Zhodnotenie bezpečnosti IT danej organizácie resp. technických prostriedkov a bezpečnostných mechanizmov danej siete vo forme správy, v ktorej sú identifikované hrozby (zraniteľnosti) ako aj ich priorita (závažnosť). K daným rizikám sú vypracované aj opatrenia, ktorými je možné eliminovať tieto zraniteľnosti, prípadne ich zmierniť, ak eliminácia nie je možná.

 

Penetračné testovanie možme rozlíšiť podľa rôznych prístupov:

Prístup na základe znalosti testovaných systémov

  • Black-box pen. testovanie –  vychádzajúca z minimálnych znalostí o systéme alebo aplikácii pričom testujúci nemá znalosť o testovanej infraštruktúre a konfigurácií testovaných systémov.
  • White-box pen. testovanie –  vyžadujúca si kompletnú znalosť testovanej infraštruktúry ako aj konfigurácie jej komponentov (systémov a sietových prvkov). Táto metodológia taktiež zahŕna analýzu zdrojových kódov testovaného aplikačného vybavenia.
  • Grey-box pen. testovanie – podobne ako white-box s rozdielom, že realizátor má len čiastočnú znalosť testovanej infraštruktúry a jej prvkov.

 

Prístup na základe miesta, z ktorého sú testy realizované

  • Externé penetračné testovania – Penetračné testovanie je realizované z pohľadu útočníka, ktorý pristupuje na testované systémy z verejnej siete Internet.
  • Interné penetračné testovania – Penetračné testovanie je realizované z vybraných vnútorných sietových segmentov zadávateľa.

Podľa typu penetračného testu sú k analýze potrebné nasledujúce informácie:

  • adresy testovaných systémov - schéma siete (infraštruktúra IT)
  • detailná architektúra sieťovej infraštruktúry - informácie získané dotazníkom od IT zamestnancov
  • technická dokumentácia k testovaným systémom
  • bezpečnostná politika relevantná k testovaným systémom
  • informácie získané z nastavení servrov a sieťových zariadení, pričom ak je možné, sú tieto informácie pre vyhodnotenie porovnané s tzv. bezpečnostným benchmarkom.

K realizácií pen. testovania a vypracovania správy používame nasledovné metodológie:

OSSTMM - The Open Source Security Testing Methodology Manual

OWASP - Open Web Application Security Project