Cuando evalúa su riesgo en su programa de administración de vulnerabilidades, hay dos factores en su ecuación de riesgo. Las evaluaciones de vulnerabilidad proporcionan el factor que le proporciona el vector de explotación y su valor de riesgo potential para su organización. Pero el valor de riesgo real tiene que ser una dirección in situ del entorno que se explotará para saber qué tan mal está para el escenario específico your . El análisis de explotación (pruebas de penetración) proporciona un valor de riesgo real e ilumina los riesgos primarios, secundarios y terciarios que las evaluaciones de vulnerabilidad no pueden esclarecer del riesgo de portal identificado en la evaluación de vulnerabilidad.
Como ejemplo, sé que en mi casa tengo ventanas y son una vulnerabilidad, porque básicamente cualquier criminal idiota puede pasar por alto una ventana (incluso con una detección de alarma de ventana decente, por cierto). Y puedo pensar que estoy "a salvo" porque tengo a esta joya de grado agradable y segura. Mantengo mis joyas. Sin embargo, cuando contrate a alguien para que explote mis ventanas, e ingrese, puedo encontrar a mi pareja a quien necesito (en caso de que de emergencias) para entrar en esa caja fuerte, anotó la combinación segura y las pegó en su escritorio en la oficina, justo al lado de una de las ventanas. Ahora, en mi evaluación de vulnerabilidad, las ventanas podrían haber sido calificadas de bajo a medio en mi evaluación de riesgo, ya que es una vulnerabilidad bien conocida. Sin embargo, no hasta que mi análisis de explotación descubra que tengo un gran riesgo debido a la falta de protocolos en el manejo de la combinación en mi caja fuerte.