Niciun rezultat găsit

Căutarea dvs. nu a identificat niciun rezultat.

Pentru a găsi ceea ce căutați, vă sugerăm să încercați următoarele:

  • Verificați ortografia cuvintelor cheie ale căutării.
  • Utilizați sinonime pentru cuvântul cheie pe care l-ați introdus; de exemplu, încercați “aplicație” în loc de “software”.
  • Încercați una dintre căutările populare prezentate mai jos.
  • Începeți o căutare nouă.
Întrebări frecvente

Testarea și hackingul etic

Prezentare generală

Oracle întreține echipe de profesioniști specializați în securitate, cu scopul de a evalua forța securității infrastructurii, produselor și serviciilor unei companii. Aceste echipe efectuează testări complementare ale securității, la diverse niveluri:

  • Scanarea operațională de securitate este efectuată ca parte a administrării normale a sistemelor, pentru toate sistemele și produsele de la Oracle. Acest tip de evaluări utilizează la scară largă instrumente care includ atât instrumente comerciale de scanare cât și propriile produse Oracle (precum Oracle Enterprise Manager). Scopul principal al scanării operaționale de securitate este acela de a detecta configurațiile de securitate neautorizate și nesigure.
  • Testul de pătrundere a amenințărilor este, de asemenea, efectuat în mod obișnuit, pentru a se verifica dacă sistemul a fost configurat conform standardelor la nivel de corporație de la Oracle și că aceste sisteme pot rezista în mediul de amenințare operațională scanărilor ostile care pătrund prin internet. Testul de pătrundere a amenințărilor poate lua două forme:
    • Testul pasiv de pătrundere a amenințărilor este efectuat utilizându-se instrumente comerciale de scanare și etape manuale. De regulă, este efectuat prin intermediul internetului, cu un minim de cunoștințe din interior. Testul pasiv este utilizat pentru confirmarea prezenței tipurilor cunoscute de vulnerabilități, cu suficientă încredere și exactitate pentru crearea unui caz de test, care poate fi utilizat prin operațiuni de dezvoltare sau în cloud pentru validarea prezenței problemei raportate. În timpul testului pasiv de pătrundere a amenințărilor nu este efectuată nicio exploatare a mediilor de producție, înafara celor minim necesare pentru confirmarea problemei. De exemplu, o injecție SQL nu va fi exploatată pentru a extrage date.
    • Testul activ de pătrundere a amenințărilor este mult mai invaziv decât testul pasiv și permite exploatarea vulnerabilităților descoperite. De asemenea, are un domeniu de aplicare mai larg decât testul pasiv, echipele de securitate având de regulă permisiunea de a trece de la un sistem la altul. Evident, testul activ de pătrundere a amenințărilor este controlat îndeaproape, pentru evitarea unui impact neintenționat asupra sistemelor de producție.
  • Spre deosebire de scanarea operațională de securitate și testarea pătrunderii amenințărilor, hackingul etic reprezintă o interacțiune deschisă, echipa de hacking etic având acces la documentația tehnică, de exemplu, la specificațiile de proiectare și la codul sursă al produsului care este testat. Pentru a se permite efectuarea de analize mai invazive ale sistemelor vizate, echipa de hacking etic trebuie să dețină drepturi administrative de acces, în vederea utilizării modurilor suplimentare de conectare și depanare. Interacțiunile de tip hacking etic sunt efectuate de obicei asupra unor medii dedicate de testare, deoarece vor perturba sistemul vizat în măsura în care ar putea fi necesar să fie reconstruit.

Scanarea operațională de securitate

Organizațiile IT Oracle răspund de scanarea de securitate a sistemelor Oracle pentru corporații și a serviciilor în cloud pe care le gestionează pentru Politica de securitate privind serverele Oracle și standardelor tehnologice asociate. Toate instrumentele de scanare trebuie aprobate de către Corporate Security Solution Assurance Process (CSSAP). Rezultatele scanării sunt analizate utilizând o abordare bazată pe riscuri. Procesele de managementul schimbărilor sunt utilizate pentru abordarea oricăror probleme identificate, în funcție de prioritizarea bazată pe risc, conform aprobării conducerii.

Informațiile privind scanările de securitate operațională ale sistemelor Oracle pentru corporații și ale serviciilor în cloud sunt informații confidențiale ale companiei Oracle și nu sunt distribuite în exterior.

Testul de pătrundere a amenințărilor

Oracle impune ca sistemele externe cu care se confruntă și serviciile cloud să fie supuse testelor de pătrundere a amenințărilor efectuate de echipe independente de securitate. Echipa de testare a pătrunderii amenințărilor de la Global Information Security efectuează testele de pătrundere a amenințărilor și asigură supravegherea tuturor domeniilor de activitate în situațiile în care alte echipe de securitate internă sau o terță parte autorizată efectuează aceste activități de testare. Această supraveghere este concepută pentru asigurarea calității, exactității și coerenței activităților de testare a pătrundere a amenințărilor și metodologiei asociate acestora. Oracle are cerințe formale de testare a pătrunderii amenințărilor, care includ domeniul de testare și definirea mediului, instrumentele aprobate, clasificarea rezultatelor, categoriile de exploatări pentru încercări prin automatizare și etape manuale și procedurile de raportare a rezultatelor.

Testele de pătrundere a amenințărilor sunt efectuate de obicei la nivelul serviciilor cloud Oracle și în mediile de testare, la nivelul produselor on-premises. Echipele de securitate ale companiei Oracle monitorizează executarea testelor, raportarea calității și remedierea rezultatelor. Înainte ca un domeniu de afaceri să aibă dreptul de a pune un nou sistem sau serviciu cloud în producție, Oracle solicită finalizarea remedierii rezultatelor semnificative ale testelor de pătrundere a amenințărilor.

Informațiile privind testele de pătrundere a amenințărilor ale sistemelor Oracle pentru corporații și ale serviciilor în cloud sunt informații confidențiale ale companiei Oracle și nu sunt distribuite extern.

Hackingul etic

Interacțiunile de tip hacking etic sunt efectuate de Ethical Hacking Team (EHT), un grup independent de cercetători în domeniul securității din organizația Global Product Security.

În timp ce rapoartele de testare EHT nu sunt dezvăluite niciodată extern, echipa raportează constatările sale arhitectului de securitate corporativă, precum și conducerii superioare a domeniilor de afaceri afectate. În plus, echipa EHT este un contribuitor important la Standardele Oracle de codare sigură și prezintă periodic, într-o formă prescurtată, rezultatele concluziilor sale drept “lecții învățate” pentru dezvoltarea Oracle.

Oracle Labs

Misiunea Oracle Labs este simplă: identificarea, explorarea și transferul noilor tehnologii care au potențialul de a îmbunătăți substanțial software-ul Oracle, serviciile Oracle Cloud și operațiunile corporative. Cercetătorii Oracle Labs caută abordări și metodologii noi, preluând adesea proiecte cu risc crescut sau nesigure, sau care sunt dificil de abordat în cadrul unei organizații de dezvoltare a produselor.

Angajamentul Oracle față de R’D este un factor decisiv în dezvoltarea tehnologiilor care au menținut Oracle în fruntea industriei IT. Deși multe dintre tehnologiile de vârf ale companiei Oracle provin de la organizațiile de dezvoltare a produselor, Oracle Labs este singura organizație de la Oracle dedicată exclusiv cercetării.