Оценка уязвимости может быть двух видов: Взгляд снаружи и Взгляд изнутри.

При использовании первого метода ("взгляд снаружи") вы пытаетесь взломать системы снаружи. Таким образом, вы становитесь на место взломщика, вы видите то, что видит взломщик — открытые адреса IP, системы DMZ, внешние интерфейсы межсетевого экрана и пр. Под демилитаризованной зоной DMZ (demilitarized zone) подразумевают компьютер или небольшую сеть, которая располагается между защищённой внутренней сетью (например, корпоративной LAN) и незащищённой внешней сетью (например, Интернет). Обычно DMZ включает устройства, открытые для интернет-трафика (веб-серверы HTTP, серверы FTP, почтовые серверы SMTP и серверы DNS).

Когда вы оцениваете уязвимости изнутри, вы получаете некоторые преимущества, так как вы внутри и пользуетесь большим доверием. Это положение, где вам доступна информация о серверах печати, файловых серверах, базах данных и других ресурсах.

Существует огромная разница между перечисленными способами оценки уязвимости. Будучи частью компании, вы обладаете знаниями и возможностями, несоизмеримыми с возможностями пользователя извне. На сегодняшний день безопасность многих компаний полагается на защиту систем от вторжений извне. Таким образом, недостаточно внимания уделяется внутренней защите (межсетевые экраны между отделами, контроль доступа на уровне пользователей, проверка подлинности для доступа к внутренним ресурсам и пр.). Обычно при входе внутреннюю систему компании у вас открывается доступ к большему количеству ресурсов, поскольку многие системы являются открытыми для компании. Если вы обращаетесь к системе извне, вам автоматически присваиваются ограниченные возможности.

Рассмотрим разницу между оценкой уязвимости и испытаниями на проникновение. Оценку уязвимости можно рассматривать как первый этап в процессе испытания системы на проникновение. Полученную в результате информацию можно использовать далее в испытании. В то время как оценка уязвимости тестирует систему на наличие слабых мест, целью испытания на проникновение является попытка вторжения с целью использования найденных проблем.

Анализ инфраструктуры сети является динамическим процессом. Безопасность, информационная и физическая, также является динамической величиной. Проводя оценку, вы можете получить ошибочные сообщения о несуществующих уязвимостях и не узнать о реально присутствующих.

Администраторы по безопасности могут быть ровно настолько эффективны, насколько эффективны их знания и доступные средства. При проведении оценки уязвимости, всегда есть шанс получения ложноположительных результатов, независимо от того, какие средства используются. Причиной может быть ошибка программного обеспечения или пользователя, неважно, результат один. Таким образом, могут быть найдены уязвимости, не существующие на самом деле (ложноположительный результат); хуже того, некоторые существующие проблемы могут быть не обнаружены (ложноотрицательный результат).

Теперь, когда определена разница между оценкой уязвимости и испытанием на проникновение, необходимо проанализировать результаты оценки уязвимости перед выполнением испытания системы на проникновение.

В приведённом ниже списке перечислены некоторые положительные стороны выполнения оценки уязвимости.