Não foi possível encontrar uma correspondência para sua pesquisa.

Sugerimos que você tente o seguinte para ajudar a encontrar o que procura:

  • Verifique a ortografia da sua pesquisa por palavra-chave.
  • Use sinônimos para a palavra-chave digitada; por exemplo, tente “aplicativo” em vez de “software.”
  • Inicie uma nova pesquisa.

Testes e Hacking Ético

Visão geral

A Oracle mantém equipes de profissionais de segurança especializados com o objetivo de avaliar a força de segurança da infraestrutura, dos produtos e dos serviços da empresa. Essas equipes executam vários níveis de testes de segurança complementares:

  • A verificação de segurança operacional é realizada como parte da administração normal de todos os sistemas e serviços da Oracle. Esse tipo de avaliação alavanca em grande parte utiliza ferramentas, incluindo ferramentas de verificação comerciais, bem como produtos próprios da Oracle (como o Oracle Enterprise Manager). O objetivo da verificação de segurança operacional é principalmente detectar configurações de segurança não autorizadas e inseguras.
  • O teste de penetração também é rotineiramente realizado para verificar se os sistemas foram configurados de acordo com os padrões corporativos da Oracle e se esses sistemas podem suportar seu ambiente de ameaças operacionais e resistir a varreduras hostis que permeiam a Internet. O teste de penetração pode ter duas formas:
    • O teste de penetração passiva é realizado usando-se ferramentas de verificação comerciais e etapas manuais. Geralmente é realizado via Internet e, muitas vezes, com o mínimo de conhecimento de informações privilegiadas. O teste passivo é usado para confirmar a presença de tipos conhecidos de vulnerabilidade com confiança e precisão suficientes para criar um caso de teste que pode ser usado por operações de desenvolvimento ou na nuvem para validar a presença do problema relatado. Durante o teste de penetração passiva, nenhuma exploração é executada em ambientes de produção, além do minimamente necessário para confirmar o problema. Por exemplo, uma injeção de SQL não será explorada para exfiltrar dados.
    • O teste de penetração ativa é mais intrusivo do que os de penetração passiva e permite a exploração de vulnerabilidades já descobertas. Também é mais amplo no escopo do que o teste de penetração passiva, já que as equipes de segurança normalmente podem migrar de um sistema para outro. Obviamente, o teste de penetração ativa é rigorosamente controlado, de modo a evitar impactos não intencionais nos sistemas de produção.
  • Em contraste com a verificação de segurança operacional e o teste de penetração, o Hacking Ético é uma incursão aberta em que a equipe correspondente tem acesso à documentação de engenharia, por exemplo, especificações de design e o código-fonte do produto que está sendo testado. Para permitir uma análise mais invasiva dos sistemas-alvo, a equipe de Hacking Ético pode receber direitos de acesso administrativo para habilitar a capacidade de aproveitar os modos adicionais de registro e depuração. As incursões do Hacking Ético são tipicamente realizadas contra ambientes de teste dedicados, pois geralmente perturbarão o sistema-alvo na medida em que ele pode precisar ser reconstruído.

Verificação de segurança operacional

Organizações de TI da Oracle são responsáveis pela varredura de segurança dos sistemas corporativos da Oracle e dos serviços de nuvem gerenciados, de acordo com a política de segurança do servidor da Oracle e os padrões de tecnologia associados. Todas as ferramentas de verificação deverão ser aprovadas de acordo com o CSSAP (Processo de Garantia de Solução de Segurança Corporativa). Os resultados da verificação são analisados com uma abordagem baseada em riscos. Os processos de gerenciamento de mudanças são usados para tratar de quaisquer problemas identificados de acordo com a priorização baseada em riscos, com a aprovação da gerência.

As informações sobre as verificações de segurança operacional dos sistemas corporativos e serviços de nuvem da Oracle são Oracle Confidential e não são compartilhadas externamente.

Testes de penetração

A Oracle exige que sistemas externos e serviços de nuvem passem por testes de penetração realizados por equipes de segurança independentes. A eqipe de testes de penetração da Global Information Security executa testes de penetração e fornece supervisão de todas as linhas de negócios em instâncias em que outras equipes de segurança interna ou um terceiro aprovado realizam atividades de teste de penetração. Essa supervisão é projetada para impulsionar a qualidade, a precisão e a consistência das atividades de teste de penetração e sua metodologia associada. A Oracle possui requisitos de teste de penetração formais que incluem escopo de teste e definição de ambiente, ferramentas aprovadas, classificação de descobertas, categorias de exploits para tentativas via automação e etapas manuais, além de procedimentos para relatar resultados.

Os testes de penetração são realizados rotineiramente nos Oracle Cloud Services e em ambientes de teste contra produtos instalados localmente. As equipes de segurança corporativa da Oracle monitoram a execução dos testes, relatando a qualidade e a remediação das descobertas. Antes de permitir que uma linha de negócios traga um novo sistema ou serviço em nuvem para a produção, a Oracle exige que a remediação de descobertas significativas de testes de penetração seja concluída.

As informações sobre testes de penetração dos sistemas corporativos e serviços em nuvem da Oracle são Oracle Confidential e não são compartilhadas externamente.

Hacking Ético

As interações de hacking ético são realizadas pela Equipe de Hacking Ético (EHT), um grupo independente de pesquisadores de segurança na organização Global Product Security.

Embora os relatórios de teste da EHT nunca sejam divulgados externamente, a equipe relata suas descobertas ao arquiteto de segurança corporativa, bem como à liderança sênior das linhas de negócios afetadas. Além disso, a equipe colabora significamente com o Oracle Secure Coding Standards e, periodicamente, apresentam resultados abreviados de suas descobertas como "lições aprendidas" para o desenvolvimento da Oracle.

Oracle Labs

A missão do Oracle Labs é direta: identificar, explorar e transferir novas tecnologias que têm o potencial de melhorar substancialmente o software Oracle, os Oracle Cloud Services e as operações corporativas. Pesquisadores do Oracle Labs procuram novas abordagens e metodologias, muitas vezes assumindo projetos com alto risco ou incerteza, ou que são difíceis de resolver em uma organização de desenvolvimento de produtos.

O compromisso da Oracle com P&D é um fator determinante no desenvolvimento de tecnologias que mantiveram a Oracle na vanguarda da indústria de computadores. Embora muitas das tecnologias de ponta da Oracle tenham origem em suas organizações de desenvolvimento de produtos, o Oracle Labs é a única organização da Oracle dedicada exclusivamente à pesquisa.