تست نفوذ در دسته بندی بازرسی امنیت، در مرحله بعدی نسبت به اسکن آسیب پذیری قرار میگیرد. با اسکن آسیب پذیری، توانستید فقط امنیت فردی سیستم ها، دیوایس های شبکه یا اپلیکیشن ها را تخمین بزنید اما تست نفوذ بشما این اجازه را میدهد تا به مدل امنیتی شبکه، بطور کامل دسترسی پیدا کنید. تست نفوذ بشما کمک میکند تا از عمق اثرات حمله احتمالی به شبکه آگاه شوید. همچنین تست نفوذ نقاط ضعف امنیتی را که معمولا در اسکن های آسیب پذیری نشان داده نشده اند را برجسته میسازد.
هدف تست نفوذ فقط نشان دادن نقاط آسیب پذیر نیست بلکه دراین تست چگونگی سوء استفاده (Exploit) از ضعف های شبکه و و همچنین نحوه استفاده هکر از چندین آسیب پذیری جزئی برای تهدید کردن شبکه، مستند سازی میشوند. تست نفوذ باید به عنوان فعالیتی که حفره های امنیتی را در مدل کلی شبکه نشان میدهد، در نظر گرفت. چنین تستی به سازمان ها کمک میکند تا بین قدرت فنی و عملکرد تجاری خود از لحاظ نقض احتمالی امنیت، تعادل برقرار کند.
اکثر بازرسی های آسیب پذیری فقط بر پایه نرم افزار صورت میگیرند و نمیتوانند سنجش خوبی از امنیتی را که مرتبط با تکنولوژی نیست، داشته باشند. افراد و فرآیندها هم میتوانند منشاء آسیب پذیری های امنیتی باشند؛ دقیقا به همان صورتی که آسیب پذیری های موجود در نرم افزار و تکنولوژی وجود دارند. با استفاده از تکنیک های مهندسی اجتماعی، تست نفوذ میتواند مشخص نماید چه هنگام کارمندان به افراد، بدون احراز هویت آنان مجوز ورود به بخش های شرکت را میدهند و یا آن که کجاها افراد میتوانند دسترسی فیزیکی به کامپیوترها داشته باشند. در این زمینه صدور حکم های مدیریتی مناسب در میتواند مورد ارزیابی قرار گیرند. علاوه بر موارد گفته شده، در یک تست نفوذ میتوان مشکلات موجود در فرآیندها مانند تثبیت نشدن بروز رسانیهای امنیتی بعد از سه روز از انتشار آن ها را نیز تشخیص داد و برطرف ساخت. در چنین موارد هکر به مدت سه روز یک سیستم عامل آسیب پذیر را برای اکسپلویت و نفوذ در اختیار دارد.
شما باید بین یک انجام دهنده تست نفوذ با یک هکر تفاوت قائل شوید؛ چرا که قصد هکرتخریب سرویس ها و منابع و یا دزدی از اطلاعات شبکه است؛ در حالی که هدف از انجام تست نفوذ برجسته شدن مشکلات و ضعف های موجود در شبکه به منظور برطرف سازی آن ها است. بنابراین باید کارمندان و یا افراد خارج از سازمان نظر به انجام تست نفوذ بدون اجراز هویت و مجوز، هشدار داده شود. این نکته را نیز باید مد نظر قرار داد که تست نفوذی که در شرایط مناسب و بطور دقیق و درست انجام نشود ممکن است منجر به اختلال در فرآیند سرویس ها و تخریب و توقف در فعالیت شرکت شود.
مدیریت شرکت باید دستورالعملی را برای تست نفوذ تهیه و اجرایی نماید. این دستورالعمل باید شامل یک محدود فعالیت مشخص، شرح آن چیزی که باید تست شود و زمان رخ دادن تست باشد. به علت ذات تست نفوذ، هرگونه اشتباه در مورد این دستورالعمل ممکن است منجر به جرائم کامپیوتری شود.