Una prueba de intrusión se basa en validar la explotación de las vulnerabilidades identificadas y a la vez una evaluación del nivel de riesgo en el impacto de éstas.
Para realizar estas pruebas existen tres métodos: caja negra, caja gris y caja blanca. La caja negra es un método que se basa en que el auditor no tiene ningún tipo de información acerca de la infraestructura y solo se basa identificar la mayor cantidad de información de la entidad. La caja gris es un método que se realiza con un auditor con ciertas informaciones acerca de la infraestructura sin incluir credenciales, suministradas por el gerente de seguridad de la entidad. El último método se trata de realizar pruebas en infraestructura o aplicaciones en específico, es decir que la entidad que desea que se realicen las pruebas suministraría las credenciales de dichos lugares que desean poner a prueba.
El alcance es la descripción de hasta dónde se deben de realizar pruebas de intrusión; a la vez informando dónde no está permitido. Aquí es importante definir un alcance al momento de ejecutar estas pruebas. Aplica para los tres métodos de pruebas de intrusión. Solo que al momento de realizar una prueba caja negra se debe siempre tener una autorización al momento que se identificó una vulnerabilidad y será explotada.
Durante las pruebas de intrusión debe siempre existir una buena comunicación con el auditor y el gerente responsable de la entidad. Esto ayuda informar de manera inmediata sobre una vulnerabilidad que pueda afectar a gran escala la infraestructura de la empresa. Estos tipos de vulnerabilidades crítico no suelen aparecen en un simple escaneo de vulnerabilidades. La razón que suele identificarse es que el auditor materializa varias vulnerabilidades en una sola para luego explotarlas.
Existen diferentes niveles de vulnerabilidades, desde bajo a crítico, pero una vulnerabilidad puede escalarse de bajo a crítico si se logra materializar esta. También, influye en el apetito de nivel de criticidad de la entidad.
Para llevar acabo una prueba de intrusión exitosa se deben llevar a cabo una reunión inicial en donde se hace un levantamiento correcto, incluyendo la infraestructura crítica de la empresa. De esta manera se tendría un alcance correcto para iniciarla de manera exitosa.