Es wird ein Infrastruktureller Penetrationstest durchgeführt, der die folgenden Phasen umfasst: Informationsbeschaffung, Host-Aufzählung, Port-Scanning, Fingerprinting, Schwachstellenbewertung mit manueller Rückbestätigung aller als kritisch und schwerwiegend eingestuften Schwachstellen und anschliessendes Ausnutzen der Schwachstellen, Eindringen in die Systeme und Testen von Angriffsszenarien, die auf der Grundlage der erhaltenen Informationen aktiviert und theoretisiert werden können.
Intelligence Test
Die Komponenten der Website, des elektronischen Geschäftsverkehrs und der Serverinfrastruktur, die im Internet zugänglich sind und als Evaluationsziel definiert wurden, werden Sicherheitstests unterzogen, die ohne Authentifizierung und Black Box durchgeführt werden, d.h. ohne jegliche technische Informationen über die Ziele. Im Falle eines tatsächlichen Zugriffs auf die Systeme kann ein Erreichbarkeitstest benachbarter Netze und Systeme durchgeführt werden. Das geschieht indem Host Discovery, Fingerprinting, Service Enumeration Aktivitäten und in jedem Fall alle nicht-invasiven Aktivitäten durchgeführt werden, die auf jeden technologischen Vermögenswert, jedes System, jeden Dienst oder jede Applikation abzielen, welche auf Ebene der Netzzusammenschaltung einen Zugriff erlaubt. Daraus resultierend wird eine Informationserfassung durchgeführt und zu analysierende Punkte, Angriffs- oder Risikoszenarien oder Vorschläge für detaillierte Studien werden identifiziert.