Sebbene la procedura tipica del test di penetrazione possa variare leggermente da una persona all’altra, ci sono alcune linee guida generali che possono rendere il processo più semplice ed efficace. I test di penetrazione di solito iniziano con un’ampia pianificazione per determinare l’obiettivo del test e come verrà eseguito. Da questo piano, può iniziare il test effettivo, che di solito include la scansione e la mappatura della rete, i tentativi di ottenere password dalla rete e gli attacchi contro la rete per dimostrare come potrebbero essere sfruttate le debolezze. Dopo che questi test sono stati completati, la procedura di test di penetrazione standard di solito include la creazione di documentazione e report relativi ai risultati del test.
Una procedura di test di penetrazione si riferisce al processo mediante il quale qualcuno può eseguire test di penetrazione su una rete di computer. Questa procedura di solito inizia con la pianificazione del test, spesso con un team di dipendenti e dirigenti della sicurezza delle informazioni. La fase di pianificazione viene utilizzata per determinare quale sia l’obiettivo per il test nel suo insieme e come dovrebbero essere eseguiti i test. Questa fase è piuttosto importante, in quanto può rendere più semplice il resto del test e offre ai tester la possibilità di assicurarsi di comprendere i metodi che sono autorizzati o che dovrebbero utilizzare.
Una volta creato un piano per stabilire una procedura complessiva, il test può iniziare. Questo di solito inizia con le scansioni e la mappatura della rete da parte del tester per cercare i punti deboli che può usare. Esistono numerosi programmi software che possono essere utilizzati per questa parte del processo, che possono aiutare il tester a mappare la rete e identificare potenziali exploit e vulnerabilità al suo interno.
Una volta individuate queste debolezze, una procedura di test di penetrazione di solito comporta un attacco al sistema per vedere quanto sia realmente vulnerabile. I tester spesso cercano di ottenere l’accesso alle password dal sistema attraverso una combinazione di metodi, tra cui il cracking delle password e l’ingegneria sociale. Il cracking è un processo mediante il quale qualcuno utilizza un software per computer per cercare di determinare una password, mentre l’ingegneria sociale include metodi con cui un utente malintenzionato cerca di indurre un dipendente a divulgare una password. Poiché il tester acquisisce informazioni diverse, può continuare l’attacco e tentare di accedere al sistema con mezzi non autorizzati.
Una volta completato il test, una procedura di test di penetrazione standard di solito impone che vengano prodotti rapporti e documentazione relativi al test. Questo dovrebbe seguire il piano stabilito durante la prima fase del test e fornire informazioni incluso ciò che è stato scoperto durante il test. I rapporti dovrebbero fornire informazioni chiare ai dirigenti dell’azienda sull’importanza delle modifiche che devono essere apportate per migliorare la sicurezza e informazioni dettagliate per i team di sicurezza dell’azienda con consigli su come implementare tali modifiche.