Tests und ethisches Hacking

Überblick

Oracle verfügt über Teams von spezialisierten Sicherheitsexperten, um die Sicherheit von Infrastruktur, Produkten und Services des Unternehmens zu bewerten. Diese Teams führen Sicherheitstests auf verschiedenen Ebenen durch, die sich ergänzen:

  • Betriebssicherheitsscans werden als Teil der normalen Systemverwaltung aller Systeme und Services von Oracle durchgeführt. Bei solchen Scans werden hauptsächlich Tools, etwa kommerzielle Scan-Tools und Produkte von Oracle (beispielsweise Oracle Enterprise Manager), genutzt. Der Zweck von Betriebssicherheitsscans besteht im Wesentlichen darin, nicht autorisierte und unsichere Sicherheitskonfigurationen zu erkennen.
  • Penetrationstests werden ebenfalls routinemäßig durchgeführt, um zu überprüfen, ob die Systeme gemäß den Unternehmensstandards von Oracle eingerichtet wurden und den Bedrohungen ihrer Betriebsumgebung sowie feindlichen Scans aus dem Internet standhalten. Penetrationstests können zwei Formen annehmen:
    • Passive Penetrationstests werden mit kommerziellen Scan-Tools und manuellen Schritten durchgeführt. Normalerweise werden sie über das Internet und mit einem Minimum an Insiderwissen durchgeführt. Passive Tests dienen dazu, das Vorhandensein bekannter Schwachstellen mit ausreichender Sicherheit und Genauigkeit zu bestätigen, damit ein Testfall erstellt werden kann, um das gemeldete Problem mithilfe von Entwicklungs- oder Cloudabläufen zu validieren. Während eines passiven Penetrationstests werden die Schwachstellen der Produktionsumgebung nur soweit ausgenutzt, wie dies zur Bestätigung des Problems nötig ist. Beispielsweise wird eine SQL-Injection nicht zum Herausfiltern von Daten verwendet.
    • Aktive Penetrationstests greifen tiefer als passive Penetrationstest in das System ein und nutzen erkannte Schwachstellen aus. Diese Tests sind auch umfangreicher als passive Penetrationstests, da die Sicherheitsteams normalerweise von einem System zu einem anderen wechseln können. Natürlich werden aktive Penetrationstests streng kontrolliert, um unbeabsichtigte Auswirkungen auf die Produktionssysteme zu vermeiden.
  • Im Gegensatz zu Betriebssicherheitsscans und Penetrationstests ist ethisches Hacking eine Schwachstellenprüfung mit „offenen Büchern“, bei der das Ethical Hacking-Team Zugriff auf die technische Dokumentation hat, z. B. auf Designspezifikationen und den Quellcode des zu testenden Produkts. Um eine genauere Analyse der Zielsysteme zu ermöglichen, können dem Ethical Hacking-Team administrative Zugriffsrechte gewährt werden, um zusätzliche Protokollierungs- und Debug-Modi nutzen zu können. Ethische Hacking-Angriffe werden in der Regel in eigens dafür angelegten Testumgebungen durchgeführt, da sie normalerweise so stark in das Zielsystem eingreifen, dass es möglicherweise neu erstellt werden muss.

Betriebssicherheitsscans

Oracle IT-Unternehmen sind für die Sicherheitsscans der von ihnen verwalteten Oracle-Unternehmenssysteme und -Cloud-Services entsprechend der Sicherheitsrichtlinien für Oracle Server und der zugehörigen Technologiestandards verantwortlich. Alle Scan-Tools müssen gemäß dem Corporate Security Solution Assurance Process (CSSAP) genehmigt sein. Scanergebnisse werden mit einem risikobasierten Ansatz analysiert. Änderungsmanagement-Prozesse werden verwendet, um identifizierte Probleme gemäß einer risikobasierten Priorisierung nach Genehmigung durch das Management zu beheben.

Informationen zu Betriebssicherheitsscans der Unternehmenssysteme und Cloud-Services von Oracle sind vertraulich und werden von Oracle nicht extern weitergegeben.

Penetrationstests

Oracle verlangt, dass für extern zugängliche Systeme und Cloud-Services Penetrationstests von unabhängigen Sicherheitsteams durchgeführt werden. Das Global Information Security-Team für Penetrationstests führt diese Tests durch und beaufsichtigt die Tests in allen Geschäftsbereichen, wenn diese von anderen internen Sicherheitsteams oder einem zugelassenen Drittanbieter übernommen werden. Durch diese Beaufsichtigung sollen die Qualität, Genauigkeit und Konsistenz von Penetrationstests und die damit verbundene Methodik vorangetrieben werden. Oracle verfügt über offizielle Anforderungen für Penetrationstests, zu denen Testumfang und Umgebungsdefinition, genehmigte Tools, die Klassifizierung von Ergebnissen, Exploit-Kategorien für Versuche über Automatisierung und manuelle Schritte sowie Verfahren zur Ergebnismeldung gehören.

Alle Ergebnisse und Berichte des Penetrationstests werden von Oracle-Sicherheitsteams überprüft, um sicherzustellen, dass ein unabhängiger und sorgfältiger Test durchgeführt wurde. Oracle verlangt, dass die wichtigsten bei einem Penetrationstest festgestellten Probleme behoben sind, bevor ein Geschäftsbereich ein neues System oder einen neuen Cloud-Service für die Produktion nutzen darf.

Die Informationen zu den Penetrationstests der Unternehmenssysteme und Cloud-Services von Oracle sind vertraulich und werden nicht extern weitergegeben.

Ethisches Hacking

Ethisches Hacking wird vom Ethical Hacking Team (EHT), einer unabhängigen Gruppe von Sicherheitsforschern der Global Product Security Organisation, durchgeführt.

Während die EHT-Testberichte nie extern veröffentlicht werden, meldet das Team seine Ergebnisse dem Corporate Security Architect sowie den Führungskräften der betroffenen Geschäftsbereiche. Darüber hinaus leistet das EHT-Team einen wesentlichen Beitrag zu den Oracle Secure Coding Standards und stellt eine Kurzfassung seiner Ergebnisse regelmäßig als “Gewonnene Erkenntnisse” für die Oracle Entwicklung vor.

Oracle Labs

Die Mission von Oracle Labs ist einfach: Identifizieren, Erforschen und Übertragen von neuen Technologien mit dem Potenzial, Oracle Software, Oracle Cloud-Services und Unternehmensabläufe erheblich zu verbessern. Oracle Labs-Forscher suchen nach neuartigen Ansätzen und Methoden, indem sie häufig Projekte mit hohem Risiko oder hoher Unsicherheit übernehmen oder solche, die in einem Produktentwicklungsunternehmen nur schwer bewältigt werden können.

Das Engagement für Forschung und Entwicklung von Oracle ist ein treibender Faktor bei der Entwicklung von Technologien, mit denen Oracle seine führende Rolle in der Computerindustrie behaupten konnte. Obwohl viele der Spitzentechnologien von Oracle aus unternehmenseigenen Produktentwicklungsunternehmen stammen, ist Oracle Labs das einzige Unternehmen innerhalb von Oracle, das sich ausschließlich der Forschung widmet.