A maior parte das empresas só coloca como prioridade a segurança informática após sofrer algum tipo de ataque. Com o crescimento do tamanho e complexidade dos sistemas de informação torna-se imperativo que as empresas ou organizações protejam adequadamente os seus sistemas. Para tal é necessário também existem uma perceção clara dos riscos a que estão expostos.
A cada dia que passa surgem novas vulnerabilidades que têm origem, normalmente, em erros de programação, má configuração ou falhas humanas.
O aproveitamento das vulnerabilidades por parte de um atacante pode permitir:
A análise de Vulnerabilidades permite identificar falhas que possam comprometer o desempenho, funcionalidade ou segurança de um sistema, antes que algum utilizador malicioso as possa aproveitar. Esta análise deve ser feita de forma periódica e permite a criação de mecanismos para bloquear ataques e permanente melhoria do controlo de segurança.
Os PenTests podem dividir-se em três classes que se complementam: (i) Testes a WebSites; (ii) Testes a instituições realizados do exterior das mesmas; (iii) Testes a instituições realizados no interior das mesmas. Em qualquer dos casos, a realização dos testes pode efetuar-se obtendo da instituição toda a informação técnica necessária (classificando-se estes casos por WhiteBox), ou então pode efetuar-se sem que a instituição disponibilize qualquer tipo de informação (classificando-se estes casos por BlackBox). Em todos os casos, o nÃvel de profundidade dos testes pode variar desde a utilização de ferramentas automáticas até à análise de Intelligence de pormenor da informação recolhida e respetiva classificação de risco de impacto na instituição alvo.