Testy penetracyjne są kompleksowym, cyklicznym procesem dokonywanym w celu identyfikacji oraz ujawnienia występujących podatności w systemie teleinformatycznym. Istnieje wiele metodologii przeprowadzenia testów, natomiast żadna z nich nie jest uniwersalna. Wykonanie kontrolowanego ataku wymaga dostosowania narzędzi do badanego obszaru - najczęściej narzędzia wskazywane są w scenariuszach, zawierających dokładne opracowane wytyczne. Końcowe wyniki pozwalają na oszacowanie ryzyka narażenia na ataki, mogące występować w przyszłości.
Typy testów penetracyjnych można podzielić na trzy kategorie:
- "Black-box" - tester nie posiada wiedzy o testowanym obszarze
- "Grey-box" - tester posiada częściową wiedzę o testowanym obszarze
- "White-box" - tester posiada pełną wiedzę o testowanym obszarze
Testy mogą być wykonywane w następujących obszarach:
- aplikacje webowe
- aplikacje desktopowe
- sieci komputerowe
- bazy danych
Testy bezpieczeństwa często są elementem pomijanym podczas cyklu życia oprogramowania. Mając na uwadze ochronę zasobów informacyjnych oraz informacji poufnych, CERT Energa zaleca przeprowadzenie testów bezpieczeństwa przed wprowadzeniem nowego rozwiązania oraz cykliczne ich wykonywanie.