Zhodnotenie bezpečnosti IT danej organizácie resp. technických prostriedkov a bezpečnostných mechanizmov danej siete vo forme správy, v ktorej sú identifikované hrozby (zraniteľnosti) ako aj ich priorita (závažnosť). K daným rizikám sú vypracované aj opatrenia, ktorými je možné eliminovať tieto zraniteľnosti, prípadne ich zmierniť, ak eliminácia nie je možná.
Penetračné testovanie možme rozlíšiť podľa rôznych prístupov:
Prístup na základe znalosti testovaných systémov
- Black-box pen. testovanie – vychádzajúca z minimálnych znalostí o systéme alebo aplikácii pričom testujúci nemá znalosť o testovanej infraštruktúre a konfigurácií testovaných systémov.
- White-box pen. testovanie – vyžadujúca si kompletnú znalosť testovanej infraštruktúry ako aj konfigurácie jej komponentov (systémov a sietových prvkov). Táto metodológia taktiež zahŕna analýzu zdrojových kódov testovaného aplikačného vybavenia.
- Grey-box pen. testovanie – podobne ako white-box s rozdielom, že realizátor má len čiastočnú znalosť testovanej infraštruktúry a jej prvkov.
Prístup na základe miesta, z ktorého sú testy realizované
- Externé penetračné testovania – Penetračné testovanie je realizované z pohľadu útočníka, ktorý pristupuje na testované systémy z verejnej siete Internet.
- Interné penetračné testovania – Penetračné testovanie je realizované z vybraných vnútorných sietových segmentov zadávateľa.
Podľa typu penetračného testu sú k analýze potrebné nasledujúce informácie:
- adresy testovaných systémov - schéma siete (infraštruktúra IT)
- detailná architektúra sieťovej infraštruktúry - informácie získané dotazníkom od IT zamestnancov
- technická dokumentácia k testovaným systémom
- bezpečnostná politika relevantná k testovaným systémom
- informácie získané z nastavení servrov a sieťových zariadení, pričom ak je možné, sú tieto informácie pre vyhodnotenie porovnané s tzv. bezpečnostným benchmarkom.
K realizácií pen. testovania a vypracovania správy používame nasledovné metodológie:
OSSTMM - The Open Source Security Testing Methodology Manual
OWASP - Open Web Application Security Project