Penetrační testy

FLAB CESNET na podzim roku 2016 provedl penetrační testy řady aplikací, serverů a služeb v síti ZČU, díky čemuž jsme získali řadu velice užitečných podnětů ke zlepšení, samozřejmě především (ale nejen) co se týče jejich zabezpečení. Zároveň jsme měli skvělou příležitost vyzkoušet a zhodnotit naše schopnosti v oboru detekce útoků a průniků a obrany proti nim. Spolupráce s FLAB CESNET, od zadání po závěrečnou zprávu, byla kvalitní, profesionální a bezchybná a těšíme se na její další pokračování i rozvoj.

Testy sociálního inženýrství

Forenzní laboratoř CESNET pro Západočeskou univerzitu v Plzni (ZČU) prováděla v roce 2017 rozesílání cvičných phishingových zpráv vybraným zaměstnancům, kteří si tak mohli vyzkoušet svoji schopnost rozeznat podvod aniž by jim hrozila reálná újma. Cvičné zprávy uživatele dobře připravily na reálný útok, kterému shodou okolností ZČU čelila hned krátce po dokončení této vzdělávací akce. Spolupráce s pracovníky forenzní laboratoře byla na velmi profesionální úrovni a byli schopni flexibilně reagovat i na dodatečné požadavky.

Penetrační testy informačního systému IS/STAG

FLAB CESNET provedla v lednu 2020 komplexní penetrační testy nejen provozního systému IS/STAG, ale i prostředí, v němž je vyvíjen. Testům proto byly podrobeny počítače vývojářů, servery pro build, správu a monitoring instancí aplikace, byli dokonce testováni samotní vývojáři formou zkušebního phishingu. Systém byl testován nejen jako tzv. black-box, ale FLAB dostal k dispozici kompletní popisy, dokumentaci a zdrojové kódy systému, aby mohl nalézt i chyby v jeho návrhu, v použitých (bezpečnostních i jiných) principech a postupech.

Spolupráce s týmem FLAB CESNET byla naprosto profesionální, výsledky přispěly k dalšímu zdokonalení nejen systému IS/STAG samotného, ale i (a to považuji snad za podstatnější) k uvědomnění jejích vývojářů o tom, jak se chovat při vývoji/provozu takového systému, jakým technikám se vyhnout a jaké postupy naopak dodržovat.

Penetrační testování infrastruktury

Forenzní laboratoř CESNET pro Západočeskou univerzitu v Plzni (ZČU) prováděla penetrační testování infrastruktury. Otestovány byly vybrané služby a aplikace, serverová infrastruktura a admin stanice. Celý proces od specifikace zadání, přes provádění testů, po závěrečnou prezentaci výsledků a doporučení pro nápravy proběhlo na vysoce odborné a profesionální úrovni. IT pracovníci ZČU si během penetračních testů mohli vyzkoušet své schopnosti detekce probíhajících útoků.