Jelen állapot szerint nem létezik olyan informatikai hálózat melybe vagy így vagy úgy ne lehetne bejutni. A cél minden esetben az, hogy minél kisebb támadási felületet mutasson magából a célhálózat.

Az auditáció célja, hogy a kiválasztott intézmény informatikai hálózatából kívülállók számára nem publikus információkat szerezzen meg az auditációt végző cég vagy az informatikai erőforrásokat önkényesen saját célra használja fel, vagy annak működését célzottan ellehetetlenítse.

Az auditáció alatt a fenyegetettség kockázathoz mérten minden olyan eszköz, módszer felhasználásra kerülhet mellyel egy valóságos behatolás vagy annak kísérlete megtörténhet.

Négy fő területre osztható az auditáció
I  Amit a világ hekker robotjai látnak belőlünk.
Felületes képet kaphatunk a hálózatunkról, az abban rejlő nyilvánvaló veszélyekről, olcsó megoldás, a nem célzott támadások ellen magas szintű védelmet nyújt. Az auditációt kérő intézmény belső segítségére nincs szükség, behatolás a hálózatba nem történik
Minden, általunk kockázatosnak ítélt folyamat vizsgálata.


II  Direkt módon, célzott támadás az auditációt kérő intézmény informatikai hálózata felé, sebezhetőség esetén hálózatba történő behatolás
Egyes biztonságtechnikai hibák elemzése majd ezek felhasználásával információszerzés a hálózatból.
Magába foglalja az I. pontot, az audit csomag főként a kíváncsiskodó behatolást megkísérlők ellen véd.
Minden, általunk kockázatosnak ítélt folyamat vizsgálata.

A következő biztonsági auditációk szimulálják az intézmény védett értékét és a védett érték megszerzéséhez szükséges ráfordított erőforrások arányát.

III  Biztonsági kockázat felmérése, intézmény informatikai hálózatába történő bejutásához szükséges erőforrások felmérése.
Elsősorban személyesen, teszt kérdéssorozatok által begyűjtött információk alapján egy megtervezett virtuális behatolás az intézmény hálózatába.

Magába foglalja a II pontot is.
Az intézmény belső segítségére szükség van, az eljárás végére pontos képet kaphatunk arról, hogy a hálózatba történő bejutáshoz minimum mekkora erőforrásra lenne szükség
Minden, általunk kockázatosnak ítélt folyamat vizsgálata, garantált behatolás a hálózatba


IV  Intézmény informatikai hálózatába történő bejutásához szükséges erőforrások felmérése, behatolás.
Magába foglalja a III. pontot, annyi a különbség, hogy az információgyűjtéshez nincs szükség az auditálás alatt álló cégtől, az audit alatt álló cég felé jelzett költségvetés elfogadása után a behatolás megtörténik.
Minden, általunk kockázatosnak ítélt folyamat vizsgálata.



Minden esetben az auditáción átesett intézmény a következő információkat kapja meg mint audit eredménye: Biztonsági hiányosságok melyek az informatikai hálózatot érintik. Szigorításokat igénylő hálózati szegmensek


Az auditáció menete:
- Auditációt kérő intézmény fenyegetettségének felmérése.
- Védeni kívánt érték és a támadásra fordított érték/erőforrás arány kalkulálása
- Tesztelései csomag kiválasztása
- Tesztelési csomag részletesebb ismertetése a szűk vezetői környezettel.
- Testelés lebonyolítása
- Tesztelési eredmény összegzése
- Tesztelési eredmény bemutatása
- A felderített hibák megszüntetésére, javaslati csomag átadása.