Un test de penetrare este un tip de evaluare de securitate efectuată pe un sistem informatic în care persoana care efectuează evaluarea încearcă să pirateze sistemul. Scopul testului este de a determina dacă cineva cu intenții rău intenționate poate intra sau nu în sistem și la ce poate accesa odată ce sistemul a fost pătruns. Testele de penetrare sunt oferite de o serie de firme specializate în securitatea sistemelor informatice și sunt adesea recomandate cu tărie pentru sisteme și companii de toate dimensiunile, deoarece deteriorarea unui sistem informatic cauzată de un atac ostil poate fi costisitoare și jenantă.
Există o serie de abordări diferite ale testului de penetrare. Într-o abordare cu casetă neagră, nu sunt furnizate informații despre sistem persoanei care efectuează testul. El sau ea pornește de la zero să caute potențiale exploatări și să pătrundă în sistem. Într-un test cu casetă albă, toate informațiile sunt furnizate, permițând testerului să simuleze o lucrare internă sau o scurgere de informații. Unele companii aleg o abordare hibridă, în care unele informații sunt furnizate și alte informații trebuie căutate.
În timpul unui test de penetrare, expertul în securitate poate simula ștergerea sau modificarea datelor, furtul de fișiere, inserarea de cod rău intenționat și o varietate de alte activități. Testul de penetrare poate încetini sistemul, ceea ce face ca momentul testului să fie important; companiile doresc să evite interferarea cu propriile operațiuni atunci când efectuează evaluări de securitate.
Persoanele care efectuează teste de penetrare au o bibliotecă amplă de abilități de calculator, iar unii au o istorie de hackeri care i-a familiarizat cu numeroasele moduri în care sistemele informatice pot fi exploatate. Angajarea hackerilor calificați ca consultanți în securitate poate fi de fapt o mișcare de afaceri foarte inteligentă pentru o firmă specializată în securitatea computerelor și a rețelelor, deoarece hackerii au adesea cele mai actualizate cunoștințe și informații și sunt obișnuiți să abordeze sistemele informatice din rolul de cineva cu răutate, mai degrabă decât rolul unui expert în securitate preocupat.
Pentru testare simplă, este posibil să utilizați un sistem automat pentru a efectua un test de penetrare. Acest lucru reduce cheltuielile și permite companiilor să efectueze cu ușurință teste aleatorii atunci când cred că ar putea fi nevoie. Testarea manuală este mai aprofundată și mai consumatoare de timp, dar poate da rezultate mai complete. Un om creativ și hotărât poate detecta potențialele exploituri pe care un program automat le poate rata.
Odată ce un test de penetrare este încheiat, constatările sunt redactate și prezentate clientului. Odată cu constatările, este generată o listă de recomandări, firma de securitate indicând domeniile în care securitatea ar putea fi îmbunătățită și făcând sugestii de îmbunătățire.