1. Investigación: definición del ámbito de investigación (cuáles son los sistemas a ser auditados).
2. Exploración: detección de sistemas expuestos y que van a ser objetivo del ataque simulado.
3. Auditoria: mediante herramientas comerciales y propias, se detectan las posibles vulnerabilidades del sistema. Las vulnerabilidades son de tres tipos: agujeros (que permiten acceso inmediato a usuarios externos), avisos (requieren evaluación adicional para determinar la importancia) y notas (que no ofrecen un riesgo inmediato, pero que pueden ser problemáticos en el futuro)
4. Informe: elaboración del mismo con análisis, resultados y recomendaciones.