Assessment

Das Security Assessment wird auch Security Audit genannt.

Diese Methode ist mit einem Workshop zu vergleichen. Ein bis zwei Ethical Hacker setzen sich mit den Entwicklern und IT-Betreuern zusammen, wobei sowohl auf Architekturebene über den Aufbau gesprochen wird als auch einzelne Konfigurationsdateien angesehen werden. Bei dieser Form der Untersuchung erhält der Ethical Hacker nie selbst Zugriff auf Systeme oder Dateien, sondern bekommt nur Einblicke in diese per Screensharing. Durch dieses Format ist es möglich, mehrere Aspekte in kurzer Zeit durchzugehen, was dazu führt, dass der Blick stärker auf organisatorische Prozesse fällt als auf die Technik selbst. Über die gefundenen Sicherheitslücken kann sowohl während des Assessments als auch im Anschluss gesprochen werden.