Tests en ethische hacks

Overzicht

Oracle zet gespecialiseerde teams van beveiligingsprofessionals in om de veiligheid van de infrastructuur, producten en services van het bedrijf te toetsen. Zij voeren op verschillende niveaus aanvullende beveiligingstests uit:

  • Operationele beveiligingsscans worden uitgevoerd als onderdeel van het normale systeembeheer voor alle systemen en services van Oracle. Bij deze vorm van evaluatie worden voornamelijk tools ingezet waaronder commerciële scantools maar ook producten van Oracle zelf (zoals Oracle Enterprise Manager). Operationele beveiligingsscans hebben als belangrijkste doel om ongeautoriseerde en onveilige configuraties in de beveiliging op te sporen.
  • Doorlaatbaarheidstests worden daarnaast routinematig uitgevoerd om te controleren of systemen in overeenstemming met de bedrijfsnormen van Oracle zijn geconfigureerd en of deze systemen voldoende zijn opgewassen tegen de gevaren uit de omgeving en schadelijke scans die via het internet zijn binnengedrongen. Er zijn twee typen doorlaatbaarheidstests:
    • Passieve doorlaatbaarheidstests worden met behulp van commerciële scantools en handmatige procedures uitgevoerd. Dit type tests wordt meestal via het internet gedaan en vereist minimale insider-kennis. Passieve tests worden gebruikt om met voldoende zekerheid en precisie de aanwezigheid van bekende zwakke plekken aan te tonen, zodat er een testcase kan worden gemaakt op basis waarvan ontwikkel- of cloudbewerkingen op de aanwezigheid van het probleem in kwestie kunnen worden getest. Bij een passieve doorlaatbaarheidstest worden productieomgevingen alleen op het minimaal voor het testen van het probleem benodigde niveau belast. Bij een SQL-injectie wordt bijvoorbeeld de exfiltratie van data achterwege gelaten.
    • Actieve doorlaatbaarheidstests zijn ingrijpender dan passieve doorlaatbaarheidstests. Hierin kunnen opgespoorde zwakke plekken wel worden belast. Voor dit soort tests geldt ook een breder toepassingsbereik, omdat het beveiligingsteams hierbij over het algemeen is toegestaan om tussen systemen te schakelen. Het mag duidelijk zijn dat actieve doorlaatbaarheidstests nauwgezet worden gecontroleerd om ongewenste gevolgen voor productiesystemen te voorkomen.
  • Anders dan bij operationele beveiligingsscans en doorlaatbaarheidstests is er bij ethische hacks meer openheid; ethische hackers hebben toegang tot engineeringdocumentatie, zoals de ontwerpspecificaties, en de sourcecode van het te testen product. Het team van ethische hackers moet de doelsystemen diepgaander kunnen analyseren en krijgen hiertoe mogelijk toegangsrechten op beheerdersniveau toegekend zodat archieven en probleemoplossingsmodi kunnen worden benut. Ethische hackbewerkingen worden over het algemeen in een speciale testomgeving uitgevoerd, omdat het doelsysteem het meestal zo erg te verduren krijgt dat het hele systeem opnieuw moet worden gebouwd.

Operationele beveiligingsscans

Bij Oracle zijn de IT-afdelingen verantwoordelijk voor het onderwerpen van de Oracle-bedrijfssystemen en de cloudservices die zij beheren aan beveiligingsscans, in overeenstemming met het serverbeveiligingsbeleid en de bijbehorende technologienormen van Oracle. Alle scantools moeten volgens het CSSAP (Corporate Security Solution Assurance-proces) worden goedgekeurd. De scanresultaten worden geanalyseerd aan de hand van een risicotest. Wijzigingsbeheerprocessen worden, na goedkeuring van het management, gebruikt om eventuele gevonden problemen aan te pakken op basis van de in de risicotest toegewezen prioriteit.

Informatie over operationele beveiligingsscans van de bedrijfssystemen en cloudservices van Oracle behoort tot de vertrouwelijke gegevens van Oracle en wordt niet naar buiten gebracht.

Doorlaatbaarheidstests

Oracle vereist dat extern georiënteerde systemen en cloudservices worden onderworpen aan doorlaatbaarheidstests uitgevoerd door onafhankelijke beveiligingsteams. Het doorlaatbaarheidstestteam van Global Information Security voert de doorlaatbaarheidstests uit en levert een overzicht aan alle bedrijfsonderdelen in gevallen waarin een ander intern beveiligingsteam of een erkende derde de doorlaatbaarheidstests uitvoert. Dit overzicht dient om de kwaliteit, accuratesse en consistentie van doorlaatbaarheidstests en de bijbehorende methoden te bevorderen. Oracle heeft een formele doorlaatbaarheidstestplicht waarin de reikwijdte van de test, de omgeving, goedgekeurde tools, categorisatie van bevindingen, mate van belasting tijdens automatische bewerkingen en handmatige procedures, en de rapportageprocedures zijn gedefinieerd.

Alle resultaten en verslagen van de doorlaatbaarheidstests worden door de corporate security teams van Oracle gecontroleerd om na te gaan of elke test onafhankelijk en grondig is uitgevoerd. Oracle vereist dat duidelijke afwijkingen in de testresultaten eerst worden hersteld voordat een bedrijfsonderdeel een nieuw systeem of een nieuwe cloudservice in productie mag brengen.

Informatie over doorlaatbaarheidstests van de bedrijfssystemen en cloudservices van Oracle behoort tot de vertrouwelijke gegevens van Oracle en wordt niet naar buiten gebracht.

Ethische hacks

Ethische hackbewerkingen worden uitgevoerd door het Ethical Hacking Team (EHT), een onafhankelijke groep beveiligingsspecialisten binnen de afdeling Global Product Security.

De testrapporten van het EHT worden nooit openbaar gemaakt. Het team legt zijn bevindingen alleen voor aan de beveiligingsarchitect van het bedrijf en de senior leidinggevende van de betreffende bedrijfsonderdelen. Het EHT levert daarnaast een belangrijke bijdrage aan de Normen voor veilig programmeren van Oracle en geeft op gezette tijden een presentatie van de resultaten met gemiddelden en “lessen die kunnen worden getrokken” aan Oracle Development.

Oracle Labs

Oracle Labs heeft een duidelijke missie: het vinden, onderzoeken en overbrengen van nieuwe technologieën die de potentie hebben om Oracle-software, Oracle Cloud-services en bedrijfsactiviteiten aanzienlijk te verbeteren. Onderzoekers van Oracle Labs zoeken naar innovatieve ideeën en methoden en nemen daarbij vaak projecten aan die een hoge mate van risico en onzekerheid met zich meebrengen of die moeilijk uitvoerbaar zijn binnen de afdeling productontwikkeling.

De aandacht die Oracle besteedt aan onderzoek en ontwikkeling is bepalend voor de technologieën die door Oracle worden ontwikkeld en die ons een prominente plaats binnen de computerbranche geven. Veel van de toonaangevende technologieën zijn ontwikkeld op de productonwikkelingsafdelingen bij Oracle, maar Oracle Labs is de enige afdeling bij Oracle die zich uitsluitend op onderzoek richt.