Testowanie i etyczne ataki hakerskie

Omówienie

W Oracle funkcjonują zespoły specjalistów od zabezpieczeń, których zadaniem jest ocena jakości zabezpieczeń infrastruktury, produktów i usług oferowanych przez firmę. Zespoły te wykonują szereg uzupełniających testów zabezpieczeń:

  • Badanie bezpieczeństwa eksploatacji wchodzi w skład pakietu standardowych zadań administrowania systemem wykonywanych dla wszystkich systemów i usług Oracle. Tego typu badanie w dużym stopniu wykorzystuje różne narzędzia, w tym komercyjne narzędzia skanujące oraz własne produkty Oracle (takie jak Oracle Enterprise Manager). Głównym celem badania bezpieczeństwa eksploatacji jest wykrycie nieautoryzowanych i nieadekwatnych konfiguracji zabezpieczeń.
  • Testy penetracyjne są również wykonywane rutynowo. Mają na celu sprawdzenie, czy systemy zostały skonfigurowane zgodnie z firmowymi standardami Oracle, są odporne na zagrożenia mogące zaburzać ich działanie oraz czy potrafią odpierać wrogie skanowania inicjowane z Internetu. Istnieją dwa rodzaje testów penetracyjnych:
    • Pasywne testy penetracyjne wykonuje się przy użyciu komercyjnych narzędzi skanujących i czynności ręcznych. Zazwyczaj są prowadzone za pośrednictwem Internetu i bez wtajemniczania osób z wewnątrz organizacji. Celem testów pasywnych jest sprawdzenie obecności znanych rodzajów luk z na tyle wysokim poziomem pewności i dokładności, że uda się stworzyć przypadek testowy, na podstawie którego później dział programistów lub eksploatacji chmury będzie mógł skutecznie wykrywać takie zagrożenia. W trakcie pasywnych testów penetracyjnych nie są wykorzystywane luki znalezione w środowisku produkcyjnego, poza niezbędnym minimum koniecznym do stwierdzenia obecności problemu. Na przykład wstrzyknięcie kodu SQL nie posłuży do wykradzenia rzeczywistych danych.
    • Aktywne testy penetracyjne są bardziej inwazyjne niż testy pasywne i obejmują realne wykorzystywanie wykrytych luk w zabezpieczeniach. Mają szerszy zasięg niż testy pasywne, ponieważ zazwyczaj zespoły odpowiedzialne za bezpieczeństwo mają pozwolenie na przechodzenie między różnymi systemami. Oczywiście aktywne testy penetracyjne podlegają ścisłej kontroli, tak aby uniknąć niepożądanego negatywnego oddziaływania na systemy produkcyjne.
  • W odróżnieniu od badania bezpieczeństwa eksploatacji i testów penetracyjnych etyczne ataki hakerskie to zadanie otwarte, w którym testerzy mają dostęp do dokumentacji inżynieryjnej (np. specyfikacji projektowej) oraz kodu źródłowego analizowanego produktu. Aby umożliwić bardziej inwazyjną analizę docelowych systemów, zespołowi testerów można przyznać prawa administratorów, które pozwolą używać dodatkowych trybów protokołowania i debugowania. Etyczne ataki hakerskie wykonuje się głównie na dedykowanych środowiskach testowych, ponieważ zazwyczaj zaburzają działanie docelowego systemu w stopniu powodującym konieczność jego odbudowy.

Badanie bezpieczeństwa eksploatacji

Działy informatyczne w Oracle skanują pod kątem bezpieczeństwa zarządzane przez siebie firmowe systemy i usługi chmurowe, zgodnie z polityką bezpieczeństwa serwerów przyjętą w Oracle oraz odnośnymi standardami technologicznymi. Wszystkie narzędzia skanujące muszą zostać zaaprobowane za pomocą procesu weryfikacji firmowych systemów bezpieczeństwa (CSSAP). Wyniki skanowania są analizowane z uwzględnieniem wielkości ryzyka. Wszystkie wykryte problemy są rozwiązywane za pomocą procesów zarządzania zmianami według priorytetów eliminowania ryzyka i na podstawie aprobaty kierownictwa.

Wyniki badań bezpieczeństwa eksploatacji firmowych systemów i usług chmurowych Oracle są poufne, tzn. Oracle nie udostępnia ich podmiotom zewnętrznym.

Testy penetracyjne

Oracle wymaga, aby systemy mające styczność ze środowiskami zewnętrznymi oraz usługi chmurowe były poddawane testom penetracyjnym organizowanym przez niezależne zespoły. Tam, gdzie testy penetracyjne są realizowane przez wewnętrzne zespoły ds. bezpieczeństwa lub zaaprobowane podmioty zewnętrzne, zespół testów penetracyjnych działający w ramach działu globalnych zabezpieczeń informacji wykonuje końcowe testy penetracyjne oraz sprawuje nadzór w tym zakresie na rzecz wszystkich działów i jednostek. Ów nadzór ma na celu zapewnić wysoką jakość, rzetelność oraz spójność testów penetracyjnych i ich metodyki w całej organizacji. W Oracle istnieją formalne wymagania dotyczące testów penetracyjnych. Określają m.in. zakres testów, definicję środowiska, dopuszczane narzędzia, klasyfikację ustaleń, kategorie ataków na luki przeznaczone do eliminowania automatycznego i ręcznego oraz procedury zgłaszania wyników.

Wszystkie wyniki i raporty z testów penetracyjnych są analizowane przez zespoły Oracle odpowiedzialne za bezpieczeństwo w celu potwierdzenia, że testy przeprowadzono niezależnie i wnikliwie. Zanim którykolwiek dział otrzyma pozwolenie na produkcyjne wdrożenie nowego systemu lub usługi chmurowej, muszą zostać rozwiązane wszystkie istotne problemy ujawnione przez testy penetracyjne.

Wyniki testów penetracyjnych firmowych systemów i usług chmurowych Oracle są poufne, tzn. Oracle nie udostępnia ich podmiotom zewnętrznym.

Etyczne ataki hakerskie

Etyczne ataki hakerskie są wykonywane przez członków dedykowanego zespołu Ethical Hacking Team (EHT) — niezależną grupę testerów zabezpieczeń działają w ramach działu globalnych zabezpieczeń produktów.

Raporty z badań prowadzonych przez EHT nie są publikowane na zewnątrz, natomiast otrzymują je architekt firmowych systemów zabezpieczeń i dyrekcja badanych działów. Ponadto zespół EHT odgrywa ważną rolę w formułowaniu standardów bezpieczeństwa kodowania Oracle oraz okresowo przedstawia skrócone podsumowanie swoich ustaleń w postaci “wyciągniętych wniosków” dla programistów Oracle.

Oracle Labs

Zadanie działu Oracle Labs jest proste: identyfikowanie, sprawdzanie i implementowanie nowych technologii, które mają potencjał, aby istotnie ulepszyć oprogramowanie Oracle, usługi Oracle Cloud oraz sferę operacyjną w organizacji. Specjaliści Oracle Labs cały czas szukają nowatorskich koncepcji i metod, często podejmując projekty o dużym ryzyku lub niepewności albo trudne do zrealizowania przez dział opracowywania produktów.

Konsekwentnie wysokim nakładom na prace badawczo-rozwojowe zawdzięczamy powstawanie technologii, dzięki którym Oracle utrzymuje pozycję lidera w branży rozwiązań informatycznych. Co prawda wiele nowoczesnych technologii Oracle faktycznie powstaje w działach zajmujących się opracowywaniem produktów, ale w całej organizacji Oracle tylko Oracle Labs jest jednostką dedykowaną pracom badawczym.