Egyre kisebb az igény mutatkozik a magányos hackerekre, akik csupán technológiai jártasságot prezentáltak professzionalista hozzáállás nélkül. A megbízók profi hackereket keresnek, mind a gyakorlat, mind a felhasznált eszközkészlet vonatkozásában.
A behatolás- vagy sérülékenység-tesztelő szoftverek mindig is az etikus hackerek eszköztárába tartoztak. Az egyik legfontosabb előrelépés ezen a téren, hogy a legújabb tesztelő eszközök az összes munkát elvégzik a sebezhetőségek felkutatásától azok kihasználásáig, pontosan úgy, ahogy egy támadó tenné.
Például a nyílt forráskódú Bloodhound lehetővé teszi a támadók számára, hogy grafikus ábrázolásban megtekintsék az Active Directory alapú hálózatokban lévő számítógépek közötti kapcsolatokat. Ha meghatározunk egy megtámadni kívánt célgépet, a Bloodhound segítségével gyorsan felkutathatunk több hackelési útvonalat, amelyen el lehet indulni, és gyakran lesznek ezek között olyanok is, amelynek létezéséről nem tudtunk. Így aztán a behatolástesztelőknek elég egyszerűen megadniuk a kezdő- és végpontokat, majd a Bloodhound és néhány szkript elvégzi a munkát, vagyis végrehajtja az össze hackelési lépést, amire szükség van az A ponttól a Z pontba történő eljutáshoz.
Szokás, hogy amikor egy védelmi rendszert akarnak eladni egy vállalat felsővezetésének, a behatolástesztelők meghackelik valamelyik vezető gépét. Manapság a vezetők jól érthető prezentációt, videókat vagy animációkat igényelnek arról, hogy a feltörést hogyan hajtották végre a cég informatikai hálózatában.
Manapság már nem elegendő egyszerűen átnyújtani a vállalatnál felfedezett sérülékenységek listáját. A behatolástesztelőknek együtt kell működniük a vállalat informatikusaival a legjelentősebb és legvalószínűbb fenyegetések azonosításában is. A behatolástesztelők a kockázatkezelő csapat részévé válnak, segítve őket a kockázatok mérséklésében, vagyis feladatuk nem merül ki a sérülékenységek puszta felkutatásában.
Ez azt jelenti, hogy az etikus hackerek még több értéket szolgáltatnak azzal, hogy megmutatják a menedzsmentnek és a kibervédelemért felelős személyeknek, hogy nagy valószínűség szerint mi fog történni és hogyan, és nem csupán egyetlen hackelést prezentálnak nekik, amely nem valószínű, hogy valaha is bekövetkezik a valóságban.
