Penetration test

Pentesting predstavlja metodu unapređivanja sigurnosti računarskih sistema i mreža simuliranjem napada na iste. Sam proces obuhvata najrazličitije oblike testiranja (barem bi trebao) i potrage za potencijalnim sigurnosnim propustima, koje mogu izazvati loše konfigurisani sistemi, softverske/hardverske slabosti ili, pak, loša organizacija rada unutar same kompanije/mreže.
Sva otkrića, nastala tokom testa, se uredno prijavljuju vlasniku mreže, sistema ili čitave kompanije, tj. onome ko je test i zatražio. Uz detaljan izveštaj o pronađenim propustima, obično se i daju predlozi rešenja istih.

Black vs. White vs. Grey box

Pen-testovi se mogu izvesti na par načina. Podela se vrši na osnovu informacija koje se daju osobi koja isti vrši (u nastavku teksta: pen-tester) pre početka istog.

Black box – Pen-tester nema nikakvih početnih informacija o ciljanom sistemu (strukturu mreže, ip adrese, itd…).
White box – Pen-tester dobija na uvid kompletnu strukturu mreže, ip adrese. izvorni kod aplikacija, itd…
Grey box – Varijacije koje predstavljaju mešavinu black i white box metoda.

Standardi i sertifikati

Pen-testovima se može doći do jako osetljivih informacija u vezi sa siljanim sistemom. Iz tog razloga, sve ozbiljne firme koje nude usluge pen-testinga, ulažu velike napore u dokazivanje lojalnosti njihovih zaposlenih.
Iz tog razloga postoji par sertifikata kojima se ganartuje kvalitet pen-testa.

IACRB – The Information Assurance Certification Review Board
EC-Council – The International Council of E-Commerce consultants
OWASP – The Open Web Application Security Project