Der er en bred konsensus i den moderne IT-sikkerhedsbranche, at det ikke er et spørgsmål om hvorvidt man bliver hacket, men hvornår. Det har derfor aldrig været mere relevant, at øge IT-sikkerhed i den internt tilgængelige IT-infrastruktur.
En penetrationstest af den interne infrastruktur er pendanten til en penetrationstest af den eksterne infrastruktur. Disse to sikkerhedstests vil ofte blive gennemført i forlængelse af hinanden, da det giver en hurtig, overskuelig og bred oversigt over IT-sikkerhedsniveauet fra både en intern og ekstern angrebsvinkel. Derudover giver det penetrationstesteren en bedre forståelse for organisationens IT-infrastruktur, hvilket bidrager til en tests med mere målrettede og sofistikerede angreb mod infrastrukturen.
En penetrationstest af den interne infrastruktur giver organisationen et opdateret overblik over samtlige interne enheder. Disse enheder vil via automatiserede værktøjer bl.a. blive gennemgået for eventuelle offentligt kendte sårbarheder, manglende software opdateringer både på operativsystemniveau og i gængse software installationer (Adobe, Wireshark, Google Chrome, 7-Zip, PHP, mv.). Testens formål er endvidere at identificere såkaldt skygge-IT, det vil sige enheder på netværket der ikke er dokumenteret og vedligeholdt. Skygge-IT udgør en væsentlig risiko for organisationer, da de oftest ikke indgår i de planmæssige softwareopdateringer og overvågningsprogrammer såsom organisationens SIEM.
Afhængigt af omfanget af penetrationstesten, så kan netværkssikkerheden også indgå i testen, hvor krypteringsunderstøttelser, netværkssegregering og firewallkonfiguration manuelt vil blive undersøgt.
Leverancen består af en samlet professionel rapport der indeholder alle observerede sårbarheder og fejlkonfigurationer. Rapporten vil være opdelt i hhv. Et ledelsesreferat og en teknisk sektion. Ledelsesreferatet henvender sig til bestyrelsen, ledelsen og andre interessenter. Den tekniske sektion indeholder uddybende tekniske forklaringer på hver enkelt sårbarheder eller fejlkonfiguration. Denne sektion henvender sig således til det tekniske personale der skal udbedre observationerne, eventuelt hos en underleverandør.
Alle observationer i rapporten vil blive manuelt tildelt en risikovurdering på baggrund af sandsynligheden og konsekvensen af den pågældende observation. Risikovurderingen kan enten modtages i form af en matrice med lav/medium/høj/kritisk risiko eller via CVSS-standarden. I begge tilfælde vil risikovurderingen assistere organisationen med prioriteringen af udbedringerne.
En penetrationstest af den interne infrastruktur lyder måske som en både lang og dyr affære, men dette er sjældent tilfældet for de fleste små- og mellemstore organisationer. En penetrationstest af den interne infrastruktur vil som regel kun kræve 2-3 dage, men dette afhænger af antallet af enheder i den pågældende infrastruktur.