Vilka är de olika typerna av penetrationstestmetodik?
Det finns i huvudsak två huvudtyper av metodik för penetrationstest - internt och industristandard - men inom dessa finns ett nästan obegränsat antal variationer. En intern metod är en som utvecklats av ett företag, vanligtvis det som utför testet, för användning av dess anställda. Industristandardmetoder, å andra sidan, är de som utvecklats av stora säkerhetsorganisationer för användning av andra företag i ett försök att göra en standardmetodik som är allmänt erkänd och godkänd. Båda typerna av penetrationstestmetodik kan vara effektiva, och den bästa för varje speciellt penetrationstest beror vanligtvis mycket på den person som utför testet.
En penetrationstestmetod är en serie regler eller riktlinjer som används för att utföra penetrationstest på ett datorsystem eller nätverk. Denna typ av testning utförs vanligtvis för att avgöra vilka möjliga svagheter det kan finnas i ett system som kan användas av hackare för att starta en attack på det systemet. När denna första analys är klar, startar testaren vanligtvis en simulerad attack mot systemet för att avgöra hur sårbara dessa svagheter är. En metod för penetrationstest används ofta för att bestämma hur denna sekvens av utvärdering och testning ska genomföras och för att ge testare riktlinjer för att dokumentera förfarandet.
En av de vanligaste typerna av penetrationstestmetodik är en intern metod. Detta är ett dokument skapat av ett företag för användning av dess anställda när de utför penetrationstester på ett system. En intern metod för penetrationstest kan utarbetas av ett företag som har anställt någon för att utföra tester på sitt system, eller av ett företag som hyr ut sina tjänster till andra företag för att testa dem. Denna typ av metodik kan föredras av vissa testare, eftersom det följer den säkerställer att alla klagomål klienten kan ha om testningen kan ifrågasättas med hjälp av den metod som klienten tillhandahåller för testaren.
En industristandardmetod för penetrationstest är däremot ett dokument skapat av ett datasäkerhetsföretag för användning av andra testare. Denna typ av metodik är vanligtvis avsedd att användas av testare som inte är anställda av företaget som skapade den. En av fördelarna med denna typ av metodik är att testare lättare kan peka på en enda enhetlig metod genom vilken de kan lära sig och visa sin kompetens. Bristerna med en industristandard penetrationstestmetod är dock att företagen kanske inte gillar alla de metoder som anges i den, och det kan vara svårt att avgöra vilken metod som verkligen fungerar som en industristandard.