de penetración pueden ser de dos formas:
    • Pruebas de penetración pasiva se realizan usando herramientas de escaneo comercial y pasos manuales. Por lo general se realizan a través de Internet y con un mínimo de conocimiento interno. Las pruebas pasivas se usan para confirmar la presencia de tipos conocidos de vulnerabilidades con confianza y precisión suficientes para crear un caso de prueba que puede luego usarse por operaciones de desarrollo o en la nube a fin de validar la presencia del problema informado. Durante las pruebas de penetración pasiva, no se realiza la explotación sobre entornos de producción, aparte de las mínimamente necesarias para confirmar el problema. Por ejemplo, no se aprovechará una inyección SQL para la filtración de datos.
    • Pruebas de penetración activa son más invasivas que las pruebas de penetración pasiva y permiten la explotación de vulnerabilidades descubiertas. También son de mayor alcance que las pruebas de penetración pasiva dado que por lo general se permite a los equipos de seguridad que pasen de un sistema a otro. Obviamente que las pruebas de penetración activa son controladas cuidadosamente a fin de evitar los impactos accidentales sobre los sistemas de producción.
  • A diferencia del escaneo de seguridad operativa y de las pruebas de penetración, el hackeo ético es un compromiso a libro abierto donde el equipo de hackeo ético tiene acceso a la documentación de ingeniería, por ejemplo, especificaciones de diseño y código fuente del producto probado. A fin de permitir un análisis más intrusivo de los sistemas objetivo, es posible que se le proporcione al equipo de hackeo ético derechos de acceso para habilitar la capacidad de aprovechar modos de registro y depuración adicionales. Por lo general, los compromisos de hackeo ético se realizan contra entornos de prueba dedicados dado que normalmente perturban el sistema objetivo en la medida que deben reconstruirse.

Escaneo de seguridad operativa

Las organizaciones de TI de Oracle son responsables del escaneo de seguridad de los sistemas corporativos de Oracle que gestionan, por política de seguridad del servidor de Oracle y estándares de tecnología asociados. Se deben aprobar todas las herramientas según el Proceso de garantía de solución de seguridad corporativa (CSSAP). Los resultados del escaneo se analizan con un enfoque basado en riesgos. Los procesos de gestión de cambios se usan para abordar cualquier problema identificado según la priorización basada en riesgos, según la aprobación de gestión.

La información sobre escaneos de seguridad operativa de sistemas corporativos de Oracle y servicios en la nube es confidencial de Oracle y no se comparte externamente.

Pruebas de penetración

Oracle requiere que los sistemas de acceso externo y servicios en la nube se sometan a pruebas de penetración realizadas por equipos de seguridad independientes. El equipo de pruebas de penetración de seguridad de información global realiza pruebas y provee supervisión a todas las líneas de negocios en instancias donde otros equipos de seguridad interna o un tercero aprobado realiza actividades de pruebas de penetración. Esta supervisión está diseñada para impulsar la calidad, precisión y consistencia de actividades de pruebas de penetración y su metodología asociada. Oracle cuenta con requisitos de pruebas de penetración formales que incluyen alcance de prueba y definición de entorno, herramientas aprobadas, clasificación de hallazgos, categorías de vulnerabilidad de seguridad para intentar mediante automatización y pasos manuales y procedimientos para informar resultados.

Los equipos de seguridad corporativa de Oracle revisan todos los resultados e informes de las pruebas de penetración a fin de validar que se ha realizado una prueba independiente y exhaustiva. Antes de permitir que una línea de negocio implemente un nuevo sistema o servicio en la nube en la producción, Oracle requiere que se complete la corrección de los hallazgos de la prueba de penetración significativa.

La información sobre pruebas de penetración de sistemas corporativos de Oracle y servicios en la nube es confidencial de Oracle y no se comparte externamente.

Hackeo ético

El equipo de hackeo ético (EHT), un grupo independiente de investigadores de seguridad en la organización de seguridad de productos globales realiza los compromisos de hackeo ético.

A pesar de que los informes de pruebas del EHT nunca se divulgan externamente, el equipo informa sus hallazgos al arquitecto de seguridad corporativa así como también al líder sénior de las líneas de negocio afectadas. Además, el equipo de EHT es un colaborador significativo a los Estándares de codificación segura de Oracle y periódicamente presenta resultados abreviados de sus hallazgos como “lección aprendida” para el desarrollo de Oracle.

Oracle Labs

La misión de Oracle Labs es clara: identificar, explorar y transferir tecnologías nuevas que tengan el potencial de mejorar sustancialmente los servicios de software Oracle, Oracle Cloud y operaciones corporativas. Los investigadores de Oracle Labs buscan enfoques y metodologías nuevos, con frecuencia aceptan proyectos con alto riesgo o incertidumbre, o que son difíciles de afrontar dentro de una organización de desarrollo de producto.

El compromiso de Oracle con I+D es un factor determinante en el desarrollo de tecnologías que han mantenido a Oracle a la vanguardia de la industria informática. Aunque muchas de las tecnologías de vanguardia de Oracle se originan en sus organizaciones de desarrollo de producto, Oracle Labs es la única organización en Oracle que está dedicada exclusivamente a la investigación.