Test e attacchi hacker etici

Panoramica

Oracle offre team di professionisti esperti della sicurezza con l'obiettivo di valutare il livello di sicurezza dell'infrastruttura, dei prodotti e dei servizi dell'azienda. Tali team eseguono vari livelli di test di sicurezza complementari:

  • La scansione della sicurezza operativa viene eseguita come normale amministrazione dei sistemi per tutti i sistemi e i servizi Oracle. Questo tipo di valutazione sfrutta ampiamente strumenti di scansione commerciale e i prodotti Oracle (ad esempio Oracle Enterprise Manager). Lo scopo della scansione della sicurezza operativa è innanzitutto quello di individuare configurazioni di sicurezza non sicure e non autorizzate.
  • Il test di penetrazione viene inoltre eseguito con regolarità per verificare che i sistemi siano stati configurati secondo gli standard aziendali Oracle e che tali sistemi siano in grado di fronteggiare il proprio ambiente di minacce operative e di resistere alle scansioni ostili che pervadono Internet. Il test di penetrazione può assumere due forme:
    • Il test di penetrazione passiva viene eseguito utilizzando strumenti di scansione commerciale e operazioni manuali. In genere viene eseguito su Internet e con la conoscenza minima da insider. Il test passivo viene utilizzato per confermare la presenza di tipi noti di vulnerabilità, con sufficiente sicurezza e accuratezza da creare un caso di test che può essere utilizzato dallo sviluppo o dalle operations del cloud per convalidare la presenza del problema segnalato. Durante il test di penetrazione passiva, gli ambienti di produzione non vengono utilizzati, se non in minima parte per confermare la presenza del problema. Ad esempio, un'iniezione SQL non viene utilizzata per esfiltrare i dati.
    • Il test di penetrazione attiva è più invadente rispetto al precedente e consente lo sfruttamento delle vulnerabilità evidenziate. Ha anche obiettivi più ampi rispetto al precedente, poiché ai team di sicurezza viene in genere concesso di passare da un sistema all'altro. Il test di penetrazione attiva viene ovviamente controllato da vicino, in modo da evitare impatti indesiderati sui sistemi di produzione.
  • A differenza della scansione di sicurezza operativa e del test di penetrazione, gli attacchi hacker etici presuppongono un coinvolgimento del team con accesso alla documentazione di engineering, alle specifiche di progettazione e al codice sorgente del prodotto in test. Per consentire un'analisi più intrusiva dei sistemi target, il team di attacchi hacker etici potrebbe avere il diritto di accesso amministrativo per sfruttare modalità aggiuntive di registrazione e debug. Il coinvolgimento degli attacchi hacker etici viene in genere eseguito in ambienti test dedicati, dal momento che potrebbe incidere sul sistema target fino al punto da richiederne la ricostruzione.

Scansione della sicurezza operativa

Le organizzazioni IT Oracle sono responsabili della scansione di sicurezza dei sistemi aziendali Oracle e dei servizi Cloud che gestiscono, in base a Oracle Server Security Policy e agli standard tecnologici associati. Tutti gli strumenti di scansione devono essere approvati in base al Corporate Security Solution Assurance Process (CSSAP). I risultati delle scansioni vengono analizzati con un approccio basato sul rischio. I processi di gestione dei cambiamenti vengono utilizzati per risolvere eventuali problematiche emerse secondo un'assegnazione delle priorità basata sul rischio e l'approvazione della direzione.

Le informazioni sulle scansioni di sicurezza operativa dei sistemi aziendali Oracle e dei servizi cloud sono informazioni riservate di Oracle e non possono essere condivise esternamente.

Test di penetrazione

Oracle chiede che il test di penetrazione per sistemi e servizi cloud rivolti all'esterno venga eseguito da team di sicurezza indipendenti. Sicurezza globale delle informazioni Il team dei test di penetrazione esegue tali test e offre una panoramica di tutte le linee di business in istanze in cui altri team di sicurezza interna o una terza parte approvata eseguono attività di test di penetrazione. Tale supervisione ha lo scopo di migliorare la qualità, l'accuratezza e la consistenza delle attività legate ai test di penetrazione e della metodologia associata. Oracle presenta requisiti formali per il test di penetrazione, tra cui obiettivo del test e definizione dell'ambiente, strumenti approvati, classificazione dei risultati, categorie di exploit da tentare attraverso operazioni manuali e automatiche, e procedure da seguire nel redigere i risultati.

Tutti i risultati e i report dei test di penetrazione vengono rivisti dai team di sicurezza aziendale di Oracle a conferma che è stato eseguito un test completo e indipendente. Prima che una linea di business possa portare un nuovo sistema o un servizio cloud in produzione, Oracle richiede la correzione completa di quanto di più significativo è emerso durante il test di penetrazione.

Le informazioni sui test di penetrazione dei sistemi aziendali Oracle e dei servizi cloud sono informazioni riservate di Oracle e non possono essere condivise esternamente.

Attacchi hacker etici

Le operazioni legate agli attacchi hacker etici vengono eseguite dall'Ethical Hacking Team (EHT), un gruppo indipendente di ricercatori sulla sicurezza appartenenti all'organizzazione Global Product Security.

Mentre i report dei test EHT non vengono mai divulgati esternamente, il team comunica i risultati all'architetto per la sicurezza aziendale e alla leadership senior delle linee di business coinvolte. Inoltre, il team EHT contribuisce in modo significativo agli Standard Oracle Secure Coding e periodicamente presenta una versione breve dei risultati delle indagini come “lezione appresa” per lo sviluppo Oracle.

Oracle Labs

L'obiettivo di Oracle Labs è chiaro: individuare, scoprire e trasferire nuove tecnologie che hanno le potenzialità per migliorare in modo sostanziale il software Oracle, i servizi Oracle Cloud e le operations aziendali. I ricercatori di Oracle Labs sono in cerca di nuovi approcci e metodologie, spesso facendosi carico di progetti ad alto rischio, caratterizzati da un livello elevato di incertezza o difficili da gestire all'interno di un'organizzazione di sviluppo prodotti.

L'impegno di Oracle nei confronti della ricerca e dello sviluppo costituisce un fattore fondamentale, alla base dello sviluppo di tecnologie che hanno permesso a Oracle di essere sempre all'avanguardia. Sebbene molte delle tecnologie più avanzate di Oracle abbiano origine dalle sue organizzazioni dedicate allo sviluppo dei prodotti, Oracle Labs è l'unica organizzazione dedicata interamente alla ricerca.