Un penetration test (sau, pe scurt, pentest) presupune desfășurarea unui atac asupra unui sistem într-un mediu controlat, cu unica intenție de a descoperi punctele slabe de securitate și de a le exploata în condiții de siguranță, folosindu-le pentru a accesa datele sistemului și funcționalitatea acestuia.

Procesul implică identificarea sistemelor vizate și a obiectivului, apoi revizuirea informațiilor disponibile și stabilirea mijloacelor accesibile pentru atingerea obiectivului.

O țintă pentru un pentest poate avea diferite forme:

• white box – unde sunt furnizate toate informațiile legate de context și sistem
• black box – unde sunt furnizate numai informații de bază sau chiar deloc, cu excepția numelui companiei
• grey box – unde se efectuează teste de tip white box și black box.

Un penetration test poate ajuta la determinarea vulnerabilităților unui sistem, dacă sistemele de protecție sunt adecvate și ce măsuri de apărare (dacă există) au putut fi ocolite de pentest.

Problemele de securitate descoperite prin penetration test sunt raportate proprietarului sistemului.

Rapoartele penetration testului pot, de asemenea, să evalueze impactul potențial asupra companiei și să vină cu recomandări de reducere a riscurilor.

Penetration testing-ul este util din mai multe motive:

• Determinarea fezabilității la un anumit set de vectori de atac
• Identificarea vulnerabilităților cu risc mai mare care rezultă dintr-o serie de vulnerabilități cu risc mai mic exploatate într-o anumită ordine
• Identificarea vulnerabilităților care pot fi dificil sau imposibil de detectat cu ajutorul unui software automat de scanare a vulnerabilităților din rețea sau din aplicație
• Evaluarea impactului potențial asupra afacerii din punct de vedere operațional în situația unor atacuri
• Testarea abilității măsurilor de protecție a rețelei de a detecta și reacționa cu succes la atacuri
• Raportarea problemelor din sistem care oferă argumente pentru a susține decizia de a face investiții sporite în personalul de securitate și tehnologie.