Testarea şi hackingul etic

Prezentare generală

Oracle întreţine echipe de profesionişti specializaţi în securitate, cu scopul de a evalua forţa securităţii infrastructurii, produselor şi serviciilor unei companii. Aceste echipe efectuează testări complementare ale securităţii, la diverse niveluri:

  • Scanarea operaţională de securitate este efectuată ca parte a administrării normale a sistemelor, pentru toate sistemele şi produsele de la Oracle. Acest tip de evaluări utilizează la scară largă instrumente care includ atât instrumente comerciale de scanare cât şi propriile produse Oracle (precum Oracle Enterprise Manager). Scopul principal al scanării operaţionale de securitate este acela de a detecta configuraţiile de securitate neautorizate şi nesigure.
  • Testul de pătrundere a ameninţărilor este, de asemenea, efectuat în mod obişnuit, pentru a se verifica dacă sistemul a fost configurat conform standardelor la nivel de corporaţie de la Oracle şi că aceste sisteme pot rezista în mediul de ameninţare operaţională scanărilor ostile care pătrund prin internet. Testul de pătrundere a ameninţărilor poate lua două forme:
    • Testul pasiv de pătrundere a ameninţărilor este efectuat utilizându-se instrumente comerciale de scanare şi etape manuale. De regulă, este efectuat prin intermediul internetului, cu un minim de cunoştinţe din interior. Testul pasiv este utilizat pentru confirmarea prezenţei tipurilor cunoscute de vulnerabilităţi, cu suficientă încredere şi exactitate pentru crearea unui caz de test, care poate fi utilizat prin operaţiuni de dezvoltare sau în cloud pentru validarea prezenţei problemei raportate. În timpul testului pasiv de pătrundere a ameninţărilor nu este efectuată nicio exploatare a mediilor de producţie, înafara celor minim necesare pentru confirmarea problemei. De exemplu, o injecţie SQL nu va fi exploatată pentru a extrage date.
    • Testul activ de pătrundere a ameninţărilor este mult mai invaziv decât testul pasiv şi permite exploatarea vulnerabilităţilor descoperite. De asemenea, are un domeniu de aplicare mai larg decât testul pasiv, echipele de securitate având de regulă permisiunea de a trece de la un sistem la altul. Evident, testul activ de pătrundere a ameninţărilor este controlat îndeaproape, pentru evitarea unui impact neintenţionat asupra sistemelor de producţie.
  • Spre deosebire de scanarea operaţională de securitate şi testarea pătrunderii ameninţărilor, hackingul etic reprezintă o interacţiune deschisă, echipa de hacking etic având acces la documentaţia tehnică, de exemplu, la specificaţiile de proiectare şi la codul sursă al produsului care este testat. Pentru a se permite efectuarea de analize mai invazive ale sistemelor vizate, echipa de hacking etic trebuie să deţină drepturi administrative de acces, în vederea utilizării modurilor suplimentare de conectare şi depanare. Interacţiunile de tip hacking etic sunt efectuate de obicei asupra unor medii dedicate de testare, deoarece vor perturba sistemul vizat în măsura în care ar putea fi necesar să fie reconstruit.

Scanarea operaţională de securitate

Organizaţiile IT Oracle răspund de scanarea de securitate a sistemelor Oracle pentru corporaţii şi a serviciilor în cloud pe care le gestionează pentru Politica de securitate privind serverele Oracle şi standardelor tehnologice asociate. Toate instrumentele de scanare trebuie aprobate de către Corporate Security Solution Assurance Process (CSSAP). Rezultatele scanării sunt analizate utilizând o abordare bazată pe riscuri. Procesele de managementul schimbărilor sunt utilizate pentru abordarea oricăror probleme identificate, în funcţie de prioritizarea bazată pe risc, conform aprobării conducerii.

Informaţiile privind scanările de securitate operaţională ale sistemelor Oracle pentru corporaţii şi ale serviciilor în cloud sunt informaţii confidenţiale ale companiei Oracle şi nu sunt distribuite în exterior.

Testul de pătrundere a ameninţărilor

Oracle impune ca sistemele externe cu care se confruntă şi serviciile cloud să fie supuse testelor de pătrundere a ameninţărilor efectuate de echipe independente de securitate. Echipa de testare a pătrunderii ameninţărilor de la Global Information Security efectuează testele de pătrundere a ameninţărilor şi asigură supravegherea tuturor domeniilor de activitate în situaţiile în care alte echipe de securitate internă sau o terţă parte autorizată efectuează aceste activităţi de testare. Această supraveghere este concepută pentru asigurarea calităţii, exactităţii şi coerenţei activităților de testare a pătrundere a ameninţărilor şi metodologiei asociate acestora. Oracle are cerinţe formale de testare a pătrunderii ameninţărilor, care includ domeniul de testare şi definirea mediului, instrumentele aprobate, clasificarea rezultatelor, categoriile de exploatări pentru încercări prin automatizare şi etape manuale şi procedurile de raportare a rezultatelor.

Toate rezultatele testelor de pătrundere a ameninţărilor şi rapoartele sunt revizuite de echipele de securitate ale companiei Oracle pentru se valida faptul că a fost efectuat un test independent și complet. Înainte ca un domeniu de afaceri să aibă dreptul de a pune un nou sistem sau serviciu cloud în producţie, Oracle solicită finalizarea remedierii rezultatelor semnificative ale testelor de pătrundere a ameninţărilor.

Informaţiile privind testele de pătrundere a ameninţărilor ale sistemelor Oracle pentru corporaţii şi ale serviciilor în cloud sunt informaţii confidenţiale ale companiei Oracle şi nu sunt distribuite extern.

Hackingul etic

Interacţiunile de tip hacking etic sunt efectuate de Ethical Hacking Team (EHT), un grup independent de cercetători în domeniul securităţii din organizaţia Global Product Security.

În timp ce rapoartele de testare EHT nu sunt dezvăluite niciodată extern, echipa raportează constatările sale arhitectului de securitate corporativă, precum şi conducerii superioare a domeniilor de afaceri afectate. În plus, echipa EHT este un contribuitor important la Standardele Oracle de codare sigură şi prezintă periodic, într-o formă prescurtată, rezultatele concluziilor sale drept “lecţii învăţate” pentru dezvoltarea Oracle.

Oracle Labs

Misiunea Oracle Labs este simplă: identificarea, explorarea şi transferul noilor tehnologii care au potenţialul de a îmbunătăți substanţial software-ul Oracle, serviciile Oracle Cloud şi operaţiunile corporative. Cercetătorii Oracle Labs caută abordări şi metodologii noi, preluând adesea proiecte cu risc crescut sau nesigure, sau care sunt dificil de abordat în cadrul unei organizaţii de dezvoltare a produselor.

Angajamentul Oracle faţă de R’D este un factor decisiv în dezvoltarea tehnologiilor care au menţinut Oracle în fruntea industriei IT. Deşi multe dintre tehnologiile de vârf ale companiei Oracle provin de la organizaţiile de dezvoltare a produselor, Oracle Labs este singura organizaţie de la Oracle dedicată exclusiv cercetării.