L’attività di Penetration Test è un genere di attività che viene svolta solo dopo un’attenta valutazione dei rischi. Le attività di penetration test possono essere non distruttive oppure distruttive. Il cliente può scegliere la natura e la tipologia dei tipi di test che si vogliono condurre, e soprattutto, il tipo di risultato che si vuole osservare.
Il cliente può scegliere la natura e la tipologia dei tipi di test che si vogliono condurre, e soprattutto, il tipo di risultato che si vuole osservare.
Gli attacchi possono essere di diversa natura: dal Phishing al Social Engineering, all’attacco non distruttivo verso un’applicazione notoriamente vulnerabile alla capacità di resistere ad un massiccio attacco di Denial of Service.
Ogni penetration test viene meticolosamente studiato e preparato, viene deciso l’arco temporale in cui verrà sferrato, con o senza notifica di quando l’attacco avrà luogo.
L’attività di penetration test è quella che richiede maggiore pianificazione, tempo e analisi di sistemi e comportamenti, ricerche su fonti aperte ai fini della maggior efficacia possibile.
Gli strumenti utilizzati per condurre i penetration test sono sia di natura commerciale che opensource.