Pierwszy test powinien przynieść rezultat w postaci mapy sieciowej topologii, zakresu używanych adresów IP, obecności typowych elementów infrastruktury (serwer DHCP, rozwiązania NAC). Po dokonaniu rozpoznania, audytor atakuje rozpoznane obiekty, próbując zbadać stan podatności na znane już słabości sprzętu i oprogramowania (np. luki w bezpieczeństwie systemów Windows). Kolejnym etapem jest próba wykorzystania takich błędów przy pomocy gotowych eksploitów.

Ważnym elementem audytu powinno być określenie dostępności do sieci lokalnej przy pomocy wolnych i ogólnodostępnych gniazd sieciowych. W wielu firmach nie ma dostatecznej obrony przed takimi atakami, które są proste do przeprowadzenia przy pomocy socjotechniki. Po określeniu dostępności do gniazd sieciowych, należy określić sposób dostępu do produkcyjnej części sieci lokalnej firmy. W wielu przypadkach firmy nie posiadają specjalnej podsieci dla gości.

Jednym z badanych elementów powinno być testowanie dostępu do sieci bezprzewodowej. Po pierwsze, należy określić jej zasięg oraz stosowane urządzenia, ważnym wnioskiem powinno być określenie stref, w których musi się znaleźć intruz, aby móc się połączyć z siecią przy użyciu typowego sprzętu. Test powinien objąć poziom zabezpieczeń sieci, najważniejsze słabości (WEP, brak zarządzania kluczami, stałe reguły filtrów adresów, nieaktualizowane firmware punktów dostępowych, domyślne hasła, przekazywanie zapytań o adres IP do firmowego serwera DHCP bez ich filtrowania, brak osobnej podsieci IP dla sieci bezprzewodowych, brak ochrony połączeń przez zaporę sieciową) oraz sposoby ich przełamania. Należy zbadać także podatność na ataki związane z przechwyceniem części ruchu i wykorzystaniem go do przeprowadzenia ataku. Należy przy tym także opisać praktyki, które ułatwiają włamanie tą drogą, na przykład nazwy identyfikatorów sieci bezprzewodowych oddające dokładnie ich funkcje, słabe hasła ochrony, błędy operatorów.

Socjotechnika stosowana

Oprócz testów ściśle teleinformatycznych, audytor powinien także przeprowadzić testy socjotechniczne. Powinny obejmować podszywanie się pod pracownika i prośbę o zmianę hasła w dziale IT - jest to jedno z ulubionych działań intruzów. Ponadto powinny być przetestowane procedury odwrotne, czyli próba umiejętnego pozyskania hasła od użytkowników, a także odporność firmy na fałszywe dokumenty wysyłane faksem i pocztą elektroniczną.

Do takich testów należy również sprawdzenie możliwości niekontrolowanego wejścia na teren firmy, podając się za pracownika lub ważnego kontrahenta. Bardzo wiele takich prób się udaje w praktyce, dlatego audytor powinien posiąść możliwie dużą wiedzę na temat reguł współpracy rządzących firmą oraz nawyków poszczególnych pracowników. Jednym z ataków jest podawanie się za pracownika firmy sprzątającej i analiza dostępności informacji w pozostawianych na biurkach dokumentach. Należy sprawdzić, czy pracownicy nie zapisują haseł dostępu na kartkach blisko monitora, czy informacje tam dostępne nie sugerują innych słabości firmy.