私によると、ここでの鍵は仮想化を使用することです。これは、組織のインフラストラクチャへのジャンプポイントとして悪用および活用される可能性のあるシステムの安全な処理(分離)を可能にする主要な予防策です。
侵入テストの要点は、ペンテスターが本物の攻撃者であるかのように会社の実際のインフラストラクチャをテストすることです。このようにして、侵入テスト担当者は、会社がそれ自体では見つけることができなかったセキュリティの問題を見つけることができます。侵入者は、ソフトウェアではないものに「バグ」を見つけることがよくあります。物理的なセキュリティやソーシャルエンジニアリングもテストする人もいます。
組織の実際のインフラストラクチャとは別の仮想化システムにハッキングすることは有用かもしれませんが、従来の意味での侵入テストではありません。
侵入テスターは、ハッキング先の組織から支払いを受けているため、実際に組織に害を及ぼすようなことはしません。システムへの足がかりを見つけたら、それを悪用して組織のインフラストラクチャ内でさらに続行する可能性があります。ただし、実際のハッカーのようにデータを盗んだりマルウェアをインストールしたりすることはありません。ペンテスターは通常、何か悪いことが起こった場合に訴えられないようにする契約を結んでいますが、実際の被害を避けるために最善を尽くします。