Pruebas e intrusión ética

Descripción general

Oracle tiene equipos de profesionales expertos en seguridad cuyo objetivo de evaluar la solidez de la seguridad de la infraestructura, los productos y los servicios de la empresa. Estos equipos realizan distintos niveles de pruebas de seguridad complementarias:

  • La digitalización de la seguridad operativa se realiza como parte de la administración habitual de sistemas de todos los sistemas y servicios de Oracle. Este tipo de evaluación mayoritariamente aprovecha herramientas, entre las que se incluyen herramientas de digitalización comercial y productos propios de Oracle (como el Oracle Enterprise Manager). El objetivo de la digitalización de seguridad operativa es principalmente detectar configuraciones de seguridad no autorizadas y que no sean seguras.
  • También se realizan pruebas de intrusión periódicamente para comprobar si se han configurado los sistemas de conformidad a lo dispuesto en los estándares corporativos de Oracle y si dichos sistemas son capaces de sobrevivir al entorno de amenazas operativas y combatir el rastreo hostil que impregna Internet. Las pruebas de intrusión pueden adoptar dos formas:
    • Las pruebas de intrusión pasiva se realizan mediante la utilización de herramientas de digitalización comercial y pasos manuales. Suelen realizarse a través de Internet y el nivel de conocimiento de información interna es mínimo. Las pruebas pasivas se utilizan para confirmar con la suficiente seguridad y certeza la presencia de tipos conocidos de vulnerabilidades y así crear un caso de prueba que se pueda utilizar, por medio de desarrollo u operaciones en la nube, para validar la presencia del problema denunciado. Durante las pruebas de intrusión pasiva no se realizan actividades de explotación en los entornos de producción más allá de lo estrictamente necesario para poder confirmar el problema. Por ejemplo, no se explotarán inyecciones SQL para la extracción de datos.
    • Las pruebas de intrusión activa son más intrusivas que las pruebas de intrusión pasiva y permiten explotar las vulnerabilidades descubiertas. Tienen un alcance más amplio que las pruebas de intrusión pasiva, ya que a los equipos de seguridad se les permite habitualmente fluctuar de un sistema a otro. Obviamente, las pruebas de intrusión activa se controlan de cerca con el fin de evitar que afecten accidentalmente a los sistemas de producción.
  • A diferencia de la digitalización de la seguridad operativa y las pruebas de intrusión, la intrusión ética es una interacción de libre acceso por la cual el equipo de intrusión ética puede acceder a la documentación de ingeniería, como por ejemplo especificaciones de diseño, y al código fuente del producto que se esté sometiendo a la prueba. Con el objetivo de lograr que el análisis de los sistemas específicos sea más intrusivo, se puede dotar al equipo de intrusión ética de derechos de acceso administrativos para que aprovechen modos de registro y depuración adicionales. Las interacciones de intrusión ética suelen realizarse con entornos de pruebas especializados, ya que normalmente alteran los sistemas específicos hasta el punto en que pueda llegar a ser necesario restablecerlos.

Digitalización de seguridad operativa

Según la Política de seguridad del Servidor de Oracle y los estándares tecnológicos asociados, las organizaciones de TI de Oracle son responsables de la digitalización de la seguridad de los sistemas corporativos de Oracle y los servicios en la nube que gestionan. Todas las herramientas de digitalización deben haber sido aprobadas en el proceso de garantía de soluciones de seguridad corporativa (CSSAP, por sus siglas en inglés). Los resultados de exploración se analizan mediante un enfoque basado en los riesgos. Los procesos de gestión de cambio se utilizan para abordar cualquier problema que se haya identificado según la priorización basada en los riesgos y de conformidad con lo aprobado por la dirección.

La información relativa a las exploraciones de seguridad operativa de los sistemas corporativos de Oracle y los servicios en la nube pertenece al ámbito confidencial de Oracle y no se puede compartir con terceros.

Pruebas de intrusión

Oracle exige que equipos de seguridad independientes sometan los sistemas de conectividad exterior y los servicios en la nube a pruebas de intrusión. El equipo de pruebas de intrusión de seguridad global de la información realiza pruebas de intrusión y supervisa todas las líneas del negocio en casos en los que otros equipos de seguridad interna o un tercero autorizado realicen actividades de pruebas de intrusión. Dicha supervisión está diseñada para mejorar la calidad, la precisión y la coherencia de las actividades de pruebas de intrusión y la metodología asociada a estas. Oracle ha establecido requisitos formales en las pruebas de intrusión, entre los que se incluyen el alcance de las pruebas y la definición del entorno, las herramientas autorizadas, la clasificación de los hallazgos, los procedimientos para informar acerca de los resultados, así como aprovechar las categorías de exploits por automatización o mediante pasos manuales.

Los equipos de seguridad corporativa de Oracle revisan todos los resultados e informes relativos a las pruebas de intrusión para verificar que se haya realizado una prueba independiente y exhaustiva. Antes de permitir que una línea de negocio incorpore un nuevo sistema o servicio en la nube a la producción, Oracle exige que se corrijan los hallazgos significativos de las pruebas de intrusión.

La información relativa a las pruebas de intrusión de los sistemas corporativos de Oracle y los servicios en la nube pertenece al ámbito confidencial de Oracle y no se puede compartir con terceros.

Intrusión ética

El equipo de intrusión ética (EHT), un grupo independiente de investigadores en materia de seguridad de la organización de seguridad global del producto, se encarga de realizar las interacciones de intrusión ética.

Aunque los informes de las pruebas del EHT nunca se divulgan en el exterior, el equipo informa de sus hallazgos al arquitecto de seguridad corporativa y al personal directivo de las líneas de negocio afectadas. Además, el equipo EHT es un importante colaborador en los estándares de codificación segura de Oracle y presenta periódicamente síntesis de los resultados de los hallazgos realizados en forma de “lección aprendida” para el desarrollo de Oracle.

Laboratorios Oracle

El objetivo de los Laboratorios Oracle es muy sencillo: identificar, estudiar y transferir nuevas tecnologías que tengan el potencial de mejorar de forma sustancial el software de Oracle, los servicios en la nube de Oracle y las operaciones corporativas. Los investigadores de los Laboratorios Oracle buscan nuevos enfoques y metodologías, y a menudo aceptan proyectos que presentan un elevado nivel de riesgo o incertidumbre, o que son difíciles de afrontar dentro de una organización de desarrollo de productos.

El compromiso de Oracle con I+D es un factor determinante en el desarrollo de las tecnologías que han mantenido a Oracle al frente de la industria informática. A pesar de que muchas de las tecnologías punteras de Oracle proceden de sus organizaciones de desarrollo, los Laboratorios Oracle son la única organización de Oracle dedicada exclusivamente a la investigación.