Δοκιμές διείσδυσης και Specialized Λειτουργικά συστήματα
Αρκετές διανομές λειτουργικών συστημάτων είναι προσανατολισμένες στη δοκιμή διείσδυσης. Τέτοιες διανομές συνήθως περιέχουν ένα προσυσκευασμένο και προδιαμορφωμένο σύνολο εργαλείων. Ο penetration tester δεν χρειάζεται να αναζητά κάθε μεμονωμένο εργαλείο, κάτι που μπορεί να αυξήσει τον κίνδυνο επιπλοκών όπως σφάλματα μεταγλώττισης. Επίσης, η απόκτηση πρόσθετων εργαλείων μπορεί να μην είναι πρακτική στο πλαίσιο του penetration tester.
Με αυτες τις διανομές πραγματοποιούνται οι δοκιμές διεισδυσης η οποίες είναι πολύ σημαντικές σε έναν οργανισμό.
Μια δοκιμή διείσδυσης, είναι μια εξουσιοδοτημένη προσομοίωση κυβερνοεπίθεσης σε ένα δίκτυο, που εκτελείται για την αξιολόγηση της ασφάλειας του συστήματος. Η δοκιμή εκτελείται για τον εντοπισμό αδυναμιών(vulnerabilities), συμπεριλαμβανομένης της πιθανότητας μη εξουσιοδοτημένων χρηστών να αποκτήσουν πρόσβαση στα δεδομένα του συστήματος.
Η διαδικασία τυπικά προσδιορίζει τα αρχικά συστήματα(starting points) και έναν συγκεκριμένο στόχο, στη συνέχεια εξετάζει τις διαθέσιμες πληροφορίες(enumeration). Ένας στόχος δοκιμής διείσδυσης μπορεί να είναι ένα whitebox (για το οποίο παρέχονται εκ των προτέρων πληροφορίες για το υπόβαθρο και το σύστημα στον penetration tester) ή ένα blackbox (για το οποίο παρέχονται μόνο βασικές πληροφορίες - εάν υπάρχουν - εκτός από το όνομα της εταιρείας). Μια δοκιμή διείσδυσης graybox είναι ένας συνδυασμός των δύο (όπου περιορισμένη γνώση του στόχου κοινοποιείται στον penetration tester).Μια δοκιμή διείσδυσης μπορεί να βοηθήσει στον εντοπισμό των τρωτών σημείων ενός συστήματος στην επίθεση και στην εκτίμηση του πόσο ευάλωτο είναι.
Ζητήματα ασφαλείας που αποκαλύπτει η δοκιμή διείσδυσης θα πρέπει να αναφέρονται στον κάτοχο του συστήματος. Οι αναφορές δοκιμών διείσδυσης μπορούν επίσης να αξιολογήσουν τις πιθανές επιπτώσεις στον οργανισμό και να προτείνουν αντίμετρα για τη μείωση του κινδύνου.
Οι στόχοι μιας δοκιμής διεισδυσεις ποικίλλουν ανάλογα με τον τύπο της εγκεκριμένης δραστηριότητας για κάθε δεδομένη δέσμευση, με πρωταρχικό στόχο να επικεντρώνεται στην εύρεση τρωτών σημείων που θα μπορούσαν να εκμεταλλευτεί ένας κακόβουλος παράγοντας και στην ενημέρωση του πελάτη για αυτά τα τρωτά σημεία.
Υπάρχουν διάφοροι τύποι δοκιμών διείσδυσης, ανάλογα με τον στόχο του οργανισμού που περιλαμβάνουν: Δίκτυο (εξωτερικό και εσωτερικό), Ασύρματο, Εφαρμογή Ιστού, Κοινωνική Μηχανική και Επαλήθευση αποκατάστασης.