Testování a etické hackování

Přehled

Společnost Oracle má týmy specializovaných bezpečnostních odborníků, které vyhodnocují sílu zabezpečení infrastruktury, produktů a služeb společnosti. Tyto týmy provádějí různé úrovně doplňkového testování zabezpečení:

  • Provozní bezpečnostní skenování se provádí jako součást běžné správy systému u všech systémů a služeb Oracle. Tento způsob hodnocení široce využívá jak komerční skenovací nástroje, tak i vlastní produkty společnosti Oracle (například Oracle Enterprise Manager). Účelem provozního bezpečnostního skenování je především odhalit neautorizované a nebezpečné konfigurace zabezpečení.
  • Testování průniku se také provádí rutinně a jeho účelem je ověřit, že jsou systémy nastaveny v souladu s firemními standardy společnosti Oracle a že dokážou obstát v prostředí obsahujícím provozní hrozby a odolat nepřátelskému skenování, které se šíří internetem. Testování průniku může mít dvě formy:
    • Pasivní testování průniku se provádí pomocí komerčních skenovacích nástrojů a ručního postupu. Obvykle se provádí přes internet a s minimálními znalostmi vnitřního prostředí. Pasivní testování slouží k potvrzení přítomnosti známých typů zranitelností s dostatečnou jistotou a přesností k vytvoření testovacího případu, který pak vývojáři nebo cloudové operace mohou použít k ověření přítomnosti hlášeného problému. Při pasivním testování průniku dochází k využívání produkčního prostředí pouze v minimální míře nutné k potvrzení problému. Například technika SQL injection nebude využita k neoprávněnému získání dat.
    • Aktivní testování průniku je hlubší než pasivní testování průniku a umožňuje využívat zjištěné zranitelnosti. Má také oproti pasivnímu testování průniku širší rozsah, protože bezpečnostní týmy mají obvykle povoleno přecházet z jednoho systému do druhého. Aktivní testování průniku je samozřejmě přísně kontrolováno, aby nedošlo k nežádoucímu dopadu na produkční systémy.
  • Na rozdíl od provozního bezpečnostního skenování a testování průniku představuje etické hackování „hru s otevřenými kartami“ – tým etického hackování má přístup k technické dokumentaci (například specifikacím návrhu) a ke zdrojovému kódu testovaného produktu. Aby byla možná hlubší analýza cílových systémů, může být tým etického hackování vybaven administrátorskými přístupovými právy, která jim umožní využívat další režimy protokolování a ladění. Aktivity etického hackování se zpravidla provádějí ve vyhrazeném testovacím prostředí, protože obvykle dochází k narušení cílového systému do takové míry, že může být nutné jej vybudovat znovu.

Provozní bezpečnostní skenování

IT organizace společnosti Oracle zodpovídají za bezpečnostní skenování firemních systémů Oracle a cloudových služeb, které řídí, na základě zásad zabezpečení serverů společnosti Oracle a souvisejících technologických standardů. Všechny skenovací nástroje musí být schváleny podle Firemního postupu pro zajištění bezpečnostních řešení (Corporate Security Solution Assurance Process, CSSAP). Výsledky skenování jsou analyzovány na základě rizik. Po schválení managementem jsou zjištěné problémy řešeny pomocí postupů změnového řízení podle priorit jednotlivých rizik.

Informace o provozním bezpečnostním skenování firemních systémů a cloudových služeb Oracle jsou určeny pouze pro vnitřní potřebu společnosti Oracle a nejsou sdělovány externím subjektům.

Testování průniku

Společnost Oracle vyžaduje, aby systémy a cloudové služby otevřené externímu prostředí procházely testováním průniku prováděným nezávislými bezpečnostními týmy. Globální zabezpečení informací’s Tým testování průniku provádí testování průniku a poskytuje všem podnikovým jednotkám přehled o případech, kde ostatní interní bezpečnostní týmy nebo schválené externí subjekty provádějí aktivity testování průniku. Tento přehled slouží ke zvýšení kvality, přesnosti a konzistentnosti aktivit testování průniku a související metodiky. Společnost Oracle má formální požadavky na testování průniku, které zahrnují rozsah testování a definici prostředí, povolené nástroje, klasifikaci zjištění, kategorie útoků zkoušených automaticky a ručně a postupů hlášení problémů.

Všechny výsledky a zprávy z testování průniku jsou zkontrolovány firemními bezpečnostními týmy společnosti Oracle, aby se ověřilo, že testování bylo provedeno nezávisle a důkladně. Než je podnikové jednotce povoleno uvést do praxe nový systém nebo cloudovou službu, společnost Oracle vyžaduje provedení nápravy závažných zjištění z testování průniku.

Informace o testování průniku na firemních systémech a cloudových službách Oracle jsou určeny pouze pro vnitřní potřebu společnosti Oracle a nejsou sdělovány externím subjektům.

Etické hackování

Aktivity etického hackování provádí tým etického hackování (Ethical Hacking Team, EHT), nezávislá skupina výzkumníků v oblasti zabezpečení v organizaci globálního zabezpečení produktů (Global Product Security).

Zprávy z testování EHT nikdy nejsou externě zveřejněny, tým ale předává svá zjištění firemnímu architektovi zabezpečení a vyššímu vedení dotčené podnikové jednotky. Tým EHT navíc významně přispívá ke standardům tvorby bezpečného kódu společnosti Oracle a pravidelně prezentuje zkrácené výsledky svých zjištění jako “získané poznatky” pro oddělení vývoje Oracle.

Oracle Labs

Poslání Oracle Labs je jednoduché: identifikovat, prozkoumávat a předávat nové technologie, které mají potenciál významně zlepšit software Oracle, služby platformy Oracle Cloud a firemní operace. Výzkumníci Oracle Labs hledají novátorské přístupy a metodiky, často se zabývají projekty s vysokou mírou rizika či nejistoty nebo takovými, které se obtížně řeší v rámci organizace vývoje produktů.

Angažovanost společnosti Oracle ve výzkumu a vývoji je hnací silou vývoje technologií, které udržují společnost Oracle na špičce počítačového průmyslu. I když má řada špičkových technologií společnosti Oracle původ v jejích organizacích vývoje produktů, Oracle Labs je jediná organizace v rámci společnosti Oracle, která se zabývá výhradně výzkumem.