Тестирование и этичный взлом

Обзор

Oracle поддерживает команды специалистов в области безопасности по оценке безопасности инфраструктуры, продуктов и услуг компании. Такие команды выполняют дополнительное тестирование безопасности на разных уровнях.

  • Операционное сканирование безопасности выполняется в рамках обычного администрирования всех систем и служб Oracle. При такой оценке в значительной степени используются различные средства, в том числе коммерческие инструменты сканирования, а также собственные продукты Oracle (такие как Oracle Enterprise Manager). Цель операционного сканирования безопасности в основном заключается в обнаружении неавторизованных и незащищенных конфигураций безопасности.
  • Также регулярно выполняется тестирование на проникновение для проверки настройки систем в соответствии с корпоративными стандартами Oracle и на то, что эти системы могут выдержать среду операционных угроз и противостоять злонамеренному сканированию из Интернета. Тестирование на проникновение может выполняться в двух вариантах.
    • Пассивное тестирование на проникновение выполняется с использованием коммерческих инструментов сканирования и ручных действий. Как правило, оно осуществляется через Интернет и с минимумом инсайдерской информации. Пассивное тестирование используется для подтверждения наличия известных типов уязвимостей с достаточной уверенностью и точностью для создания тестового примера. Этот пример затем может быть использован в разработке или облачных операциях для проверки присутствия известной проблемы. Во время пассивного тестирования на проникновение в рабочей среде не используется никакой код, эксплуатирующий уязвимости ПО, кроме минимально необходимого для подтверждения существования проблемы. Например, инъекция SQL-кода не будет использоваться для переноса данных.
    • Активное тестирование на проникновение подразумевает большую степень внедрения, чем при пассивном тестировании, и допускает эксплуатацию обнаруженных уязвимостей. Оно также имеет более широкий охват, чем пассивное тестирование на проникновение, так как группам специалистов по безопасности обычно разрешается переориентироваться из одной системы на другую. Очевидно, что активное тестирование на проникновение контролируется внимательней, чтобы исключить непреднамеренное воздействие на производственные системы.
  • В отличие от операционного сканирования безопасности и тестирования на проникновение, этичный взлом — это явное внедрение, когда группа этичного взлома имеет доступ к технической документации, такой как проектные спецификации и исходный код тестируемого продукта. Для обеспечения более тщательного анализа целевых систем группе этичного взлома могут быть предоставлены административные права доступа, чтобы она могла использовать дополнительные режимы журналирования (с сохранением на диске) и отладки. Действия этичного взлома обычно выполняются в специальных средах тестирования, так как такие действия, как правило, приводят к нарушениям в целевой системе и ее приходится перестраивать.

Операционное сканирование безопасности

ИТ-организации Oracle отвечают за сканирование безопасности корпоративных систем Oracle и облачных служб, которыми они управляют, в соответствии с политикой безопасности серверов Oracle и соответствующими технологическими стандартами. Все инструменты сканирования утверждаются в соответствии с процессом Corporate Security Solution Assurance Process (CSSAP). Результаты сканирования анализируются на основе оценки риска. Процессы управления изменениями используются для решения любых выявленных проблем в соответствии с приоритетами по риску посредством согласования с руководством.

Информация об оперативном сканировании безопасности корпоративных систем и облачных решений Oracle является конфиденциальной информацией Oracle и не подлежит разглашению.

Тестирование на проникновение

Oracle требует, чтобы внешние системы и облачные решения подвергались тестированию на проникновение, выполняемому независимыми группами специалистов по безопасности. Группа тестирования на проникновение Global Information Security’s выполняет тесты на проникновение и обеспечивает надзор над всеми деловыми направлениями в тех случаях, когда другие внутренние группы безопасности или одобренные сторонние компании проводят тестирование на проникновение. Этот надзор предназначен для обеспечения качества, точности и согласованности действий по тестированию на проникновение с соответствующей методологией. В Oracle имеются формальные требования к тестированию на проникновение, включающие определение охвата и среды тестирования, одобренные инструменты, классификацию результатов, категории уязвимостей для попыток внедрения автоматически или вручную, а также процедуры представления результатов.

Все результаты и отчеты тестирования на проникновение изучаются группами специалистов по безопасности корпорации Oracle для подтверждения независимости и тщательности выполненного тестирования. До того как направлению бизнеса будет разрешен выпуск новой системы или облачного решения, Oracle требует полное исправление существенных уязвимостей, обнаруженных в результате тестирования на проникновение.

Информация об оперативном сканировании безопасности корпоративных систем и облачных решений Oracle является конфиденциальной информацией Oracle и не подлежит разглашению.

Этичный взлом

Действия этичного взлома выполняются группой этичного взлома (EHT), независимой группой исследователей состояния безопасности в организации глобального контроля над безопасностью продуктов.

Хотя отчеты об испытаниях EHT никогда не разглашаются, эта группа сообщает о своих результатах архитектору корпоративной безопасности, а также высокопоставленному руководству затронутых направлений бизнеса. Кроме того, группа EHT вносит значительный вклад в стандарты программирования Oracle и периодически представляет краткие результаты своих изысканий в виде “анализа результатов” для разработчиков Oracle.

Oracle Labs

Цель Oracle Labs предельно ясна: выявлять, исследовать и передавать новые технологии, которые могут существенно улучшить программное обеспечение Oracle, облачные решения Oracle и корпоративную деятельность. Исследователи Oracle Labs ищут новые подходы и методы и часто работают с рисковыми или неясными проектами, или с такими, которые сложно согласовывать с организацией, разрабатывающей продукт.

Приверженность Oracle исследованиям и разработкам является движущей силой в развитии технологий, которые привели Oracle на передний край компьютерной индустрии. Хотя многие из передовых технологий корпорации Oracle берут свое начало из ее организаций по разработке продуктов, Oracle Labs является единственной структурой в Oracle, которая занимается исключительно исследованиями.