Для каких целей необходимо проводить пентест:


поиск уязвимостей и определения способов их эксплуатации злоумышленниками;
проверка способов получения доступа к целевым системам (в т.ч. к автоматизированным системам управления технологическими процессами (АСУ ТП), к автоматизированным банковским системам (АБС), к целевому интернет-ресурсу, к среде разработки, к ресурсам, предоставляемым с помощью разработанного приложения и т.п.);
анализ эффективности принятых мер по информационной безопасности (ИБ);
оценка уровня защищенности целевой системы;
выявление уязвимостей ИБ и способы устранения;
получение рекомендаций по повышению уровня защищенности целевой системы и снижению рисков возникновения кибер-инцидентов, в т.ч.:
несанкционированного изменения производственного процесса;
отказа в обслуживании компонентов автоматизированной банковской системы;
остановки критичных сервисов интернет-магазина;
обеспечение безопасного процесса разработки.
быстрые способы повышения уровня ИБ после инцидента;
обеспечение защиты чувствительных данных от утечек (рецептуры, ноу-хау, персональные данные (ПДн) клиентов и контрагентов, коммерческая тайна, исходные коды и т.п.);
обеспечение контроля над ИТ-инфраструктурой;
проверка качества работы подрядчиков по направлению ИБ.
Ключевое преимущество пентеста
Многие останавливаются на этапе «бумажной безопасности», когда формируются все необходимые документы по информационной безопасности, не подозревая о фактически существующих проблемах в безопасности предприятия и о тех последствиях, которые возникнут при использовании их злоумышленниками.

Проведение пентеста показывает реальное состояние защищенности, которое, к сожалению, в 99% случаев отличается от описанного в документах. Вот почему мы рекомендуем не ограничиваться проведением мероприятий по информационной безопасности, требуемых по законодательству, а обязательно проверить систему в «боевом режиме», заказав проведение пентеста.

Penetration test – варианты проведения
Анализ внутренней инфраструктуры: поиск уязвимостей в сетевых сервисах на серверах и АРМ во внутренней сети.

Анализ внешних ресурсов: поиск уязвимостей веб-сайтов, серверов электронной почты и иных сервисов, доступных из сети Интернет.

Анализ беспроводных сетей.

Анализ внутренней сети на предмет устойчивости к атакам на канальном уровне по протоколам (STP, VTP, CDP, ARP, DTP).

Анализ сетевого трафика на предмет содержания критически важной информации, передаваемой в открытом виде (логины, пароли, конфиденциальные документы).

Стресс-тестирование. Один из видов анализа защищенности, этап работ, использующийся для выявления степени стабильности функционирования инфраструктуры при повышении нагрузки на нее, превышающей расчётную или среднестатистическую нагрузку.

Кроме того, возможно проведение анализа методами социальной инженерии (используется невнимательность сотрудников, излишняя доверчивость и отсутствие базовых знаний в области ИБ): имитация злоумышленных действий, выполняющихся в адрес персонала Заказчика с использованием корпоративной почты (фишинг-ссылки, рассылка зараженного документа и т.д.).

Для защиты данных обязательно стоит его проводить

Как раз на эту тему на одном из порталов нашёл статьи, почитал зачем проводить пентест. Решил, что нужно заказать такой тест на проникновение, чтобы выявить имеющиеся недостатки в защите ПО и устранить их. Ибо не хотелось бы, чтобы хакеры взломали когда-нибудь и похитили данные.