Testy bezpieczeństwa struktur i systemów oparte są głównie na pewnej symulacji. Wykonuje się symulowane ataki na strukturę, mające na celu wykrycie podatności, znalezienie błędów konfiguracyjnych oraz przedstawienie możliwości ich wykorzystania.
Testy bezpieczeństwa wykonywane są kilkuetapowo.
W celu uzyskania najbardziej obiektywnych wyników, podstawową metodyką testowania jest tzw. metoda czarnego pudełka (ang. „black-box”), w której testy przeprowadzane są metodą „ślepą”, bez wiedzy o konfiguracji systemu, lub struktury. Kolejne testy przeprowadza się metodami „grey-box”, dysponując częściową wiedzą nt. systemu oraz „white-box” lub „crystal-box”, w którym dysponuje się kompletną dokumentacją i konfiguracją.
Pierwszym etapem testów jest dokonanie rekonesansu i zbadania systemów pod kątem użytych urządzeń, oprogramowania, wersji i konfiguracji. Na tej podstawie określa się scenariusze testowe, które muszą zostać zaakceptowane przez klienta.
Testy realizuje się w oparciu o stworzone i zaakceptowane scenariusze, wyniki testów są gromadzone, a następnie generowany jest raport.
Testowanie bezpieczeństwa oparte jest o tzw. „etyczne włamywanie” ang. „ethical hacking” i dokonywane jest na życzenie klienta za jego wyraźną zgodą.
Celem testów bezpieczeństwa nie jest doprowadzenie do kompromitacji systemu, ale wyszukanie i potwierdzenie występujących podatności wraz z przykładem ich wykorzystania.
Testy bezpieczeństwa dotyczą:
- struktur informatycznych
- sieci (w tym sieci wewnętrznych, zewnętrznych, chronionych)
- serwerów (intranet, internet)
- usług sieciowych (serwisy web, poczta elektroniczna, itp.)
- komputerów
- aplikacji sieciowych (sklepy internetowe itp.)
- aplikacji lokalnych (oprogramowanie wspomagające)
W przypadku testów bezpieczeństwa również należy mieć świadomość pewnego ryzyka, polegającego na możliwości niewykrycia wszystkich występujących podatności i „dziur” – szczególnie dotyczy to zagrożeń „0-day”, na które nie ma dostępnych poprawek.
W procesie testowania bezpieczeństwa dokonuje się oceny zarówno podstawowej aplikacji / systemu jak również wszystkich aplikacji wspomagających, gdyż często to one właśnie stanowić mogą podstawowe źródło podatności.