Test penetracyjny jest to w pełni kontrolowany atak na system, dzięki któremu można przetestować aktualne zabezpieczenia i ich poziom. W trakcie takich ataków sprawdzany jest przede wszystkim poziom odporności i podatność systemu teleinformatycznego na próby przeniknięcia przez zabezpieczające go bariery.
Testy penetracyjne są sposobem na odszukanie słabych punktów systemu oraz sprzętu, ocenę ryzyka w razie awarii, ponadto dzięki nim sprawdza się poprawność konfiguracji systemu teleinformatycznego. W trakcie nich przygląda się również działaniu procedur i użytkowników systemu. Osoba odpowiedzialna za przeprowadzenie kontrolowanego ataku stara się działać z perspektywy hakera. Co ważne, właściciel systemu zgadza się na takie działanie. Pentester sprawdza stan zabezpieczeń, po czym opracowuje specjalny raport, gdzie zawarte zostaną wykryte problemy, zalecenia oraz rekomendacje. Aby test penetracyjny okazał się efektywny, musi przypominać prawdziwy atak hakerski, a osoba wykonującą atak wykorzystuje wszelkie dostępne metody pokonywania barier, również te niekonwencjonalne. Tym właśnie test ten odróżnia się od audytu, który kierowany jest aktami prawnymi i obowiązującymi normami. Testy penetracyjne dzieli się na dwa rodzaje, czyli na ten z minimalną wiedzą (dostępna dla każdego użytkownika sieci) i pełną wiedzą (znajomość specyfikacji i dokumentacji).
Kiedy warto przeprowadzić test penetracyjny?
Kontrolowane ataki hakerskie najlepiej jest przeprowadzać regularnie, aby móc zapewnić sobie bezpieczeństwo w sieci i dobre zarządzanie IT. Dzięki nim przedsiębiorstwo jest w stanie poszerzać swoją wiedzę, poznawać nowe zagrożenia i swoje słabe punkty, przez które hakerzy mogliby włamać się na stronę firmy i wykraść cenne dane. Ponadto, test powinien być przeprowadzany zawsze, jeśli nastąpiła rozbudowa sieci, dokonało się istotnych aktualizacji, modyfikacji, dodało nowe aplikacje itp. Warto zdecydować się na testy penetracyjne również, jeśli doszło do przeniesienia siedziby biura, zainstalowane zostały łatki bezpieczeństwa czy zmieniły się zasady polityki dotyczącej użytkownika końcowego.