Sicherheitsbewertung auf Systemdesign- und Architekturebene durch Analyse von Netzwerksegmentierung, Vertrauensgrenzen, Authentifizierungs- und Autorisierungsabläufen, Sitzungsverwaltung, Privilegien-Trennung, Ausfallsicherheit und architektonischen Angriffen. Geht dem Anwendungspenetrationstest voraus oder ergänzt ihn, indem strukturelle Schwachstellen identifiziert werden, die das gesamte Ökosystem gefährden können, selbst wenn einzelne Komponenten sicher sind.