第4個秘訣：根據風險高低，進行測試。

　　進行哪種類型的測試，應取決于數據/應用程序的價值。對于低風險資產，定期的漏洞掃描無異于經濟高效地利用資源。中等風險的資產可能需要結合漏洞掃描和手動的漏洞檢查。至于高風險資產，應進行滲透測試，尋找可利用的漏洞。

　　比如說，一所大型大學的安全主管說，他們已開始進行滲透測試，以滿足PCI DSS的要求。一旦這項計劃落實到位，成了用于測試潛在攻擊者潛入大學系統的能力的典范。該大學將數據分為公共數據、內部數據、敏感數據和高度敏感數據這幾類。

　　他說：“對于高度敏感的信息，我們進行了滲透測試，遵守幾乎與PCI一樣的準則。我們在此基礎上深入了一步，根據一些具體的標準和一些主觀判斷，看看要對系統進行哪種級別的滲透測試??如果需要滲透測試的話。”

　　比如說，對于風險比較低的信息，該大學將測試隨機抽選的系統及/或應用程序，具體要看時間和預算的緊張程度。由于校園網絡上有幾千個設備，即便對它們都進行低級掃描也是行不通的。

　　這名安全主管說：“你可以測試有明確所有者和系統管理員的業務系統。但是如果你有3000臺Wii連接到網絡上，你不應該掃描那些設備、弄清楚它們分別屬于誰。”

　　第5個秘訣：了解攻擊者的概況。

　　你的滲透測試人員在想法和行為上都要與真正的攻擊者無異。但攻擊者不屬于好人這一類。要了解潛在攻擊者的概況。

　　外部攻擊者對貴公司可能所知甚少，可能知道一些IP地址。但他們可能是前任員工，或者效力于貴公司的合作伙伴或服務提供商，所以對你網絡的內部情況相當了解。內部攻擊者可能是擁有訪問和授權特權的系統管理員或數據庫管理員，知道關鍵數據在什么地方。

　　了解攻擊者概況時要考慮的一個因素是動機。攻擊者覬覦的是可以變成現金的信用卡號碼和個人身份信息？還是可以賣給競爭對手或獲得商業優勢的知識產權？攻擊者想破壞你的Web應用程序，可能出于政治目的或競爭目的。他可能是怒氣沖沖的前任員工，想“對貴公司進行報復”。

　　應該與業務負責人合作，幫助了解這些概況，打探哪些類型的潛在攻擊者是他們感到擔心的。

　　概況可以縮小滲透測試的關注范圍；測試內容會不一樣，具體取決于每一種攻擊者概況。

　　Core Security公司的Solino說：“我們基本了解了某個攻擊者會對目標搞什么破壞，對此我們分得很清楚。針對每一種概況，我們獲得滲透測試的結果，然后再了解另一種概況。”

　　第6個秘訣：掌握的信息越多越好。

　　無論是實際攻擊，還是滲透測試，收集信息都是整個過程的一個部分，旨在查找諸設備、操作系統、應用程序和數據庫等。你對某個目標及與它連接的系統了解越多，潛入進去的可能性越大。

　　每一步都可能會得到有價值的信息，以便你攻擊另一個資產，直到終進入你瞄準的數據庫和文件共享區等目標。獲得的信息讓你可以縮小搜索可利用漏洞的范圍。通常可以使用自動化的掃描和繪圖工具，來進行這種偵察；但你也可以使用社會工程學方法，比如在電話一頭冒充技術支持人員或承包商，收集有價值的信息。

　　Verizon公司的Khawaja說：“我們越來越多地開始采用社會工程學方法。這實際上是一種偵察手段（在客戶許可的情況下進行），讓我們得以在環境中找到可以幫助我們潛入進去的每個薄弱環節。”

　　多階段的滲透測試通常是重復進行偵察、評估漏洞和利用漏洞，每一步都為你提供更深入地滲透到網絡的信息。