Hvad er de forskellige typer penetrationstestmetoder?
Der er i det væsentlige to hovedtyper af metodik til penetrationstest - intern og industriel standard - skønt der inden for disse er et næsten ubegrænset antal variationer. En intern metodologi er en, der er udviklet af en virksomhed, typisk den, der udfører testen, til brug for dens medarbejdere. Industristandardmetodologier er derimod dem, der er udviklet af større sikkerhedsorganisationer til brug af andre virksomheder i et forsøg på at fremstille en standardmetodologi, der er universelt anerkendt og godkendt. Begge typer af penetrationstestmetoder kan være effektive, og den bedste til en bestemt penetrationstest afhænger normalt meget af den person, der udfører testen.
En penetrationstestmetodologi er en række regler eller retningslinjer, der bruges til at udføre penetrationstest på et computersystem eller netværk. Denne type test udføres typisk for at bestemme, hvilke mulige svagheder der kan være i et system, der kan bruges af hackere til at starte et angreb på dette system. Når denne første analyse er afsluttet, starter testeren typisk et simuleret angreb mod systemet for at bestemme, hvor sårbare disse svagheder er. En penetrationstestmetodologi bruges ofte til at bestemme, hvordan denne sekvens af evaluering og test skal udføres, og til at give testere retningslinjer for dokumentation af proceduren.
En af de mest almindelige typer af penetrationstestmetoder er en intern metode. Dette er et dokument oprettet af en virksomhed til brug for dets medarbejdere, da de udfører penetrationstest på et system. En intern penetrationstestmetode kan udarbejdes af et firma, der har ansat nogen til at udføre test på dets system, eller af et firma, der lejer sine tjenester til andre virksomheder for at teste dem. Denne type metodik kan foretrækkes af nogle testere, da det efterfølgende sikrer, at eventuelle klager, som klienten måtte have om testingen, kan bestrides ved hjælp af den metode, klienten leverer til testeren.
En industristandard penetrationstestmetodik er på den anden side et dokument oprettet af et computersikkerhedsfirma til brug af andre testere. Denne type metodologi er normalt beregnet til brug af testere, der ikke er ansat i det firma, der oprettede det. En af fordelene ved denne type metodologi er, at testere lettere kan pege på en enkelt, samlet metode, hvormed de kan lære og demonstrere deres kompetence. Manglerne med en industristandard penetrationstestmetodik er imidlertid, at virksomheder måske ikke kan lide alle de metoder, der er oprettet i den, og det kan være vanskeligt at bestemme, hvilken metode der virkelig fungerer som en branchestandard.