W tym celu należy zbierać takie informacje o systemie, jak parametry sterowania dostępem, ustawienia na zaporach ogniowych, logowania i - co najtrudniejsze - obserwacje zachowań użytkowników systemu komputerowego. Ta faza pracy określana jest jako ocena stanu (assessment).

W kolejnym kroku należy porównać aktualną konfigurację i wydajności z obowiązującymi standardami oraz procedurami i przygotować listę odchyleń od tych norm. Proces ten znany jest pod pojęciem audytu systemu ochrony. Dysponując informacją określającą, gdzie ochrona nie spełnia przyjętych norm, można wybrać problemy do korekty i także kolejność ich załatwienia - odzwierciedlającą priorytety i dostępne zasoby. Na poziomie technicznym jednym z najbardziej wartościowych źródeł informacji o tym, które usterki mogą dotyczyć pracującego systemu, jest baza danych CVE (Common Vulnerabilities and Exposure) udostępniana przez niedochodowa organizacje Mitre (http://www.mitre.org ).

Zobacz również:

• Projektowanie zorientowane na użytkownika - Polska powyżej europejskiej średniej

Z kolei ICAT Metabase z Computer Secutity Laboratory przy National Institute of Standards and Technology zapewnia doskonały interfejs do bazy CVE - można specyfikować system operacyjny, zakres danych, typ usterki czy nieszczelności itp., a także natychmiast uzyskać listę nieszczelności do kontroli w testowanym systemie (http://icat.nist.gov/icat.cfm ).

Taka ocena i przeszukanie oszczędza czas i pieniądze - pozwala ona osobom, które nie są ekspertami uzyskać ocenę zabezpieczeń przy niewysokich kosztach. System CVE/ICAT jest pomocny w szkoleniu personelu zajmującego się ochroną systemu. Proces oceny i wyszukiwania "nieszczelności" może także zapewnić podstawowe dane pomagające w identyfikowaniu zmian w systemach po rzeczywistym ataku, który miał miejsce, sprowadzając proces reperacji do rzeczywiście uszkodzonych elementów.

Z drugiej jednak strony wyszukiwanie luk w systemie jest warunkiem koniecznym, lecz nie dostatecznym dla utrzymania ochrony na dobrym poziomie. Proces wyszukiwania nieszczelności może wykrywać problemy, ale nie może ich rozwiązać. Często też przestarzałe produkty oceny mogą dostarczać niepoprawnych ocen bieżącego stanu ochrony systemu. Pamiętać też należy, że niektóre skanery mogą być stosowane zewnętrznie przez potencjalnych napastników, dostarczając im istotnych informacji wywiadowczych do przyszłego wykorzystania.

Poszukiwanie nieszczelności i ocena uszkodzeń to stosunkowo tanie sposoby uszczelniania ochrony, ale żaden z nich nie konfrontuje się bezpośrednio z rzeczywistością. Taką konfrontację może zapewnić zespół wynajętych hakerów. Aktywne testowanie symulujące ataki systemowe, chociaż niebezpieczne, zapewnia jednak najlepszą diagnozę słabych punktów ochrony systemu.