Testy penetracyjne polegają na przeprowadzeniu ataku hakerskiego, który został zaplanowany wspólnie z właścicielem systemu informatycznego. Taki atak jest w pełni kontrolowany i jego celem jest wykrycie potencjalnych podatności, jak np. luki w systemie, błędy sprzętu, błędnie skonstruowane procedury bezpieczeństwa, czy braki w wiedzy personelu badanej firmy.
Najważniejszą cechą, jaka odróżnia test penetracyjny od ataku hakerskiego, jest zgoda stronty atakowanej na taką formę sprawdzenia systemu. Celem takich działań jest zabezpieczenie środowiska informatycznego przed faktycznymi atakami hakerów.
Rodzaje testów penetracyjnych:
- Black Box – Testujący nie ma informacji o celu ataku, oprócz np. domeny lub adresu IP.
- Grey Box – Testujący ma część informacji o celu, np. zna technologię tworzenia aplikacji.
- White Box – Testujący ma pełne informacje o celu; zna topologię sieci, ma dostęp do kodów źródłowych programu, ma dostęp do systemu, może śledzić logi. Innymi słowy, dostaje wszystkie informacje o jakie poprosi.
Metody testowania:
- Automatyczne – Testy są przeprowadzane w pełni automatycznie, za pośrednictwem oprogramowania komputerowego. Testy tego typu wykonuje się stosunkowo szybko.
- Manualne – Bardziej skuteczne i nieszablonowe testy, które nie sprawdzają wszystkich możliwości, lecz wykrywają te najbardziej niebezpieczne i trudne do wykrycia.
- Hybrydowe – Połączenie testów automatycznych i manualnych; najskuteczniejsze i najbardziej sensowne rozwiązanie, dające sumę skuteczności, szybkości i dokładności.
Przykładowe testy:
- Testy podatności www – Sprawdzane są serwisy internetowe.
- Testy socjotechniczne – Sprawdzane są luki bazujące na błędach ludzkich.
- Testy infrastruktury LAN – Testowane są urządzenia sieciowe, serwery i usługi
- Testy styku LAN/WAN – Testowane są podatności, umożliwiające przedostanie się do sieci wewnętrznej.
- Testy DoS – Pozorowane są ataki odnowy usługi, np. próby wysycenia zasobów serwerów lub urządzeń sieciowych.