Testy penetracyjne to metody weryfikacji podatności w systemach firmy. Mogą być stosowane do wyszukiwania błędów, oceny bezpieczeństwa systemu komputerowego, aplikacji lub sieci w firmie. Dzięki takim testom zasoby firmy (sieć komputerowa, tajemnice firmowe, dane osobowe, dane firmowe i finansowe) będą bezpieczniejsze a ryzyko wycieku danych będzie zdecydowanie mniejsze.
Istnieją 2 rodzaje testów penetracyjnych: pentesty typu black box i white box.
Testy black box są wykonywane bez wcześniejszej wiedzy na temat testowanego systemu lub aplikacji. Tester nie ma wiedzy na temat wewnętrznego funkcjonowania systemu i wie tylko to, co widać z zewnątrz, stąd nazwa „czarna skrzynka”. Pentesty czarnoskrzynkowe mogą być wykonywane za pomocą zautomatyzowanych narzędzi lub ręcznie przez człowieka testującego. Z drugiej strony, testy white box obejmują zrozumienie wewnętrznego działania aplikacji przed przetestowanie jej pod kątem luk w zabezpieczeniach. Ten rodzaj testu jest droższy niż black box, ponieważ wymaga więcej czasu i zasobów, aby wykonać poprawnie, ale daje lepsze wyniki.
Aby wykonać testy white box, audytowana instytucja musi przekazać zasoby w postaci kodów aplikacji lub systemów, dokumentację, dostęp do systemu, aby móc zrozumieć i sprawdzić sposób działania każdego z elementów zarówno od strony procedur, jak również od strony kodu.
Po wykonaniu testów penetracyjnych zamawiający otrzymuje raport z określeniem błędów, podatności systemów, oprogramowania czy braków lub błędów w procedurach firmy wraz z propozycjami rozwiązań. Dzięki temu można poprawić bezpieczeństwo firmy i jej zasobów.