Penetraatiotestauksessa (pentesting) pyritään tunkeutumaan mahdollisimman syvälle asiakkaan kanssa sovittuun kokonaisuuteen, tavoitteena päästä käsiksi mahdollisimman kriittiseen tietoon tai järjestelmään. Hyökkäykset suoritetaan sekä manuaalisen testauksen että ohjelmallisten työkalujen voimin hyödyntäen voimakkaasti hakkerimaista ajattelutapaa.
Penetraatiotestauksia voidaan tehdä erilaisin laajuuksin ja kohdentaa esimerkiksi:
- Asiakkaan ulkoverkkoon ja sen palveluihin
- Asiakkaan sisäverkkoon ja sen palveluihin
- Sovittuun verkkosegmenttiin ja sen palveluihin
- Asiakkaan tiettyyn palveluun
- Vierasverkkoon tai langattomaan verkkoon
Penetraatiotestaus aloitetaan tiedusteluvaiheella, jossa hakkerimme kartoittavat asiakkaan palveluita ja olemassa olevaa hyökkäyspinta-alaa etsien otollisinta kohtaa hyökätä. Tämän jälkeen hakkeri hyökkää sovituin menetelmin kohteisiin ja pyrkii tämän kautta etsimään tietään eteenpäin kohti asiakkaan kriittisempää dataa.
Penetraatiotestaus sopii hyvin organisaatioille, jotka haluavat varmistua palvelukokonaisuuksien teknisestä turvallisuudesta.