- Sızma testi (pentest), bir bilgi sistemine kontrollü ve yetkili saldırı düzenleyerek güvenlik açıklarını gerçek saldırganlardan önce keşfetme sürecidir.
- 7 ana aşamadan oluşur: kapsam belirleme, keşif, tarama, sömürü, sonradan sömürü, raporlama ve doğrulama.
- Türleri: ağ, web uygulama, mobil, kablosuz, sosyal mühendislik, kaynak kod ve EKS/SCADA pentest.
- OWASP, OSSTMM, NIST SP 800-115, PTES gibi uluslararası standartlar süreci yönetir.
- Türkiye’de TSE onaylı sızma testi firmalarından alınan rapor, kamu ihalelerinde ve KVKK denetimlerinde kabul görür.
Sızma testi (penetration testing veya kısaca pentest), bir kurumun bilgi sistemine —web uygulaması, mobil uygulama, sunucu, ağ, hatta personeli— gerçek bir saldırganın bakış açısıyla, ancak yazılı izinle ve kontrollü biçimde saldırı düzenleyerek güvenlik açıklarını tespit etme sürecidir. Bu yazıda, sızma testinin ne olduğunu, hangi adımlardan oluştuğunu, türlerini ve hangi uluslararası standartlara göre yapıldığını TSE onaylı bir pentest firmasının deneyimleriyle açıklıyoruz.
Hemen başta söyleyelim: bu bir teknik ders kitabı değil. 15 yıldır onlarca farklı sektörde —bankalardan üretim tesislerine, kamu kurumlarından e-ticaret sitelerine— pentest yaparken görüp öğrendiklerimizden damıttığımız pratik bir rehber. Sektörde sıkça karıştırılan kavramları da bu vesileyle yerli yerine oturtmaya çalışacağız.
Sızma Testi Nedir?
Sızma testi, kurumun yazılı izniyle, etik bir saldırgan (pentester) tarafından gerçekleştirilen kontrollü siber saldırı simülasyonudur. Amaç; gerçek bir saldırgan zaafiyeti istismar edip kuruma zarar vermeden önce, aynı zaafiyetleri tespit etmek, ciddiyet seviyelerini ölçmek ve giderilmeleri için kanıtlı (proof-of-concept) raporlama sağlamaktır.
Bir güvenlik açığı taraması, otomatik araçlarla sistemde bilinen zaafiyet imzalarını arar. Sızma testi ise insan zekâsını ve yaratıcı saldırı senaryolarını devreye sokar: birbirinden bağımsız görünen küçük zaafiyetleri zincirleyerek “sistem yöneticisi yetkisi” elde etmeye çalışır. Bu nedenle sızma testi, “açık varsa bul” değil; “saldırganın yapabileceği en kötü şeyi yap, sonra raporla” yaklaşımıdır.
| Kriter | Açıklık Tarama | Sızma Testi |
|---|---|---|
| Yöntem | Otomatik tarayıcı | İnsan + araçlar |
| Amaç | Bilinen zaafiyetleri listele | Etki ve sömürülebilirliği kanıtla |
| Süre | Saatler | Günler – haftalar |
| Çıktı | Otomatik liste | Detaylı PoC + öneri raporu |
| Mevzuat değeri | Sınırlı | KVKK, BDDK, ISO 27001 için kabul gören |
Sızma Testi Türleri
Pentest, hangi varlığa ve hangi saldırı yüzeyine odaklandığınıza göre farklı türlere ayrılır. Aşağıdaki türlerin bir kuruma genelde 2-4 tanesi birlikte uygulanır:
- Ağ Sızma Testi (İç ve Dış Ağ): Sunucu, yönlendirici, güvenlik duvarı, etki alanı denetleyicisi gibi altyapı bileşenlerine yönelik testlerdir. Active Directory ortamında Kerberoasting, AS-REP Roasting, lateral movement senaryoları çalıştırılır.
- Web Uygulama Sızma Testi: OWASP Top 10 (SQLi, XSS, IDOR, SSRF, deserialization vb.) başta olmak üzere web tabanlı tüm saldırı vektörlerini kapsar.
- Mobil Uygulama Sızma Testi: Android ve iOS uygulamalarında OWASP MASVS standardına göre statik analiz, dinamik analiz, reverse engineering ve API güvenliği değerlendirilir.
- Kablosuz Ağ Sızma Testi: Wi-Fi şifreleme zayıflıkları, sahte erişim noktaları (rogue AP), evil twin saldırıları ve PMKID saldırıları test edilir.
- Sosyal Mühendislik Testi: Phishing simülasyonu, vishing (telefonla dolandırıcılık), USB drop testleri ile insan faktörü ölçülür.
- Kaynak Kod Analizi (Secure Code Review): Yazılım kaynak kodu, statik analiz araçları ve insan denetimi ile zaafiyet açısından incelenir.
- EKS / SCADA Sızma Testi: Endüstriyel kontrol sistemleri (PLC, RTU, HMI) için ISO 27019 uyumlu, üretimi durdurmadan yapılan özel testlerdir.
- DDoS / Yük Testi: Servis engelleme saldırılarına dayanıklılığın kontrollü ortamda ölçülmesidir.
Sızma Testi Süreci: 7 Adım
Profesyonel bir sızma testi rastgele araç koşturmak değildir; yapılandırılmış 7 aşamalı bir süreçtir. Aşağıda her adımı detaylıca açıklıyoruz.
1. Kapsam Belirleme (Scoping)
Hangi varlıkların test edileceği, hangilerinin kapsam dışı olduğu, test penceresi (gün/saat), izin verilen saldırı türleri ve “acil durum çıkış kuralı” yazılı olarak kayıt altına alınır. İyi tanımlanmamış kapsam, hem testin etkisini düşürür hem de iş sürekliliği riski yaratır.
2. Bilgi Toplama (Reconnaissance)
Pentester, hedef kurum hakkında açık kaynaklardan (OSINT) bilgi toplar: alt alan adları, e-posta formatları, çalışan listeleri, kullanılan teknolojiler, sızdırılmış kimlik bilgileri. Bu adım, sonraki saldırı vektörlerinin kalitesini doğrudan belirler.
3. Tarama ve Numaralandırma (Scanning & Enumeration)
Açık portlar, çalışan servisler, sürüm bilgileri, kullanıcı listeleri, dosya paylaşımları gibi teknik detaylar harekete geçer. Nmap, Nessus, Burp Suite, Nikto gibi araçlar kullanılır; ancak çıktıların insan tarafından doğrulanması şarttır.
4. Sömürü (Exploitation)
Tespit edilen zaafiyetlerden hangilerinin gerçekten sömürülebildiği denenir. Hedef; sistemde yetki kazanmak, kullanıcı oturumu çalmak, hassas veriye erişmek ya da yönetim arayüzüne sızmaktır. Her sömürü kanıtla (PoC) belgelendirilir.
5. Sonradan Sömürü (Post-Exploitation)
Sızılan sistemden başka sistemlere geçiş (lateral movement), yetki yükseltme (privilege escalation), kalıcılık (persistence) ve veri sızdırma (exfiltration) senaryoları çalıştırılır. Bu aşama, gerçek bir APT (gelişmiş ısrarcı tehdit) senaryosunun en gerçekçi simülasyonunu sağlar.
6. Raporlama (Reporting)
Bulgular iki katmanda raporlanır:
- Yönetici özeti: Risk düzeyi, iş etkisi, ana bulguların hikayesi (3-5 sayfa).
- Teknik rapor: Her bulgu için açıklama, etki, kanıt ekran görüntüleri, CVSS skoru, çözüm önerisi.
TSE onaylı sızma testi raporu, BDDK denetimlerinde, KVKK uyum dosyalarında ve kamu ihalelerinde resmi delil olarak kullanılabilir.
7. Doğrulama (Re-test)
Kurum giderim çalışmalarını tamamladıktan sonra, kapanan zaafiyetlerin gerçekten kapandığı yeniden test edilir ve kapanış raporu hazırlanır. Bu adım, kurumsal denetim için olmazsa olmazdır.
Hangi Yöntem ve Standartlara Göre Yapılır?
Profesyonel pentest, “ad-hoc” değil; uluslararası kabul görmüş çerçevelerle yürütülür:
- OWASP (Open Web Application Security Project): Web uygulama testlerinin global standardı. Top 10 listesi ve WSTG (Web Security Testing Guide) referans alınır.
- OWASP MASVS: Mobil uygulama güvenlik doğrulama standardı.
- OSSTMM (Open Source Security Testing Methodology Manual): ISECOM tarafından yayınlanan kapsamlı metodoloji.
- NIST SP 800-115: ABD Standartlar Enstitüsü’nün teknik test rehberi.
- PTES (Penetration Testing Execution Standard): Sızma testi süreci için sektör standardı.
- TS 13638: Türk Standartları Enstitüsü’nün sızma testi hizmeti standardı; TSE onaylı sızma testi firmaları bu çerçevede çalışır.
- ISO/IEC 27019 & 27001: Bilgi güvenliği yönetim sistemi içinde pentest gerekliliği.
TSE Onaylı Sızma Testi mi Arıyorsunuz?
Belgesert; 15+ yıl deneyim, TSE A Sınıfı sertifikası ve TS 13638 standardına uygun raporlama ile şirketinizin siber güvenlik denetimini titizlikle yürütür. Web, mobil, ağ, AD, SCADA — tüm pentest çeşitlerinde tek elden hizmet.
Ücretsiz Keşif Görüşmesi Talep Et →Sıkça Sorulan Sorular
Sızma testi yasal mı?
Evet, ancak yazılı izin (engagement letter) şarttır. Yetkili olmadan yapılan her test 5237 sayılı Türk Ceza Kanunu’nun bilişim suçları kapsamına girer. Profesyonel pentest firmaları bu izin sözleşmesini standart sürecin parçası olarak imzalar.
Sızma testi ne kadar sürer?
Kapsama bağlı olarak 5 iş günü ile 4 hafta arasında değişir. Tek web uygulaması 5-7 gün, kapsamlı kurumsal ağ 2-4 hafta sürebilir. Raporlama bu sürenin üzerine ortalama 3-5 iş günü daha eklenir.
Sızma testi yapılırken sistemler çöker mi?
Profesyonel pentest, üretim sistemleri için düşük etkili saldırı modları kullanır ve agresif testler önceden müşteriyle planlanır. EKS/SCADA gibi kritik altyapılarda kesinlikle çökme yapmayan pasif metodolojiler tercih edilir. Yine de iyi bir sözleşmede her zaman bir “acil durum kapama” protokolü tanımlanır.
Yılda kaç kez sızma testi yaptırmalıyız?
Genel kabul; yılda en az 1 kez tam kapsam pentest, ek olarak her büyük yazılım sürümünden sonra ilgili modülün re-test edilmesidir. BDDK düzenlemesindeki kurumlar için yıllık zorunluluk söz konusudur.
Sızma testi raporu kimde kalır?
Rapor müşteriye aittir. Profesyonel firmalar gizlilik sözleşmesi (NDA) çerçevesinde raporu şifreli olarak teslim eder ve kendi sistemlerinde belirli bir süre sonra siler. Belgesert’te raporlar TSE onaylı süreç gereği şifreli arşivde 12 ay tutulur, sonra güvenli imha edilir.
Sızma testi mi açıklık taraması mı yaptırmalıyız?
İkisi farklı amaçlara hizmet eder. Açıklık taraması sürekli (haftalık/aylık) yapılan otomatik bir hijyen kontrolüdür. Sızma testi ise yıllık derin denetimdir. İdeal güvenlik programı her ikisini birlikte kullanır.
Bizim Pratikten Notumuz
Sahada en çok şahit olduğumuz hatadan başlayalım. Sızma testi, çoğu kurumda hâlâ “denetimden geçtik” diyebilmek için yapılan bir kutu-işaretleme egzersizine dönüşüyor. Oysa testin gerçek değeri, raporu aldıktan sonra başlıyor. Tespit edilen bir SQL injection iki hafta sonra üretimde aynen duruyorsa, o pentest’in pratik bir karşılığı yok demektir.
Yıllar içinde gözlemlediğimiz net bir şey var: testten en çok faydayı sağlayan müşteriler, bulguları ilk hafta içinde yazılım ekiplerinin sprint planına yediriyor. En az faydalananlar ise raporu PDF olarak arşivleyip “iş bitti” diye geçiyor. Aradaki fark, çoğu zaman testin kalitesinden değil, sonrasındaki tutumdan geliyor.
Bir başka pratik gözlem: küçük bir kapsamla başlayıp her yıl genişletmek, “her şeyi bir kerede testleyelim” yaklaşımından çok daha verimli. İlk yıl dış ağ + ana web uygulaması, ikinci yıl mobil + iç ağ, üçüncü yıl AD + sosyal mühendislik gibi bir yol haritası, hem bütçeyi hem de iyileştirme kapasitenizi zorlamıyor.
Şirketinize uygun pentest kapsamını birlikte konuşmak isterseniz, Belgesert ekibi olarak hem süreç tasarımında hem de TS 13638 uyumlu raporlamada size yardımcı oluruz. Ön görüşme ücretsiz; iletişim formundan ulaşabilirsiniz.