- 8 ana sızma testi türü vardır: dış/iç ağ, web, mobil, kablosuz, sosyal mühendislik, kaynak kod ve EKS/SCADA.
- Doğru tür varlığınıza ve risk profilinize göre seçilir; her kuruma her şey gerekmez.
- Çoğu orta ölçekli kurum yılda 2-4 farklı türü birlikte yaptırır.
- E-ticaret: web + API + phishing. Banka: tüm türler. Üretim: EKS/SCADA + iç ağ.
- Bütçeniz sınırlıysa en kritik 2 varlığa odaklanın; her yıl kapsamı genişletin.
“Sızma testi yaptıracağız” cümlesini duyduğumuzda ilk sorduğumuz şey şu: hangi tür? Çünkü pentest tek bir hizmet değil; saldırı yüzeyine ve hedeflenen varlığa göre 8 farklı türü vardır. Bu yazıda her birini sade dille anlatıp, şirketinizin profiline göre hangi kombinasyonun mantıklı olduğunu açıklayacağız.
1. Dış Ağ Sızma Testi
İnternet üzerinden erişilebilen tüm varlıklarınızı (web sunucu, e-posta sunucu, VPN ucu, dış DNS) bir saldırgan gözüyle test eder. Çoğu kurum için ilk yapılması gereken pentest türüdür çünkü saldırganlar da çoğunlukla dış yüzeyden başlar.
2. İç Ağ Sızma Testi
Saldırganın ofis ağına girdiğini varsayarak yapılır. Active Directory ortamında Kerberoasting, AS-REP Roasting, NTLM relay, lateral movement gibi senaryolar çalıştırılır. Hedef genelde domain admin yetkisi elde etmektir. Saha gözlemi: çoğu Türk kurumunda iç ağ testi 3-5 günde domain admin’e çıkar; bu çok yaygın bir durumdur.
3. Web Uygulama Sızma Testi
OWASP Top 10 başta olmak üzere SQLi, XSS, IDOR, SSRF, deserialization, authentication bypass gibi web tabanlı zaafiyetlerin tamamını kapsar. E-ticaret, kurumsal portal, müşteri panelleri, admin arayüzleri için olmazsa olmazdır.
4. Mobil Uygulama Sızma Testi
Android ve iOS uygulamalar için OWASP MASVS standardına göre statik analiz, dinamik analiz, reverse engineering ve API güvenliği değerlendirilir. Banka, fintech, e-ticaret için öncelikli; uygulamanızı App Store / Play Store’a çıkarmadan önce yaptırmak en mantıklısı.
5. Kablosuz Ağ Sızma Testi
Kurum Wi-Fi’sinin şifreleme yapısı, sahte erişim noktaları (rogue AP), evil twin saldırıları ve PMKID saldırıları test edilir. Birden fazla şubesi olan kurumlar için özellikle önemli — saldırgan park alanından bağlanabilir.
TSE Onaylı Sızma Testi Düşünüyorsanız
Belgesert; 15+ yıl deneyim, TSE A Sınıfı sertifikası ve TS 13638 standardına uygun raporlama ile şirketinizin pentest sürecini titizlikle yürütür. Ön görüşme ücretsizdir.
Ücretsiz Keşif Görüşmesi Talep Et →6. Sosyal Mühendislik Testi
Phishing simülasyonu, vishing (telefon dolandırıcılık simülasyonu), USB drop ve fiziksel sızma testleri ile insan faktörü ölçülür. Saha gözlemi: en sofistike teknik altyapıya sahip kurumlarda bile çalışan farkındalığı zayıfsa saldırganlar oradan girer. Çalışan farkındalık programınız için baseline ölçüm aracıdır.
7. Kaynak Kod Analizi (Secure Code Review)
Yazılım kaynak kodu, statik analiz araçları ve uzman gözüyle zaafiyet açısından incelenir. Web/mobil pentest dışarıdan bakar; kaynak kod analizi içeriden bakar. İkisi birlikte çok daha güçlü bir resim verir. Özellikle finans sektörü ve PCI-DSS uyumu olan kurumlar için önerilir.
8. EKS / SCADA Sızma Testi
Endüstriyel kontrol sistemleri (PLC, RTU, HMI) için ISO 27019 uyumlu, üretimi durdurmadan yapılan özel testlerdir. Enerji, üretim, su, kimya, ulaşım sektörleri için kritik. Yanlış yapılan bir EKS testi üretimi durdurabileceği için özel sertifikalı pentester gerektirir.
Şirket Profilinize Göre Kombinasyon Önerisi
| Sektör | Önerilen Pentest Türleri | Tahmini Yıllık Süre |
|---|---|---|
| Banka / Finans | Tüm türler (yıllık zorunlu) | 8-12 hafta |
| E-ticaret | Web + API + Phishing + Kod analizi | 3-4 hafta |
| Üretim / Enerji | EKS/SCADA + İç ağ + Sosyal mühendislik | 3-5 hafta |
| Yazılım / SaaS | Web + API + Mobil + Kod analizi | 3-4 hafta |
| Kamu / Belediye | Dış ağ + Web + Sosyal mühendislik | 2-3 hafta |
| KOBİ (genel) | Dış ağ + Ana web uygulaması + Phishing | 2 hafta |
Sıkça Sorulan Sorular
Aynı anda kaç tür sızma testi yaptırmalıyım?
Çoğu orta ölçekli kurum yıllık 2-4 farklı türü kombinler: dış ağ + ana web uygulaması + mobil + sosyal mühendislik gibi. İlk yıl temel iki türle başlamak makul.
Kapsamı en geniş hangi tür?
Red team egzersizi en geniş kapsamlı saldırı simülasyonudur — birden fazla pentest türünü birleştirir. Ama her kurumun ihtiyacı bu değildir.
E-ticaret sitem var, hangi pentest türleri uygun?
Web uygulama + API + sosyal mühendislik (phishing) en kritik üçlüsü. Ödeme işliyorsanız ek olarak kaynak kod analizi önerilir.
Üretim tesisim var, hangi tür?
EKS/SCADA pentest + iç ağ testi + sosyal mühendislik. Operasyonu durdurmayan pasif metodoloji şart.
Mobil uygulamamı yeni çıkardım, ne yapmalıyım?
OWASP MASVS uyumlu mobil pentest + arka API’lerinin web pentest’i + 6 ay sonra re-test. Uygulamayı çıkarmadan önce yapılması ideal.
Bizim Pratikten Notumuz
Sıkça karşılaştığımız bir hata: kurum, bütçe sınırı yüzünden “her şeyi yarım yarım yapalım” diyor ve sonuçta hiçbiri derinlemesine yapılamıyor. Yıl sonunda ellerinde 80 sayfa sığ rapor kalıyor, hiçbir şey gerçekten kapanmıyor. Bunun yerine ilk yıl en kritik iki varlığı seçip detaylıca test ettirin; ertesi yıl kapsamı genişletin. Bu yaklaşım hem bütçeyi hem de iyileştirme kapasitenizi rahat tutar.
Şirketiniz için hangi türlerin doğru kombinasyon olduğunu konuşmak isterseniz, bize ulaşın — sektörünüze özel kapsam önerisi hazırlayalım.