Ett penetrationstest är en typ av säkerhetsbedömning som utförs på ett datorsystem där den som utför bedömningen försöker hacka sig in i systemet. Målet med testet är att avgöra om någon med uppsåt kan komma in i systemet eller inte, och vad han eller hon kan komma åt när systemet väl har penetrerats. Penetrationstester erbjuds av ett antal företag som är specialiserade på säkerhet för datorsystem, och de rekommenderas ofta starkt för system och företag av alla storlekar, eftersom skador på ett datorsystem orsakade av en fientlig attack kan vara kostsamma och pinsamma.
Det finns ett antal olika tillvägagångssätt för penetrationstestet. I en svart låda-metod ges ingen information om systemet till den som utför testet. Han eller hon börjar från grunden för att söka upp potentiella bedrifter och bryta sig in i systemet. I ett white box-test tillhandahålls all information, vilket gör att testaren kan simulera ett internt jobb eller läckage av information. Vissa företag väljer en hybrid metod, där viss information tillhandahålls och annan information måste sökas.
Under ett penetrationstest kan säkerhetsexperten simulera radering eller ändring av data, stöld av filer, infogning av skadlig kod och en mängd andra aktiviteter. Penetrationstestet kan sakta ner systemet, vilket gör tidpunkten för testet viktig; företag vill undvika att störa sin egen verksamhet när de gör säkerhetsbedömningar.
De personer som utför penetrationstester har ett stort bibliotek av datorkunskaper, och vissa har en historia som hackare som har gjort dem bekanta med de många sätten på vilka datorsystem kan utnyttjas. Att anlita skickliga hackare som säkerhetskonsulter kan faktiskt vara ett mycket smart affärsdrag för ett företag som är specialiserat på dator- och nätverkssäkerhet, eftersom hackare ofta har den mest uppdaterade kunskapen och informationen, och de är vana vid att närma sig datorsystem från rollen som någon med illvilja, snarare än rollen som en berörd säkerhetsexpert.
För enkel testning är det möjligt att använda ett automatiserat system för att utföra ett penetrationstest. Detta minskar kostnaderna och gör det möjligt för företag att enkelt genomföra slumpmässiga tester när de tror att det kan finnas ett behov. Manuell testning är mer djupgående och tidskrävande, men det kan ge mer kompletta resultat. En kreativ och beslutsam människa kan upptäcka potentiella bedrifter som ett automatiserat program kan missa.
När ett penetrationstest är avslutat skrivs resultaten upp och presenteras för klienten. Tillsammans med resultaten genereras en lista med rekommendationer, där säkerhetsföretaget anger områden där säkerheten kan förbättras och ger förslag på förbättringar.