2.2 Razlozi provođenja penetracijskog ispitivanja

Penetracijsko ispitivanje provodi se iz više razloga. Neki od razloga provođenja penetracijskog ispitivanja su:

• otkrivanje sigurnosnih propusta prije napadača,
• potvrda postojeće sigurnosti,
• ispitivanje novih tehnologija,
• sigurnosni trening za informatičko osoblje i
• obavještavanje IT menadžmenta o sigurnosnim problemima. [10]

Jedan od razloga provođenja penetracijskog ispitivanja je pronalazak sigurnosnih propusta prije napadača. Cilj je pronaći i poznate i nepoznate sigurnosne propuste. Većina napadača ipak koristi poznate metode napada i primjenjuje ih na poznate sigurnosne propuste. Manji dio napadača koristi napredne tehnike i posjeduje još javno neizdane exploite (engl. 0-day exploits). Zbog toga je ključno da se prvo otkriju i uklone poznati sigurnosni propusti, a tek onda se ide u potragu za nepoznatim sigurnosnim propustima. Penetracijsko ispitivanje omogućuje da IT menadžment vidi sustav na način na koji ga vidi napadač. Cilj penetracijskog ispitivača je da pronađe sigurnosne propuste kako bi se oni mogli ispraviti i na taj način spriječiti napadača da iskoristi te sigurnosne propuste.

Često se penetracijsko ispitivanje provodi kako bi se potvrdila postojeća sigurnost organizacije. Obično penetracijsko ispitivanje obavlja neovisna vanjska organizacija, radi svoje objektivnosti i stručnosti. Redovno provođenje penetracijskog ispitivanja može pokazati pad ili rast sigurnosti unutar organizacije, jer penetracijsko ispitivanje daje dobru procjenu sigurnosnog stanja organizacije u vrijeme izvođenja ispitivanja. Penetracijsko ispitivanje može poslužiti i kao pokazatelj da sigurnosno osoblje unutar organizacije radi dobar ili loš posao.

Penetracijsko ispitivanje idealno je i za ispitivanje novih tehnologija prije samog puštanja u rad. ispitivanjem novih tehnologija prije nego što itko ovisi o njima može uštedjeti vrijeme i novac, jer je lakše i jednostavnije ispraviti pronađene sigurnosne propuste.

Penetracijsko ispitivanje providi se i kako bi se testiralo sigurnosno osoblje organizacije zaduženo za detektiranje i prevenciju napada. Ukoliko penetracijski ispitivač uspješno upadne u sustav, a da to nitko ne detektira, to je dobar pokazatelj da je sigurnosnom osoblju potrebna dodatna edukacija. Rezultati penetracijskog ispitivanja mogu poslužiti za ukazivanje na pogreške koje je napravilo sigurnosno osoblje organizacije, te pomoći sigurnosnom osoblju da unaprijedi svoje sigurnosne vještine.

Penetracijsko ispitivanje provodi se i kako bi se IT menadžment obavijestio o sigurnosnim problemima unutar organizacije. Informacije dobivene izvođenjem penetracijskog ispitivanja koriste se kako bi se IT menadžmentu olakšao posao u odlukama o ulaganju resursa u sigurnost organizacije. Kako je budžet ograničen nije moguće ukloniti sve pronađene potencijalne sigurnosne propuste u sustavu koji su pronađeni analizom ranjivosti u sustavu. Penetracijsko ispitivanje koristi se kako bi se odredilo koji od pronađenih sigurnosnih propusta imaju najviše utjecaja na samu organizaciju. Na osnovu tih informacija pravi se plan za uklanjanje tih sigurnosnih propusta i smanjenje sigurnosnog rizika.