Sızma Testi (Pentest) Nedir ve Ne Zaman Yapılmalı?

Giriş

Sızma testi (penetration test, kısaca pentest), bir saldırganın bakış açısıyla sistemlerinize, ağınıza veya uygulamalarınıza kontrollü ve yetkilendirilmiş bir saldırı düzenleyerek güvenlik açıklarını gerçek dünyada sömürülebilirlik açısından değerlendiren bir testtir. Amaç yalnızca “açık var mı” sorusunu yanıtlamak değil; bir açığın gerçekten istismar edilip edilemeyeceğini, edilirse ne kadar ileri gidilebileceğini ve işe ne kadar zarar verebileceğini somut olarak göstermektir.

Pentest, otomatik araçların ürettiği uzun açık listelerinin ötesine geçer: uzman bir test ekibi, bulguları zincirleyerek (örneğin düşük öncelikli bir açıktan başlayıp yetki yükseltmeye giderek) gerçek bir saldırganın izleyeceği yolu taklit eder. Bu yazıda pentest türlerini, kapsam belirlemeyi, ne sıklıkla yapılması gerektiğini, zafiyet taramasından farkını ve sağlıklı bir raporun nasıl olması gerektiğini ele alıyoruz.

Sızma testi ile zafiyet taraması arasındaki fark nedir?

Bu ikisi sıkça karıştırılır ama farklı amaçlara hizmet eder.

Zafiyet taraması (vulnerability scan), çoğunlukla otomatik araçlarla yürütülen, sistemlerdeki bilinen açıkları imza ve sürüm bilgisiyle tespit eden geniş kapsamlı bir taramadır. Hızlıdır, düzenli (örneğin haftalık/aylık) çalıştırılabilir ve geniş bir varlık envanterini kısa sürede gözden geçirir. Ancak bulduğu açığın gerçekten sömürülebilir olup olmadığını genellikle doğrulamaz; “yanlış pozitif” üretebilir.

Sızma testi ise insan zekâsı içerir. Test uzmanı, taramanın bulgularını doğrular, manuel teknikler ekler, açıkları zincirler ve gerçek istismar yaparak etkiyi kanıtlar. Yani zafiyet taraması “kapı kilitli mi” diye bakar; pentest kapıyı gerçekten açmaya çalışır.

Kriter	Zafiyet Taraması	Sızma Testi (Pentest)
Yöntem	Çoğunlukla otomatik	Manuel + otomatik (insan odaklı)
Amaç	Bilinen açıkları listelemek	Sömürülebilirliği ve etkiyi kanıtlamak
Sıklık	Sık (haftalık/aylık)	Periyodik (yıllık + değişikliklerde)
Doğrulama	Sınırlı, yanlış pozitif olabilir	Bulgular istismarla doğrulanır
Çıktı	Açık listesi	Senaryo, kanıt, iş etkisi, öneri

İdeal yaklaşım ikisini birlikte kullanmaktır: zafiyet taramasıyla yüzeyi sürekli izleyin, pentest ile periyodik olarak derin doğrulama yapın.

Black box, white box ve gray box pentest nedir?

Pentest, test ekibine verilen bilgi düzeyine göre üç ana yaklaşıma ayrılır.

• Black box (kara kutu): Test ekibine hiçbir iç bilgi verilmez; tıpkı dışarıdan gelen bir saldırgan gibi yalnızca herkese açık bilgilerle başlar. Gerçekçidir ama keşif aşamasına çok zaman harcandığı için derinliği sınırlı kalabilir.
• White box (beyaz kutu): Test ekibine kaynak kodu, ağ şemaları, kullanıcı hesapları ve mimari belgeler dahil tam bilgi verilir. En kapsamlı ve derinlemesine sonuçları üretir; zaman bütçesi keşif yerine doğrudan açık avına ayrılır.
• Gray box (gri kutu): İkisinin arasıdır. Test ekibine sınırlı bilgi (örneğin standart bir kullanıcı hesabı ve genel mimari) verilir. Pratikte en sık tercih edilen yaklaşımdır çünkü gerçekçilik ile verimlilik arasında denge kurar; özellikle “içerideki kötü niyetli kullanıcı” veya “kimlik bilgisi çalınmış çalışan” senaryolarını iyi yansıtır.

Hangisinin seçileceği hedefe bağlıdır: dışarıdan görünürlüğü ölçmek isteyenler black box’a, bir uygulamayı derinlemesine güvenceye almak isteyenler white box’a yönelir.

Pentest hangi alanları kapsar?

Pentest tek bir şey değildir; kapsam, korumak istediğiniz varlığa göre belirlenir. Yaygın test alanları şunlardır:

• Dış ağ (external) pentest: İnternete açık sunucular, güvenlik duvarı, VPN ve servislerin dışarıdan test edilmesi.
• İç ağ (internal) pentest: Kurum içinden, ağa bağlı bir saldırganın neler yapabileceğinin değerlendirilmesi (yetki yükseltme, yatay hareket).
• Web uygulaması pentesti: OWASP yaklaşımına uygun olarak kimlik doğrulama, yetkilendirme, enjeksiyon ve iş mantığı açıkları.
• Kablosuz ağ (Wi-Fi) pentesti: Erişim noktaları, segmentasyon ve misafir ağı izolasyonu.
• Sosyal mühendislik: Oltalama (phishing) simülasyonları ve insan faktörünün test edilmesi.
• Mobil uygulama ve API testleri: İstemci güvenliği, veri saklama ve API yetkilendirme.

Kapsam, test öncesinde yazılı olarak netleştirilmeli; hangi IP aralıkları, hangi uygulamalar, hangi saatlerde test edileceği ve dokunulmayacak sistemler (örneğin canlı üretim veritabanları) açıkça belirlenmelidir.

Sızma testi ne zaman ve ne sıklıkla yapılmalı?

Pentest tek seferlik bir kutu işaretleme değil, tekrarlayan bir disiplin olmalıdır. Genel kabul gören yaklaşım, en az yılda bir kez kapsamlı bir test yapmak ve aşağıdaki tetikleyici durumlarda ek testler planlamaktır:

• Yeni bir uygulama, sistem veya internete açık servis devreye alındığında
• Ağ mimarisinde, güvenlik duvarı kurallarında veya bulut altyapısında önemli değişiklik yapıldığında
• Önemli yazılım güncellemeleri veya altyapı taşımaları sonrasında
• Bir güvenlik olayı (ihlal, fidye yazılımı, yetkisiz erişim) yaşandıktan sonra
• Yeni bir uyumluluk/denetim gereksinimi ya da büyük bir müşteri sözleşmesi şartı doğduğunda

Sektörel düzenlemeler veya kart ödeme gibi belirli standartlar, kendi pentest periyotlarını ve koşullarını tanımlayabilir. Tabi olduğunuz mevzuat ya da standart varsa, kesin sıklık ve kapsam yükümlülükleri için güncel resmi kaynağı veya denetim çerçevenizi kontrol edin. Pratikte sağlıklı bir model, yılda bir derin pentest + sürekli zafiyet taraması + büyük değişikliklerde ek test şeklindedir.

İyi bir pentest raporu neleri içermeli?

Pentest’in asıl değeri rapordadır. Teknik açık listesi tek başına yeterli değildir; yöneticinin karar alabileceği, teknik ekibin de uygulayabileceği iki katmanlı bir rapor beklenir. İyi bir rapor şunları içermelidir:

1. Yönetici özeti: Teknik olmayan dille genel risk durumu, en kritik bulgular ve iş etkisi.
2. Kapsam ve metodoloji: Nelerin test edildiği, hangi yaklaşımın (black/gray/white box) ve hangi tekniklerin kullanıldığı.
3. Bulgular ve önem dereceleri: Her açık için risk seviyesi (genellikle kritik/yüksek/orta/düşük), tipik olarak CVSS gibi standart bir puanlamayla.
4. Kanıt (PoC): Açığın gerçekten sömürüldüğünü gösteren ekran görüntüsü, istek/yanıt veya adım adım yeniden üretim.
5. İş etkisi: Açığın istismarı halinde hangi verinin/işlevin risk altında olduğu.
6. Önerilen çözümler: Her bulgu için somut, uygulanabilir düzeltme adımları ve öncelik sırası.
7. Yeniden test (retest): Düzeltmelerin uygulanmasından sonra açıkların kapandığının doğrulanması.

Kaliteli bir pentest hizmeti, raporu teslim edip çekilmez; düzeltme sürecinde teknik ekibe yön verir ve sonrasında yeniden test ile kapanışı doğrular.

Pentest öncesi ve sonrası nelere dikkat edilmeli?

• Yazılı yetkilendirme ve kapsam belgesi (test izni) imzalanmalı
• Test pencereleri ve dokunulmayacak kritik sistemler tanımlanmalı
• İletişim ve acil durdurma (kill switch) prosedürü belirlenmeli
• Yedeklerin güncel olduğundan emin olunmalı (beklenmedik kesintiye karşı)
• Bulgular için sahiplik ve düzeltme takvimi atanmalı
• Düzeltme sonrası yeniden test planlanmalı
• Tekrarlayan açıkların kök nedeni (süreç/eğitim) ele alınmalı

Pentest sonuçlarının değeri, raporun raflarda kalmaması; bulguların önceliklendirilip kapatılması ve süreç haline getirilmesiyle ortaya çıkar.

Sıkça Sorulan Sorular

Pentest ile zafiyet taraması aynı şey midir? Hayır. Zafiyet taraması çoğunlukla otomatik bir tespit aracıdır ve bilinen açıkları listeler. Pentest ise insan uzmanlığıyla bu açıkları doğrular, istismar eder ve gerçek iş etkisini kanıtlar. İkisi birbirini tamamlar.

Sızma testi sistemlerime zarar verir mi? Profesyonel bir pentest, önceden anlaşılan kapsam, test pencereleri ve durdurma prosedürleriyle yürütülür. Risk yönetilir; kritik üretim sistemleri için ek önlemler (örneğin yedekleme, sınırlı test) alınır. Yine de yedeklerinizin güncel olması önerilir.

KOBİ’lerin pentest yaptırması gerekli mi? Yasal genel bir zorunluluk her sektör için aynı değildir; ancak internete açık servisi, müşteri verisi veya e-ticaret altyapısı olan KOBİ’ler için pentest güçlü biçimde önerilir. Tabi olduğunuz mevzuat veya müşteri sözleşmeleri bunu fiilen zorunlu kılabilir.

Pentest ne kadar sürer? Süre kapsama bağlıdır; tek bir web uygulamasından kurumsal bir ağa kadar değişir. Tipik olarak birkaç günden birkaç haftaya kadar planlanır ve raporlama ile yeniden test bu sürenin dışındadır.

Black box mı white box mı tercih etmeliyim? Amaca bağlıdır. Dışarıdan saldırgan gerçekçiliği istiyorsanız black box, bir uygulamayı derinlemesine güvenceye almak istiyorsanız white box uygundur. Çoğu kurum, denge sağladığı için gray box ile başlar.

Giza Teknoloji ile güvenlik altyapınızı güçlendirin

Sızma testi, sağlam bir güvenlik altyapısının üzerine kurulduğunda gerçek değerini verir. Gaziantep/Şehitkamil merkezli Giza Teknoloji, Logo Yazılım yetkili Netsis bayisi olmasının yanı sıra kurumsal BT ve güvenlik tarafında da yanınızda. Güvenlik duvarı yapılandırması (Fortinet), ağ segmentasyonu, log/izleme ve sunucu sertleştirme için server ve güvenlik hizmetleri, altyapı tarafında donanım ve bakım, planlama tarafında ise proje yönetimi & iş zekası çözümlerimizi inceleyebilirsiniz. ERP ve iş süreçleriniz için Netsis 3 ERP, e-Dönüşüm, Xenon saha satış ve özel yazılım hizmetlerimiz mevcuttur.

Güvenlik altyapınızı pentest öncesi sağlamlaştırmak için bizimle iletişime geçin: 0532 599 51 12 (telefon destek), WhatsApp 0532 599 51 12 veya bilgi@gizateknoloji.com. Daha fazla bilgi için hakkımızda ve iletişim sayfalarımıza göz atın.