Penetration testi yoki red team exercise oldindan skriptlash qiyin. Buning sababi shundaki, tester mijoz qanday turdagi tizimlar yoki tarmoqlarni tekshirishni xohlashini aniq oldindan bilishi doim ham mumkin emas.

Bizning baholash natijalari ko‘pincha oldindan aytib bo‘lmaydigan bo‘lsa-da, mijoz bilan dastlabki uchrashuvlar davomida batafsil scope ni belgilash tavsiya etiladi. Bu jarayon, ayniqsa, katta tarmoqlarda biznes uchun muhim bo‘lgan nishonlarni ustuvorlik bilan aniqlashda juda foydalidir.

Penetration testining umumiy bajarish rejasi ko‘pincha ma’lum bir modelga amal qiladi, biroq aksariyat pentestlar "no plan survives first contact with the enemy" (hech qanday reja birinchi to‘qnashuvdan so‘ng saqlanib qolmaydi) degan tamoyilga asoslanadi. Bu shuni anglatadiki, biz engagement davomida bajarishni rejalashtirgan har qanday aniq faoliyatlar amalda amalga oshmasligi mumkin, chunki sinov muhiti haqidagi dastlabki taxminlarimiz real holatdan farq qilishi deyarli aniq. Shu sababli, penetration test natijalarini oldindan tayyorlangan shakllar yordamida hujjatlashtirish qiyin. Bu ayniqsa mijoz bilan oldindan muhokama kam bo‘lgan holatlarda dolzarb bo‘lib, masalan, mijoz o‘zining himoya jamoasini hayratda qoldirishni xohlasa.

Shu sababli, oldindan hisobot tayyorlash o‘rniga, penetration test jarayonida harakatlar bajariladi va yozuvlar olib boriladi. Bu quyidagilarni ta’minlaydi:

• Penetration testni takrorlash mumkin bo‘ladi, agar biror masala real ekanligini ko‘rsatish zarur bo‘lsa.
• Penetration testni takrorlash mumkin bo‘ladi, agar muammo bartaraf etilganini tasdiqlash talab qilinsa.
• Agar test davomida tizim nosozligi yuzaga kelsa, mijoz va tester muammo sababini penetration test bilan bog‘lash yoki bog‘lamaslikni aniqlay oladi.

Penetration test davomida ba’zi faoliyatlar ruxsat etilmasligi mumkin. Shu sababli, sinov qanday Rules of Engagement (RoE) asosida amalga oshirilishini aniq belgilashimiz kerak. Red team testi o‘tkazilayotganda, ko‘pincha kimdir "hakam" roliga tayinlanadi va bu shaxs RoE ga rioya qilinishini ta’minlaydi. Shuningdek, sinovga ba’zi cheklovlar qo‘yilishi mumkin, masalan, Denial of Service (DoS) hujumlarini amalga oshirmaslik yoki social engineering usullaridan foydalanmaslik.

Bundan tashqari, penetration testing mijozning regulatory compliance talablariga javob sifatida o‘tkazilishi mumkin va OWASP Penetration Testing Execution Standard kabi maxsus metodologiyalarga rioya qilish zarur bo‘lishi mumkin. Ushbu cheklovlar va talablar test boshlanishidan oldin juda aniq belgilanishi kerak.