Metodyka testów penetracyjnych zakłada symulację działań rzeczywistych przestępców komputerowych próbujących uzyskać nieautoryzowany dostęp do zasobów organizacji wykorzystując wszystkie możliwe kanały dostępu oraz techniki penetracyjne. Metodyka testów penetracyjnych charakteryzuje się wysoką elastycznością poprzez dostosowanie technik penetracyjnych do scenariuszyataków odpowiadającym największym zagrożeniom z punktu widzenia badanej organizacji.
Autorska metodyka testów penetracyjnych jest spójna z najlepszymi praktykami w tym zakresie, w tym m.in.:
- Open Source Security Testing Methodology Manual (OSSTMM),
- NIST 800-42, Guideline on Network Security Testing,
- Information System Security Assessment Framework (ISSAF),
- zalecenia organizacji SANS Institute, Offensive Security oraz EC-Council.
- Rozpoznanie,
- Testowanie,
- Exploitowanie (po uzyskaniu zgody).
- Próby uzyskania dostępu do sieci wewnętrznej organizacji przez osobę z zewnątrz,
- Próby przejęcia kontroli nad stacją użytkownika organizacji poprzez infekcję złośliwym oprogramowaniem,
- Próby realizacji działań przy użyciu zagubionego komputera pracownika organizacji,
- Próby ominięcia zabezpieczeń przez pracownika organizacji,
- Próby uzyskania dostępu do organizacji przez gościa organizacji (lub kontraktora).