Publikováno: 25. dubna 2021

Penetrační testy můžeme dělit podle několika různých pohledů. Je důležité vědět dopředu, čeho chcete testováním dosáhnout a podle toho zvolit odpovídající test. Jednotlivé druhy lze různě kombinovat.

Na základě informací dostupných před testem (české názvy se nepoužívají)

• Black box test – nepředpokládá žádnou znalost vnitřní struktury a implementačních podrobností posuzovaného aktiva. Je nutná důkladná fáze průzkumu testovaných aktiv.
• Grey box test – testerům se poskytuje dohodnutá úroveň informací, která pomáhá zkrátit fázi průzkumu a umožňuje rozsáhlejší testování. Obvykle jsou k dispozici informace o aktivech, účtech a funkcích. Pokud je to možné, je pro každou roli poskytován základní přístup k aplikaci. Další podrobnosti, jako je architektura, informace o použitých technologiích atd. mohou, nebo nemusí být k dispozici.
• White box test – předpokládá výslovnou a podstatnou znalost vnitřní struktury a podrobností implementace testovaných aktiv (design, zdrojový kód, technický popis atd.), aby byla identifikace slabých míst maximálně efektivní.

Na základě rozsahu

• Partiall stack– do testu je zahrnuta podmnožina podnikové infrastruktury, přičemž jsou současně výslovně vyloučeny další části (typy aktiv, funkce, vrstvy, podsítě atd.), které s testovaným rozsahem nějak souvisí (např. funkcí, nebo polohou).
• Full stack – do testu je zahrnuta podmnožina podnikové infrastruktury, která tvoří nějaký celek (např. aplikace, pobočka firmy), případně je zahrnuta celá infrastruktura.
• sociální inženýrství – zaměřuje se na „hackování“ chování lidí, tj. jedná se o snahu přimět zaměstnance jednat způsobem, který umožní útočníkům dosáhnout jejich cíle (získat informace, kontrolu, něco poškodit apod.)
• fyzický přístup – zahrnuje testování firemní budovy, kanceláří, datového centra a dalších kontrolu fyzického přístupu
• úplný test – zahrnuje útok na společnost ze všech dostupných vektorů – technického, sociálního, fyzického atd.

Na základě týmové struktury

• jednorázový test
  tým penetračních testerů – interní nebo externí (poskytovatel služeb) tým bezpečnostních testerů s definovaným rozsahem testu, kteří se pokoušejí obejít bezpečnostní prvky informačního systému v předem definovaném, omezeném časovém rámci
• dlouhodobé testování
  červený tým – skupina, která simuluje útočníky za účelem zjištění nedostatků v obraně organizace. Jedná se o nepřetržité úsilí trvající i měsíce a zaměřující se na společnost jako celek. Testování se často provádí v provozním prostředí.
  modrý tým – skupina odpovědná za obranu informačních systémů proti červenému týmu udržováním jejich bezpečnostní pozice. Aktivita je také dlouhodobá a trvá, dokud je aktivní červený tým.