Sonuç bulunamadı

Aramanız hiçbir sonuçla eşleşmedi.

Test ve Etik Korsanlık

Genel Görünüm

Oracle, şirketin altyapılarının, ürünlerinin ve servislerinin güvenlik gücünü değerlendirme amacıyla uzman güvenlik profesyonellerinden oluşan ekiplerle çalışmaktadır. Bu ekipler, çeşitli düzeylerde ek güvenlik testleri gerçekleştirir:

  • Operasyonel güvenlik taraması; tüm Oracle sistemlerinin ve servislerinin normal sistem yönetiminin bir parçası olarak gerçekleştirilir. Bu tür bir değerlendirmede büyük oranda, ticari tarama araçlarının yanında Oracle ürünlerini (ör. Oracle Enterprise Manager) içeren araçlardan yararlanılır. Operasyonel güvenlik taramasının amacı temel olarak yetkisiz ve güvenli olmayan güvenlik konfigürasyonlarını saptamaktır.
  • Sızma testi; Oracle'ın kurumsal standartları uyarınca kurulan sistemleri, bu sistemlerin operasyonel tehdit ortamına dayanabileceğini ve İnternete yayılan saldırgan taramalara karşı direnç sağlayabileceğini kontrol etmek üzere rutin olarak gerçekleştirilir. Sızma testi iki şekilde gerçekleştirilebilir:
    • Pasif sızma testi; ticari tarama araçları ve manuel adımlarla gerçekleştirilir. Genellikle İnternet üzerinden ve minimum düzeyde iç bilgi ile gerçekleştirilir. Pasif test, rapor edilen sorunun varlığını doğrulamak üzere geliştirme veya bulut operasyonları tarafından kullanılabilecek bir test çalışması oluşturmak için yeterli düzeyde güven ve doğruluk ile bilinen türlerdeki açıkların varlığını onaylamak için kullanılır. Pasif sızma testi sırasında üretim ortamlarında sorunu doğrulamak için gereken en az düzey dışında hiçbir istismar gerçekleştirilmez. Örneğin veri çekmek için SQL saldırısı yapılmayacaktır.
    • Aktif sızma testi; pasif sızma testinden daha müdahalecidir ve keşfedilmeyen açıkların ortaya çıkarılmasına olanak sağlar. Genellikle güvenlik ekiplerinin sistemler arasında geçiş yapmasına izin verildiğinden pasif sızma testinden daha geniş kapsamlıdır. Elbette aktif sızma testi üretim sistemleri üzerinde istenmeyen etkilerin oluşmaması için yakından kontrol edilir.
  • Operasyonel güvenlik taraması ve sızma testinin aksine Etik korsanlık, Etik Korsanlık ekibinin tasarım spesifikasyonları ve test edilen ürünün kaynak kodu gibi tasarım dokümantasyonuna erişim sağladığı açık bir etkileşimdir. Hedeflenen sistemlerin çok daha derinlemesine analiz edilebilmesi için Etik Korsanlık ekibine, ek günlüğe kaydetme ve hata ayıklama modlarından yararlanabilmeleri için yönetim erişimi verilebilir. Etik Korsanlık etkileşimleri, hedef sistemi yeniden oluşturulmasını gerektirebilecek kadar didikleyecekleri için tipik olarak özel test ortamları kullanılarak gerçekleştirilir.

Operasyonel Güvenlik Taraması

Oracle’ın Sunucu Güvenliği Politikası ve ilişkili teknoloji standartları uyarınca Oracle BT organizasyonları, yönettikleri Oracle kurumsal sistemlerinin ve Bulut servislerinin güvenlik taramasını gerçekleştirmekten sorumludur. Tüm tarama araçları Kurumsal Güvenlik Çözümü Güvence Süreci (CSSAP) uyarınca onaylanmalıdır. Tarama sonuçları risk temelli bir yaklaşım kullanılarak analiz edilir. Yönetim onayına bağlı olarak risk temelli önceliklendirme temelinde tanımlanan tüm sorunları çözmek üzere değişiklik yönetimi süreçleri kullanılır.

Oracle’ın kurumsal sistemlerinin ve bulut servislerinin operasyonel güvenlik taramalarına ilişkin bilgiler Oracle Gizli bilgileridir ve şirket dışında paylaşılmamaktadır.

Sızma Testi

Oracle, harici olarak çalışan sistemlerin ve bulut servislerinin bağımsız güvenlik ekipleri tarafından gerçekleştirilen sızma testlerine tabi tutulmasını gerektirir. Küresel Bilgi Güvenliği Sızma Testi Ekibi sızma testlerini gerçekleştirir ve diğer dahili güvenlik ekiplerinin veya onaylanmış bir üçüncü tarafın sızma testi faaliyetlerini gerçekleştirdiği durumlarda tüm iş birimlerine gözetim sağlar. Bu gözetim, sızma testi faaliyetlerinin ve ilişkili metodolojilerinin kalitesini, doğruluğunu ve tutarlılığını desteklemek üzere tasarlanmıştır. Oracle, test kapsamını ve ortam tanımını, onaylanan araçları, bulgu sınıflandırmasını, otomasyon ve manuel adımlarla denenecek istismar kategorilerini ve sonuçları raporlama prosedürlerini içeren resmi sızma testi gerekliliklerini uygulamaktadır.

Tüm sızma testi sonuçları ve raporları bağımsız ve kapsamlı bir test gerçekleştirildiğini doğrulamak üzere Oracle'ın kurumsal güvenlik ekipleri tarafından incelenir. Oracle, bir iş biriminin yeni bir sistemi veya bulut servisini kullanıma almasına izin verilmeden önce önemli sızma testi bulgularının çözülmesini gerektirir.

Oracle'ın kurumsal sistemlerinin ve bulut servislerinin sızma testlerine ilişkin bilgiler Oracle Gizli bilgileridir ve şirket dışında paylaşılmamaktadır.

Etik Korsanlık

Etik korsanlık etkileşimleri, Küresel Ürün Güvenliği organizasyonundaki bağımsız güvenlik araştırmacıları grubu olan Etik Korsanlık Ekibi (EHT) tarafından gerçekleştirilir.

EHT test raporları hiçbir durumda harici olarak ifşa edilmez; ekip bulgularını kurumsal güvenlik mimarına ve aynı zamanda ilgili iş birimlerinin üst düzey yöneticilerine rapor eder. Ek olarak EHT ekibi, Oracle Güvenli Kodlama Standartları konusunda önemli bir katkı sağlar ve Oracle geliştirmeleri için düzenli olarak bulgularına ilişkin sonuç özetlerini “öğrenilen dersler” olarak sunar.

Oracle Labs

Oracle Labs'ın Misyonu oldukça açıktır: Oracle yazılımını, Oracle Cloud servislerini ve kurumsal operasyonlarını önemli ölçüde iyileştirme potansiyeli olan yeni teknolojileri tanımlama, keşfetme ve aktarma. Oracle Labs araştırmacıları genellikle yüksek düzeyde riskli veya belirsiz olan projeleri ya da bir ürün geliştirme organizasyonunda ele alınması zor olan projeleri üstlenerek yen yaklaşımlar ve metodolojileri araştırır.

Oracle’ın AR&GE konusundaki kararlılığı, Oracle'ı bilgisayar sektöründe üst sıralara taşıyan teknolojilerin geliştirilmesi açısından teşvik eden bir faktördür. Oracle'ın pek çok son teknoloji ürünü kendi ürün geliştirme organizasyonlarında oluşturulsa da Oracle Labs, Oracle'da salt araştırmaya adanan tek organizasyondur.