Test penetracyjny to rodzaj oceny bezpieczeństwa przeprowadzanej w systemie komputerowym, w której osoba przeprowadzająca ocenę próbuje włamać się do systemu. Celem testu jest ustalenie, czy ktoś o złych zamiarach może wejść do systemu i do czego może uzyskać dostęp po przeniknięciu do systemu. Testy penetracyjne są oferowane przez wiele firm specjalizujących się w bezpieczeństwie systemów komputerowych i często są zdecydowanie zalecane dla systemów i firm każdej wielkości, ponieważ uszkodzenie systemu komputerowego spowodowane wrogim atakiem może być kosztowne i krępujące.
Istnieje wiele różnych podejść do testu penetracyjnego. W podejściu typu „czarna skrzynka” osobie wykonującej test nie są przekazywane żadne informacje o systemie. Zaczyna od podstaw, aby znaleźć potencjalne exploity i włamać się do systemu. W teście białej skrzynki dostarczane są wszystkie informacje, co pozwala testerowi zasymulować wewnętrzne zadanie lub wyciek informacji. Niektóre firmy wybierają podejście hybrydowe, w którym pewne informacje są dostarczane, a inne informacje muszą być wyszukiwane.
W trakcie testu penetracyjnego ekspert ds. bezpieczeństwa może symulować usuwanie lub zmianę danych, kradzież plików, wstawianie złośliwego kodu i szereg innych działań. Test penetracyjny może spowolnić system, co sprawia, że czas testu jest ważny; firmy chcą uniknąć ingerencji w ich własne operacje podczas przeprowadzania oceny bezpieczeństwa.
Osoby przeprowadzające testy penetracyjne mają bogatą bibliotekę umiejętności obsługi komputera, a niektórzy mają za sobą historię hakerów, która zapoznała ich z licznymi sposobami wykorzystania systemów komputerowych. Zatrudnienie wykwalifikowanych hakerów jako konsultantów ds. bezpieczeństwa może być w rzeczywistości bardzo sprytnym posunięciem biznesowym dla firmy specjalizującej się w bezpieczeństwie komputerów i sieci, ponieważ hakerzy często mają najbardziej aktualną wiedzę i informacje, i są przyzwyczajeni do podchodzenia do systemów komputerowych z roli kogoś, kto ma złośliwość, a nie rolę zaniepokojonego eksperta ds. bezpieczeństwa.
W przypadku prostych testów możliwe jest użycie zautomatyzowanego systemu do wykonania testu penetracyjnego. Zmniejsza to koszty i pozwala firmom na łatwe przeprowadzanie losowych testów, gdy uważają, że może zajść taka potrzeba. Testowanie ręczne jest bardziej dogłębne i czasochłonne, ale może dać pełniejsze wyniki. Kreatywny i zdeterminowany człowiek może wykryć potencjalne exploity, które może przegapić zautomatyzowany program.
Po zakończeniu testu penetracyjnego wyniki są zapisywane i przedstawiane klientowi. Wraz z ustaleniami generowana jest lista rekomendacji, w której firma ochroniarska wskazuje obszary, w których można poprawić bezpieczeństwo, oraz przedstawia sugestie dotyczące poprawy.