Najważniejsze informacje

Test penetracyjny to w skrócie proces, który polega na przeprowadzeniu ataku na system teleinformatyczny, który jest w pełni kontrolowany. Jego celem jest praktyczna ocena aktualnego stanu jego bezpieczeństwa, a w szczególności obecności możliwych podatności oraz odporności na próby przełamania zabezpieczeń przez hakerów. Test penetracyjny polega na analizie systemu pod względem istnienia możliwych błędów bezpieczeństwa, które powodowane są niewłaściwą konfiguracją, lukami w sprzęcie bądź w oprogramowaniu, słabościami w technicznych bądź proceduralnych środkach zabezpieczeń lub niewystarczającą świadomością użytkowników.

Perspektywa

Analizę tego typu przeprowadza się z perspektywy potencjalnego hakera – włamywacza. Może ona zawierać aktywne wykorzystanie podatności, na przykład dzięki użyciu exploitów. Najważniejszą cechą, która odróżnia test penetracyjny od klasycznego włamania, jest to, że strona, która jest atakowana, w pełni wyraża zgodę na przeprowadzany atak. Oprócz tego osoba, która przeprowadza test, musi przedstawić raport, w którym opisane zostaną wszystkie problemy. Najczęściej powinien on również posiadać rozwiązania i rekomendacje dotyczące ich usunięcia, dzięki czemu bezpieczeństwo testowanego systemu wzrośnie.

Bezpieczeństwo najważniejsze

Przeprowadzone testy penetracyjne mają potwierdzać brak podatności systemu na włamania oraz skuteczność istniejących zabezpieczeń w implementacji rzeczywistej. Testy implementacyjne od audytu różnią się tym, że nie muszą odbywać się według sformalizowanej metodologii.