Penetrasyon yani Sızma testi, firmaların kötü niyetli birileri tarafından yaşayabileceği siber saldıraları önceden tespit edip saldırıya karşı sistemi güçlendirmek için firmanın güvenlik duvarının bilinçli hacklendiği bir testtir. Penetrasyon test hizmeti sunan firmalar, siyah şapkalı hacker gibi araçlarla ve yöntemlerle güvenlik duvarında bir zafiyet arar ve bulduğu zafiyetten sisteme hasar vermeye ve veri çalmaya çalışır. Bu test sayesinde hizmeti alan firma güvenlik duvarlarındaki açıkları gerçek bir hacker tarafından fark edilmeden onarır ve sistemini korumaya alır.

Penetrasyon; BlackBox, GreyBox ve WhiteBox şeklinde 3 farklı kategoride teste sahip. 

BlackBox Penetrasyon Testi: Bu testte hacker sistem ve çalışanlar hakkında hiçbir bilgisi olmadan tamamen dışarıdan içeriye sızmaya çalışılır. Bu test sayesinde dışarıdaki saldıralara karşı sisteminizin ne kadar güvenli olduğunu ölçebilirsiniz.

GreyBox Penetrasyon Testi: Bu testte hacker içeriden ve düşük yetkili biri olarak sisteme sızmaya çalışır. Bu test sayesinde içeriden olabilecek saldıralara karşı sisteminizin ne kadar güvenli olduğunu ölçebilirsiniz. Firmaların genelde çalışanları tarafından hacklendiği göz önüne alındığında en önemli test, GreyBox testidir.

WhiteBox Penetrasyon Testi: Bu testte hacker içeride ve tam yetkili bir şekilde sisteme sızmaya çalışır. Bu test sayesinde yetkili birine karşı olabilecek saldıralara karşı sistemin ne kadar güvenliği olduğu ölçülebilirsiniz.

Penetrasyon testi 2010 yılında oluşturulan Penetration Testing Execution Standard (PTES) standardıyla penetrasyon tesleri 7 ana aşamaya ayrılmıştır.

-Pre-Engagement Interactions (Anlaşma Öncesi Etkileşim): Test sırasında kullanıcak yöntemlerin açıklanması, testin süresi, nelerin teste tabi tutulacağı gibi önemli detayların konuşulduğu aşamadır.

-Intelligence Gathering (Bilgi Toplama): Test hizmetinden yararlanmak isteyen firma hakkında stratejik bir atak planı oluşturmak için firmanın girdi noktalarını araştırıldığı aşamadır.

-Threat Modeling (Tehdit Modelleme): Firmanın verilerini kategorize ettikten sonra olası tehditleri de kategorize ettikten sonra kategorilere göre tehdit modellerinin oluşturulduğu aşamadır.

-Vulnerability Analysis (Zafiyet Analizi): Hackerın sızabileceği sistem ve uygulama zafiyetlerin bulunduğu aşamadır.

-Exploitation (İstismar): Güvenlik duvarından bir çatlak bulup sızdıktan sonra firmanın ana giriş noktasını bulup en önemli verilerin saptandığı aşamadır.

-Post Exploitation (İstismar Sonrası): Ele geçirilen cihazın barındırdığı verilerin değerlerinin belirlenmesi ve cihazdaki ağdan diğer cihazlara ulaşılmaya çalışındığı aşamadır.

-Reporting (Raporlama): Raporda testte kullanılan araçlar, yazılımlar, hacklemek için izlenen yollar bildirilir. Testten sonra sistemi iyileştirmek için öneriler de sonda belirtilmeli.