Penetrační testování je osvědčenou metodou ohodnocení úrovně zabezpečení komunikační i výpočetní infrastruktury, aplikací i osob prostřednictvím simulovaných útoků. V průběhu penetračního testování jsou kombinovány automatizované i manuální techniky, které pomáhají zjistit úroveň zabezpečení vašich citlivých dat a ověřit dodržení shody s vašimi politikami, normativy a doporučenou praxí.

Penetrační testy infrastruktury dělíme na interní a externí.

Cílem interního penetračního testu je ověřit odolnost firemní sítě z vnitřní strany. Interní penetrační test bývá nejčastěji realizován z pohledu anonymního útočníka s fyzickým přístupem do vnitřní sítě bez přístupu k adresářovým službám anebo z pohledu zaměstnance s přístupem k adresářovým službám.

Externí penetrační test reprezentuje snahu anonymního útočníka o narušení firemní sítě z internetu s cílem obejití bezpečnostních kontrol, využití zranitelností a získání neoprávněného přístupu do sítě, případně s cílem znepřístupnění poskytované služby.

Penetrační testy webových aplikací dělíme na automatizované a manuální přičemž testy mají obvykle následující fáze:

• Analýza celé struktury webu, včetně oblastí s omezeným přístupem je úvodní podstatnou fází testu.
• Testována je každá stránka, která byla nalezena v rámci analýzy struktury webu.
• Výstupem je zpráva a doporučení - podle míry detailu od přehledového, „executive summary reportu“ po podrobnou zprávu pro vývojáře.

S vývojem poznatků a znalostí dochází k neustálému objevování nových bezpečnostních chyb a postupů, jak tyto chyby využít. Proto je doporučeno testy pravidelně opakovat, aby se dosáhlo minimalizace rizik v čase. Zvolit můžete pololetní, čtvrtletní nebo měsíční periodu opakování testů.