Un test di penetrazione è un tipo di valutazione della sicurezza eseguita su un sistema informatico in cui la persona che esegue i tentativi di valutazione di hackerare il sistema.L'obiettivo del test è determinare se qualcuno con intenti dannosi può entrare nel sistema e ciò che può accedere una volta che il sistema è stato penetrato.I test di penetrazione sono offerti da un certo numero di aziende specializzate nella sicurezza dei sistemi informatici e spesso sono fortemente raccomandati per sistemi e aziende di tutte le dimensioni, poiché il danno a un sistema informatico causato da un attacco ostile può essere costoso e imbarazzante.

Esistono diversi approcci al test di penetrazione.In un approccio Black Box, non vengono fornite informazioni sul sistema alla persona che esegue il test.Lui o lei inizia da zero per cercare potenziali exploit e entrare nel sistema.In un test della scatola bianca, vengono fornite tutte le informazioni, consentendo al tester di simulare un lavoro interno o perdita di informazioni.Alcune aziende scelgono un approccio ibrido, in cui vengono fornite alcune informazioni e altre informazioni devono essere ricercate.Codice e una varietà di altre attività.Il test di penetrazione può rallentare il sistema, il che rende importante i tempi del test;Le aziende vogliono evitare di interferire con le proprie operazioni quando eseguono valutazioni di sicurezza.

Le persone che eseguono i test di penetrazione hanno un'ampia libreria di competenze informatiche e alcune hanno una storia come hacker che li ha familiarizzati con i numerosi modi in cui il computeri sistemi possono essere sfruttati.Assumere hacker qualificati come consulenti di sicurezza possono effettivamente essere una mossa commerciale molto esperta per un'azienda specializzata nella sicurezza dei computer e della rete, poiché gli hacker spesso hanno la conoscenza e le informazioni più aggiornate e sono abituati ad avvicinarsi ai sistemi informatici dal ruolo diQualcuno con malizia, piuttosto che il ruolo di un esperto di sicurezza interessato.

Per semplici test, è possibile utilizzare un sistema automatizzato per eseguire un test di penetrazione.Ciò riduce le spese e consente alle aziende di tenere facilmente test casuali quando pensano che potrebbe esserci un bisogno.I test manuali sono più approfonditi e richiedono tempo, ma può produrre risultati più completi.Un umano creativo e determinato può rilevare potenziali exploit che può mancare un programma automatizzato.

Una volta concluso un test di penetrazione, i risultati vengono scritti e presentati al cliente.Insieme ai risultati, viene generato un elenco di raccomandazioni, con la società di sicurezza che indica le aree in cui la sicurezza potrebbe essere migliorata e dare suggerimenti per il miglioramento.