Testes e Hacking Ético

Visão Geral

A Oracle mantém equipes de profissionais de segurança especializados com o objetivo de avaliar a força de segurança da infraestrutura, os produtos e os serviços da empresa. Essas equipes executam vários níveis de testes de segurança complementares:

  • A verificação de segurança operacional é executada como parte da administração normal de sistemas de todos os serviços e sistemas da Oracle. Esse tipo de avaliação utiliza amplamente ferramentas, incluindo ferramentas de varredura comerciais, bem como produtos próprios da Oracle (como o Oracle Enterprise Manager). O objetivo da verificação de segurança operacional é principalmente detectar configurações de segurança não autorizadas e inseguras.
  • O teste de penetração também é rotineiramente realizado para verificar se os sistemas foram configurados de acordo com os padrões corporativos da Oracle e se esses sistemas podem suportar seu ambiente de ameaças operacionais e resistir a varreduras hostis que permeiam a Internet. O teste de penetração pode ter duas formas::
    • O teste de penetração passiva é realizado usando-se ferramentas de verificação comercial e etapas manuais. Geralmente é realizado via Internet e, muitas vezes, com o mínimo de conhecimento de informações privilegiadas. O teste passivo é usado para confirmar a presença de tipos conhecidos de vulnerabilidades com confiança e precisão suficientes para criar um caso de teste que pode ser usado por operações de desenvolvimento ou na nuvem para validar a presença do problema relatado. Durante o teste de penetração passiva, nenhuma exploração é executada em ambientes de produção, além do minimamente necessário para confirmar o problema. Por exemplo, uma injeção de SQL não será explorada para exfiltrar dados.
    • O teste de penetração ativa é mais intrusivo do que testes de penetração passiva e permite a exploração de vulnerabilidades descobertas. Também é mais amplo no escopo do que o teste de penetração passiva, já que as equipes de segurança normalmente podem migrar de um sistema para outro. Obviamente, o teste de penetração ativa é rigorosamente controlado, de modo a evitar impactos não intencionais nos sistemas de produção.
  • Em contraste com a verificação de segurança operacional e o teste de penetração, o Ethical hacking é um compromisso de livro aberto em que a equipe correspondente tem acesso à documentação de engenharia, por exemplo, especificações de design e o código-fonte do produto que está sendo testado. Para permitir uma análise mais invasiva dos sistemas alvo, a equipe do Ethical Hacking pode receber direitos de acesso administrativo para habilitar a capacidade de aproveitar os modos adicionais de registro e depuração. Os engajamentos de Hacking Ético são normalmente executados em ambientes de teste dedicados, pois geralmente perturbam o sistema de destino à medida que ele pode precisar ser reconstruído.

Verificação de Segurança Operacional

As organizações de TI da Oracle são responsáveis pela verificação de segurança dos sistemas corporativos da Oracle e dos serviços em nuvem que gerenciam, de acordo com a Política de Segurança do Servidor da Oracle e os padrões de tecnologia associados. Todas as ferramentas de verificação deverão ser aprovadas de acordo com o CSSAP (Corporate Security Solution Assurance Process, Processo de Garantia de Solução da Segurança Corporativa). Os resultados da verificação são analisados com uma abordagem baseada em riscos. Os processos de gerenciamento de mudanças são usados para tratar de quaisquer problemas identificados de acordo com a priorização baseada em riscos, de acordo com a aprovação da gerência.

As informações sobre verificações de segurança operacional dos sistemas corporativos e serviços em nuvem da Oracle são Confidenciais da Oracle e não são compartilhadas externamente.

Testes de Penetração

A Oracle exige que sistemas externos e serviços em nuvem passem por testes de penetração realizados por equipes de segurança independentes. A Equipe de Teste de Penetração da Segurança da Informação Global realiza testes de penetração e supervisiona todas as linhas de negócios nos casos em que outras equipes internas de segurança ou terceiros aprovados realizam atividades de testes de penetração. Essa supervisão é projetada para impulsionar a qualidade, a precisão e a consistência das atividades de teste de penetração e sua metodologia associada. A Oracle possui requisitos de teste de penetração formais que incluem escopo de teste e definição de ambiente, ferramentas aprovadas, classificação de descobertas, categorias de explorações para tentativas via automação e etapas manuais, além de procedimentos para relatar resultados.

Todos os resultados e relatórios dos testes de penetração são analisados pelas equipes de segurança corporativa da Oracle para validar a realização de um teste completo e independente. Antes de permitir que uma linha de negócios traga um novo sistema ou serviço em nuvem para a produção, a Oracle exige que a remediação de descobertas significativas de testes de penetração seja concluída.

As informações sobre testes de penetração dos sistemas corporativos e serviços em nuvem da Oracle são Confidenciais da Oracle e não são compartilhadas externamente.

Hacking Ético

As interações de hacking ético são realizadas pela EHT ( Ethical Hacking Team, Equipe de Hacking Ético), um grupo independente de pesquisadores de segurança na organização de Segurança Global de Produtos.

Embora os relatórios de teste da EHT nunca sejam divulgados externamente, a equipe relata suas descobertas ao arquiteto de segurança corporativa, bem como à liderança sênior das linhas de negócios afetadas. Além disso, a equipe EHT é um contribuinte significativo para os Padrões de Codificação Segura da Oracle e apresenta periodicamente resultados abreviados de suas descobertas como “lições aprendidas” para o desenvolvimento da Oracle.

Oracle Labs

A Missão da Oracle Labs é simples: identificar, explorar e transferir novas tecnologias com potencial para melhorar substancialmente o software da Oracle, os serviços do Oracle Cloud e as operações corporativas. Pesquisadores da Oracle Labs procuram novas abordagens e metodologias, muitas vezes assumindo projetos com alto risco ou incerteza, ou que são difíceis de resolver em uma organização de desenvolvimento de produtos.

O compromisso da Oracle com Pesquisa e Desenvolvimento é um fator determinante no desenvolvimento de tecnologias que têm mantido a Oracle na vanguarda do setor de computadores. Embora muitas das tecnologias de ponta da Oracle tenham origem em suas organizações de desenvolvimento de produtos, a Oracle Labs é a única organização da Oracle dedicada exclusivamente à pesquisa.