Одним из наиболее ярких методов в арсенале специалистов по компьютерной безопасности является тестирование на проникновение, penetration testing или пентест. Его суть состоит в том, что информационный объект, который нужно защитить, подвергается атаке, целью которой является взлом, похищение информации, заражение вредоносным кодом и другие деструктивные действия. Процесс этот довольно эффектен, исполнитель должен обладать навыками настоящего хакера и необходимыми инструментами для взлома. Ниша услуг по пентесту мала по сравнению с нишей разработки и внедрения информационных систем, поэтому исполнители очень востребованы на рынке, и их профессионализм стоит очень дорого. На данный момент область успешно развивается, внутри неё работают самые грамотные специалисты. Сложилась и своя методология, которая подробно изложена, например, в документах Open Source Security Testing Methodology Manual или Open Web Application Security Project, которые доступны публично. Пентест является не только услугой, к которой прибегают для аудита готовых реализаций, но иногда и полноценным (наряду с тестированием) этапом разработки программной архитектуры.
В случае успешного взлома полученная техническая информация, которая и является результатом пентеста, предоставляется специалистам, которые отвечают за безопасность объекта. Они стараются устранить пути, которыми пентестер проник в систему, исправить найденные уязвимости. Это может многократно повысить уровень обеспечения безопасности и общую надежность информационной системы за счет урезания возможностей для потенциальных злоумышленников, ведь существует огромная вероятность, что они будут вести атаку этими же методами и использовать существующие уязвимости.
Тесты на проникновение часто сопоставляют с комплексным анализом защищенности, который выполняется при помощи специального программного обеспечения и может предоставить большой объем полезных данных. Пентест часто критикуют как раз за недостаточность информации и отсутствие полноты анализа, потому что все уязвимости можно и не найти, а если пентестер не смог взломать систему, не факт что её не взломает злоумышленник. И, тем не менее, тестирование на проникновение остается качественным и эффективным методом совершенствования информационной безопасности и позволяет объективно оценить уровень защищенности цели.
