Tipi di Penetration Testing

Simula nel modo più fedele possibile gli attacchi che potrebbero accadere nel mondo reale
Opera allo stesso modo di chi è intenzionato ad attaccare un determinato asset (Black Hat Hacker)
Garantisce che:
- Tutte le componenti di un determinato asset siano correttamente enumerate
- Tutte le possibili vulnerabilità siano identificate
- Tutti i potenziali strumenti (vettori) di attacco siano utilizzati per (provare a) sfruttare le vulnerabilità identificate
Caratteristiche:
- Il pentester non ha alcuna conoscenza preliminare sull'asset da analizzare
- Il pentester non conosce: architetture dei sistemi, software, hardware, eventuali processi interni
Va usato solo quando necessario:
- Richiede molte risorse in termini di tempo e di costo
- Rischia di causare interruzioni o danni all'asset sottoposto a valutazione

Il pentester ha conoscenza approfondita dell'asset da analizzare
Il pentester potrebbe avere accesso a: diagrammi di rete completi, inventari dei sistemi operativi, livelli di aggiornamento/patch, codici sorgente, file di configurazione, informazioni sul personale
Il pentester:
- Non attacca l'asset così come lo farebbe una minaccia esterna
- Valida i controlli di sicurezza dell'asset in esame
Spesso è rivolto a nuove applicazioni o sistemi in fase di sviluppo, cercando vulnerabilità prima che questi siano messi in produzione e risultino esposti alle minacce del mondo reale

Forma ibrida di penetration testing
Il pentester ha a disposizione solo alcune informazioni sull'asset da valutare
Attività di portata limitata, con uno specifico obiettivo di valutazione
Lo scopo è spesso la validazione dei controlli di sicurezza delle componenti di un asset, senza la messa offline dell'asset stesso

La scelta è spesso dettata dagli obiettivi del cliente o dell'organizzazione che ha commissionato il processo, in generale:

White Box Testing: Se si vuole verificare la sicurezza di un nuovo sistema da mettere in produzione