Una prueba de penetración implica simular un ataque de un hacker para evaluar la seguridad de un sistema, lo que puede incluir la explotación activa de vulnerabilidades encontradas. Una evaluación de vulnerabilidad identifica vulnerabilidades pero no las explota activamente, haciéndolo más adecuado para sistemas de producción que no pueden ser interrumpidos. La mayoría de empresas eligen una evaluación de vulnerabilidad en lugar de una prueba de penetración para sus sistemas activos.