[1] Reconnaissance

ในส่วนนี้อี ซีคิวริตี้ จะวิเคราะห์โครงสร้างของระบบเครือข่าย ค่าไอพี ระบบปฏิบัติการ อุปกรณ์รักษาความปลอดภัย และข้อมูลสำคัญของเป้าหมาย ข้อมูลทั้งหมดจะถูกวิเคราะห์และเตรียมพร้อมสำหรับขั้นตอนต่อไป.

[2] Analysis

ในระดับที่สองจะเป็นส่วนที่ทางเจ้าหน้าที่จะเริ่มขั้นตอนที่เรียกว่า Application Mapping เพื่อค้นหาจุดเสี่ยงต่างๆ โดยวิธีการ Scanning / Fuzzing และการวิเคราะห์ความเสี่ยงจากข้อมูลที่ได้มาก่อนหน้านี้.

ถ้าเป้าหมายถูกค้นพบว่าระบบมีความเกี่ยวข้องกับ dynamic web applications ทางอี ซีคิวริตี้จะทำการตรวจสอบโดยใช้เทคนิคที่เรียกว่า Vulnerability Fuzzing Techniques เพื่อที่จะช่วยให้ค้นพบช่องโหว่ที่ไม่มีใครค้นพบมาก่อน โดยมีสาเหตุมาจากการดูแลรักษาความปลอดภัยที่ไม่รัดกุม ความเสี่ยงบางอย่างจะถูกค้นพบได้จากทดสอบในขั้นตอนนี้ อาทิเช่น SQL Injection, Code Injection, Code Execution, Directory Traversal, Cross site scripting, และอื่นๆ อีกมาก.

[3] Penetration

ส่วนนี้จะเป็นการทดสอบเชิงรุกที่สมจริงและได้ผลที่สุด เจ้าหน้าที่จากทางอีซีคิวรีตี้จะใช้กลยุทธและวิธีการ เสมือน Hacker จริงๆที่จะทำการเจาะเข้าสู่ระบบและยึดครองเครือค่ายของเป้าหมาย จากนั้นทางผู้เชี่ยวชาญจะทำการทดสอบถึงความเสียหายที่อาจเกิดขึ้นได้จากความเสี่ยงที่ค้นพบของเป้าหมาย.

[4] Information

ในขณะที่ทางอีซีคิวรีตี้ สามารถเจาะเข้าสู่ระบบได้เป็นที่เรียบร้อย ทางทีมงานจะทำการแจ้งต่อลูกค้าถึงสถานะของเป้าหมาย และจะทำการฟื้นระบบเครือค่าย หรือ ระบบปฏิบัติการให้กลับมาเป็นระดับปกติเหมือนเดิมก่อนการทดสอบเจาะระบบ.

[5] Documentation

เอกสารการสรุปการปฎิบัตงานจะอธิบายรายละเอียด ว่าการเจาะระบบนั้นเป็นไปได้อย่างไร มากน้อยเพียงใด และทางทีมงานได้กระทำการไดๆบ้าง, สรุปผลการประเมิณการแก้ไขปัญหาและ ความเป็นไปได้ในการบำรุงและป้องกัน.