- Açıklık taraması: Otomatik araç, bilinen zaafiyet imzalarını arar.
- Sızma testi: İnsan zekâsı + araçlar, sömürülebilirliği kanıtlar.
- Açıklık taraması haftalık/aylık, sızma testi yıllık yapılır.
- İkisi birbirini tamamlar, yerine geçmez.
- İdeal: sürekli açıklık taraması + yıllık tam kapsam pentest.
“Açıklık taraması yaptırdık, pentest gerek yok” — bu cümleyi sahada en az haftada bir kez duyarız. Ama ikisi farklı amaçlara hizmet eder; biri diğerinin yerine geçemez. İşte 7 temel fark.
1. Yöntem Farkı
Açıklık taraması bir araçla yapılır — Nessus, Qualys, OpenVAS gibi. Sistem tarafına bilinen zaafiyet imzalarını gönderir, eşleşen olursa raporlar.
Sızma testi insan tarafından yürütülür. Pentester, küçük zaafiyetleri zincirleyerek karmaşık saldırı senaryoları yaratır.
2. Çıktı Farkı
Açıklık taraması çıktısı: “Sunucuda eski Apache sürümü var, CVE-2023-XXXX’e açık olabilir” → şüphe.
Sızma testi çıktısı: “Şu zaafiyet sömürüldü, şu sayfaya yetkisiz erişim sağlandı, şu veritabanı dökümü alındı, kanıt ekran görüntüsü ektedir” → kanıt.
3. Yanlış-Pozitif Oranı
Açıklık tarayıcılarında %30-50 oranında yanlış-pozitif görmek normaldir. Ekipler “raporu süzme” işine günler harcar.
Sızma testinde her bulgu manuel doğrulanır; yanlış-pozitif oranı %5’in altındadır.
4. Süre Farkı
Açıklık taraması: 1-4 saat (otomatik). Sızma testi: 5-30 iş günü (manuel emek).
5. Maliyet Farkı
Açıklık taraması yıllık abonelikle 50-300K ₺ (kurum ölçeğine göre). Sızma testi proje başına 50-500K ₺.
TSE Onaylı Sızma Testi Düşünüyorsanız
Belgesert; 15+ yıl deneyim, TSE A Sınıfı sertifikası ve TS 13638 standardına uygun raporlama ile şirketinizin pentest sürecini titizlikle yürütür. Ön görüşme ücretsizdir.
Ücretsiz Keşif Görüşmesi Talep Et →6. Mevzuat Değeri
BDDK, ISO 27001, KVKK denetimlerinde kabul gören delil sızma testidir, açıklık taraması değil. Açıklık taraması raporu olsa bile auditörler “pentest raporu nerede?” diye sorar.
7. Yeni Saldırı Senaryolarına Tepki
Açıklık tarayıcıları sadece bilinen zaafiyetleri görür. Sıfır gün (zero-day) ya da iş mantığı (business logic) hatalarını yakalayamaz. Sızma testi insan yaratıcılığı sayesinde bu boşlukları doldurur.
İkisini Birlikte Kullanmak: İdeal Yapı
- Haftalık/aylık: Otomatik açıklık taraması — temel hijyen kontrolü
- Yılda 1: Tam kapsam manuel sızma testi — derin denetim
- Sürüm sonrası: Hedefli kısmi pentest — değişen modüller için
- Sürekli izleme: CVE feed bağlantısı, kritik açıklara anlık tepki
Sıkça Sorulan Sorular
Açıklık taraması yaptıysam pentest gerek var mı?
Evet, kesinlikle. Açıklık taraması otomatik bir kontrol; pentest insan zekâsıyla yapılan derin denetim. İkisi farklı amaçlara hizmet eder.
Sadece pentest yapsam yeterli mi?
Yıllık tam kapsam pentest çoğu kurumun temel ihtiyacı. Ama haftalık/aylık otomatik açıklık taraması arada güvence sağlar.
Ücretsiz açıklık tarayıcıları işime yarar mı?
OpenVAS, Nikto gibi araçlar ücretsiz ve faydalı. Ama yorumlama uzmanı gerektirir, yanlış-pozitif çoktur.
Açıklık tarama hangi sıklıkta yapılmalı?
Üretim sistemlerinde aylık veya haftalık otomatik tarama, her büyük değişiklik sonrası ek tarama önerilir.
Bizim Pratikten Notumuz
Bir holding güvenlik ekibi bize geldi: “Aylık taramada 1.200 zaafiyet çıkıyor, hangisini kapatacağımızı bilmiyoruz.” İlk yaptığımız iş aylık tarama raporunu durdurmaktı; ardından önceliklendirme matrisi kurduk: kritik açıklar otomatik ticket’a düşüyor, gerisi kuyruğa giriyor. Çok rapor değil, doğru rapor — sahanın asıl ihtiyacı bu.
Açıklık taraması ve sızma testi süreçlerinizi birlikte tasarlamak isterseniz, bize ulaşın.