Det første skridt en organisation bør overveje, når de ønsker at øge deres modenhed indenfor IT-sikkerhed, er at få gennemført en vurdering af deres eksternvendte IT-infrastruktur. Det er nemlig ofte den let tilgængelige eksterne infrastruktur en potentiel angriber først vil undersøge for svagheder.
En penetrationstest af den eksterne infrastruktur er pendanten til en penetrationstest af den interne infrastruktur. Disse to sikkerhedstests vil ofte blive gennemført i forlængelse af hinanden, da det giver en hurtig, overskuelig og bred oversigt over IT-sikkerhedsniveauet fra både en intern og ekstern angrebsvinkel. Derudover giver det penetrationstesteren en bedre forståelse for organisationens IT-infrastruktur, hvilket bidrager til en tests med mere målrettede og sofistikerede angreb mod infrastrukturen.
En penetrationstest af den eksterne infrastruktur giver organisationen et opdateret overblik over samtlige eksternt vendte enheder. Disse enheder vil via automatiserede værktøjer bl.a. blive gennemgået for eventuelle offentligt kendte sårbarheder. Testens formål er endvidere at identificere såkaldt skygge-IT, det vil sige enheder på i infrastrukturen der ikke er dokumenteret og vedligeholdt. Skygge-IT udgør en væsentlig risiko for organisationer, da de oftest ikke indgår i de planmæssige softwareopdateringer og overvågningsprogrammer såsom organisationens SIEM.
Leverancen består af en samlet professionel rapport der indeholder alle observerede sårbarheder og fejlkonfigurationer. Rapporten vil være opdelt i hhv. Et ledelsesreferat og en teknisk sektion. Ledelsesreferatet henvender sig til bestyrelsen, ledelsen og andre interessenter. Den tekniske sektion indeholder uddybende tekniske forklaringer på hver enkelt sårbarheder eller fejlkonfiguration. Denne sektion henvender sig således til det tekniske personale der skal udbedre observationerne, eventuelt hos en underleverandør.
Alle observationer i rapporten vil blive manuelt tildelt en risikovurdering på baggrund af sandsynligheden og konsekvensen af den pågældende observation. Risikovurderingen kan enten modtages i form af en matrice med lav/medium/høj/kritisk risiko eller via CVSS-standarden. I begge tilfælde vil risikovurderingen assistere organisationen med prioriteringen af udbedringerne.
En penetrationstest af den eksterne infrastruktur vil som regel kun kræve 2 dage, men dette afhænger af antallet af enheder i den pågældende infrastruktur.