As avaliações de vulnerabilidade podem ser divididas em dois tipos: De fora olhando para dentro e de dentro olhando ao redor.

Ao executar uma avaliação de vulnerabilidade de fora olhando para dentro, você está tentando comprometer seus sistemas partindo do lado de fora. Quando você está fora de sua empresa você analisa a partir do ponto de vista de um cracker. Você vê o que o cracker vê — endereços IP publicamente roteáveis, sistemas em sua DMZ, interfaces externas de seu firewall e mais. DMZ significa "demilitarized zone" (zona desmilitarizada), que corresponde a um computador ou à uma pequena sub-rede situados na rede interna, tal como uma LAN privada corporativa, e uma rede externa não-confiável, como a Internet pública. Tipicamente, a DMZ contém dispositivos acessíveis ao tráfego da Internet, como servidores web (HTTP), servidores FTP, servidores SMTP (e-mail) e servidores DNS.

Ao executar uma avaliação de vulnerabilidade de dentro olhando ao redor, você está, de certa maneira, em vantagem já que você é interno e seu status é elevado a confiável. Esse é o ponto de vista que você e seus colegas de trabalho têm ao se autenticarem em seus sistemas. Você vê servidores de impressão, servidores de arquivos, bancos de dados e outros recursos.

Há diferenças notáveis entre estes dois tipos de avaliação de vulnerabilidade. Quando você está dentro de sua empresa, você possui privilégios mais elevados que qualquer entidade externa. Ainda hoje em algumas empresas, a segurança é configurada de modo a manter os intrusos fora. Muito pouco é feito para proteger os internos da empresa (tais como firewalls departamentais, controles de acesso no nível de usuário, procedimentos de autenticação para recursos internos e outros). Geralmente, há muito mais recursos quando estamos dentro olhando ao redor dado que a maioria dos sistemas são internos à uma empresa. Uma vez que você se coloca fora da empresa, imediatamente terá o status não confiável. Os sistemas e recursos disponíveis a você externamente são freqüentemente muito limitados.

Considere a diferença entre as avaliações de vulnerabilidade e testes de penetração. Pense em uma avaliação de vulnerabilidade como o primeiro passo de um teste de penetração. As informações obtidas na avaliação serão utilizadas nos testes. Enquanto a avaliação verifica deficiências e vulnerabilidades potenciais, os testes de penetração tentam explorar os resultados.

O processo de avaliação da infra-estrutura de rede é dinâmico. A segurança de ambos, da informação e física, é dinâmica. Executar uma avaliação traz uma visão geral, que pode incluir falsos positivos e falsos negativos.

Administradores de segurança são tão bons quanto as ferramentas que usam e o conhecimento que possuem. Pegue qualquer uma das ferramentas de avaliação disponíveis, execute-as em seu sistema, e é quase certo que haja pelo menos alguns falsos positivos. O resultado é o mesmo, seja por erro do programa ou do usuário. A ferramenta pode encontrar vulnerabilidades que na realidade não existem (falsos positivos) ou, pior ainda, ela pode não detectar vulnerabilidades que realmente existem (falsos negativos).

Agora que a diferença entre avaliação de vulnerabilidade e teste de penetração está definida, é recomendável revisar os resultados da avaliação cuidadosamente antes de conduzir um teste de penetração como parte de sua nova tática para as melhores práticas.

A lista a seguir examina alguns dos benefícios em executar avaliações de vulnerabilidade.