Nüfuzetmə testi adətən, pentester və ya etik haker kimi tanınan şəxslər tərəfindən, sistemin təhlükəsizliyini qiymətləndirmək üçün həyata keçirilən, kompüter sisteminə edilən icazəli, simulyasiya edilmiş kiberhücumdur.[1][2] Bunu zəifliyin qiymətləndirilməsi ilə qarışdırmaq olmaz.[3] Test zəif tərəfləri (və ya zəiflikləri), o cümlədən icazəsiz tərəflərin sistemin xüsusiyyətlərinə və məlumatlarına giriş əldə etmək potensialını,[4][5] habelə güclü tərəfləri müəyyən etmək üçün həyata keçirilir ki,[6] bu da tam risk qiymətləndirməsinin tamamlanmasına imkan verir.
Proses adətən hədəf sistemləri və konkret məqsədi müəyyənləşdirir, sonra mövcud məlumatları nəzərdən keçirir və bu məqsədə çatmaq üçün müxtəlif vasitələrə əl atır. Nüfuzetmə testinin hədəfi ağ qutu (haqqında arxa fon və sistem məlumatı test edənə əvvəlcədən təqdim olunur) və ya qara qutu (haqqında şirkət adından başqa yalnız əsas məlumatlar verilir, başqa heç nə verilmir) ola bilər. Boz qutunun nüfuzetmə testi ikisinin birləşməsidir (hədəf haqqında məhdud bilik auditorla paylaşılır).[7] Nüfuzetmə testi sistemin hücuma qarşı zəifliklərini müəyyən etməyə və onun nə qədər həssas olduğunu təxmin etməyə kömək edə bilər.[8][6]
Nüfuzetmə testinin aşkar etdiyi təhlükəsizlik məsələləri sistem sahibinə bildirilməlidir.[9] Nüfuzetmə testi hesabatları, həmçinin təşkilata olan potensial təsirləri qiymətləndirə bilər və riski azaltmaq üçün əks-tədbirlər təklif edə bilər.[9]
Böyük Britaniyanın Milli Kibertəhlükəsizlik Mərkəzi nüfuzetmə testini belə təsvir edir: "Düşmən kimi eyni alət və üsullardan istifadə edərək, həmin sistemin təhlükəsizliyinin bir hissəsini və ya hamısını pozmağa cəhd etməklə İT sisteminin təhlükəsizliyinə əminlik əldə etmək üsulu".[10]
Nüfuzetmə testinin məqsədləri hər hansı tapşırıq üçün təsdiq edilmiş fəaliyyət növündən asılı olaraq dəyişir, əsas məqsəd hücumçu tərəfindən istifadə oluna bilən zəifliklərin tapılması və müştərini bu boşluqlar barədə məlumatlandırmaqdır.[11]
A penetration test can determine how a system reacts to an attack, whether or not a system's defenses can be breached, and what information can be acquired from the system
Penetration testing is the simulation of an attack on a system, network, piece of equipment or other facility, with the objective of proving how vulnerable that system or "target" would be to a real attack.