Security & Cybersecurity serimizin bir parçası
Tam kılavuzu okuyunİşletmeler için Sızma Testi Kılavuzu: Kapsam, Yöntemler ve Çözüm
Sızma testi (pentest), saldırganlardan önce güvenlik açıklarını bulmak için sistemlerinize yönelik gerçek dünya saldırılarını simüle eder. Otomatik güvenlik açığı taramasından farklı olarak sızma testi, saldırganlar gibi düşünen, güvenlik açıklarını birlikte zincirleyen ve savunmanızı otomatik araçların yapamayacağı şekillerde test eden yetenekli güvenlik profesyonellerini içerir.
Coalfire araştırması, sızma testlerinin yüzde 73'ünün en az bir kritik güvenlik açığı keşfettiğini ve yüzde 42'sinin sistem güvenliğini tamamen ihlal edecek bir yol bulduğunu gösteriyor. Ancak birçok kuruluş penetrasyon testlerini yetersiz şekilde yürütüyor; kapsamı çok dar tutuyor, yanlış satıcıyı seçiyor veya bulgulara göre harekete geçmiyor. Bu kılavuz, penetrasyon testi yatırımınızdan maksimum değeri elde etmenizi sağlar.
Sızma Testi Türleri
| Tür | Kapsam | Tipik Süre | Maliyet Aralığı |
|---|---|---|---|
| Harici ağ | İnternete yönelik sistem ve hizmetler | 3-5 gün | 5 bin dolar - 25 bin dolar |
| Dahili ağ | Ağ içinden erişilebilen sistemler | 3-7 gün | 8 bin dolar - 30 bin dolar |
| Web uygulaması | Özel web uygulamaları | Uygulama başına 3-10 gün | Uygulama başına 5.000 $ - 20.000 $ |
| Mobil uygulama | iOS ve/veya Android uygulamaları | Platform başına 3-7 gün | Platform başına 5.000$-15.000$ |
| Sosyal mühendislik | Kimlik avı, vishing, fiziksel testler | 5-10 gün | 5 bin dolar - 20 bin dolar |
| Kırmızı takım | Tam düşman simülasyonu (tüm yöntemler) | 2-4 hafta | 30.000$-100.000$+ |
| Bulut güvenliği | AWS/Azure/GCP yapılandırması ve hizmetleri | 3-7 gün | 8 bin dolar - 25 bin dolar |
| API testi | API uç noktaları ve kimlik doğrulama | 3-5 gün | 5 bin dolar - 15 bin dolar |
Bilgi Düzeyleri
| Seviye | Açıklama | Simüle |
|---|---|---|
| Kara kutu | Testçinin hedef hakkında bilgisi yok | İçeriden bilgisi olmayan harici saldırgan |
| Gri kutu | Tester'da bazı bilgiler var (kimlik bilgileri, mimari belgeleri) | İlk erişim elde eden saldırgan |
| Beyaz kutu | Test Cihazının kaynak koduna ve mimariye tam erişimi vardır | İçeriden gelen tehdit, kapsamlı değerlendirme |
Sızma Testinizin Kapsamını Belirleme
1. Adım: Hedefleri Tanımlayın
| Amaç | Test Türü | Öncelik |
|---|---|---|
| PCI DSS gereksinimi 11.3'e uyun | Harici + dahili ağ | Düzenleyici |
| Başlatmadan önce yeni uygulamanın güvenliğini doğrulayın | Web uygulaması | Yüksek |
| Çalışanlarınızın kimlik avına duyarlılığını test edin | Sosyal mühendislik | Orta |
| Yönetim kurulu toplantısı öncesi tam düşman simülasyonu | Kırmızı takım | Stratejik |
| Bulut güvenliği duruşunu doğrulayın | Bulut güvenliği değerlendirmesi | Yüksek |
Adım 2: Kapsamı Tanımlayın
Şunları ekleyin:
- İnternete bakan tüm IP adresleri ve alanları
- Kritik iç sistemler (ERP, İK, finansal)
- Web uygulamaları (üretim URL'leri)
- API uç noktaları
- Bulut ortamları ve hizmetleri
- Kimlik doğrulama mekanizmaları
Hariç tutun (gerekçeyle birlikte):
- Sahibi olmadığınız üçüncü taraflarca barındırılan hizmetler
- Aktif geliştirme aşamasındaki sistemler (bunun yerine test aşaması)
- Yoğun iş saatlerinde üretim sistemleri (kapalı saatleri planlayın)
- Özel olarak izin verilmediği sürece, yıkıcı testler (DoS, veri imhası)
3. Adım: Katılım Kurallarını Belirleyin
Test başlamadan önce bunları belgeleyin:
| Kural | Şartname |
|---|---|
| Test penceresi | Hafta içi 18.00 - 06.00, hafta sonu her zaman |
| Acil durum irtibatı | [İsim, Telefon] eğer test kesintiye neden olursa |
| Sınır dışı sistemler | [Asla test edilmeyecek sistemlerin listesi] |
| Veri işleme | Test uzmanı gerçek verilere erişebilir ancak bunları dışarı sızdıramaz |
| Sosyal mühendislik kapsamı | Yalnızca e-posta kimlik avı, fiziksel erişim testi yok |
| Kullanım derinliği | Erişimi kanıtlayın ancak üretim verilerini değiştirmeyin |
| İletişim frekansı | Günlük durum güncellemesi, kritik bulgular için anında bildirim |
Sızma Testi Tedarikçisinin Seçilmesi
Değerlendirme Kriterleri
| Kriter | Ağırlık | Sorulacak Sorular |
|---|---|---|
| Sertifikalar | %20 | Ekip üyeleri arasında OSCP, CREST, GPEN, CEH var mı? |
| Deneyim | %25 | Yıllardır iş hayatında mı? Endüstri deneyimi? Benzer katılımlar mı? |
| Metodoloji | %20 | Hangi metodoloji (OWASP, PTES, NIST)? Nasıl test yapıyorlar? |
| Raporlama kalitesi | %15 | Örnek rapor görebilir misiniz? Düzeltme kılavuzu dahil mi? |
| Referanslar | %10 | Geçmişteki 3 müşterinizle konuşabilir misiniz? |
| Sigorta | %10 | Mesleki sorumluluk ve siber sigorta güncel mi? |
Kırmızı Bayraklar
- Satıcı yalnızca otomatik taramayı önerir (gerçek penetrasyon testi değil)
- Tanınmış sertifikalara sahip test kullanıcısı yok
- Son derece düşük fiyat (birden fazla gün süren bir katılım için <3 bin dolar)
- Angajman kuralları tartışması yok
- Rapor şablonunda düzeltme kılavuzu yok
- Satıcı metodolojisini açıklayamıyor
Sızma Testi Raporunuzu Anlama
Güvenlik Açığı Önem Dereceleri
| Şiddet | CVSS Puanı | Açıklama | İyileştirme Zaman Çizelgesi |
|---|---|---|---|
| Kritik | 9.0-10.0 | Sistemin anında tehlikeye atılması mümkün | 48 saat içinde |
| Yüksek | 7.0-8.9 | Önemli güvenlik etkisi | 2 hafta içinde |
| Orta | 4.0-6.9 | Orta derecede etki, özel koşullar gerektirebilir | 30 gün içinde |
| Düşük | 0.1-3.9 | Küçük etki, sınırlı yararlanılabilirlik | 90 gün içinde |
| Bilgilendirici | 0 | En iyi uygulama önerileri | Sonraki planlı bakım |
İyi Bir Rapor Neleri İçerir
- Yönetici özeti --- Teknik jargon değil, iş riski dili
- Metodoloji --- Ne test edildi ve nasıl
- Bulgular ciddiyet, kanıt ve iş etkisi ile birlikte
- Her bulgu için düzeltme kılavuzu (özel, işlem yapılabilir)
- Olumlu bulgular --- Neyi iyi yapıyorsunuz?
- Güvenliğin iyileştirilmesi için Stratejik öneriler
- **Ham veriler ve ayrıntılı teknik kanıtlar içeren Ekler
İyileştirme Süreci
Adım 1: Triyaj (1-2. Gün)
- Tüm bulguları BT ve güvenlik ekibiyle birlikte inceleyin
- Bulguları doğrulayın (yanlış pozitif değil, gerçek olduklarını onaylayın)
- Her bulgu için sahipleri atayın
- Şiddete ve iş riskine göre önceliklendirin
2. Adım: Planlayın (3-7. Gün)
| Bulma | Sahibi | İyileştirme Yaklaşımı | Zaman Çizelgesi | Bağımlılıklar |
|---|---|---|---|---|
| Girişte SQL enjeksiyonu | Geliştirici lideri | Giriş doğrulama + parametreli sorgular | 48 saat | Yok |
| Varsayılan yönetici şifresi | BT yöneticisi | Parola rotasyonu + politikanın uygulanması | 24 saat | Yok |
| Dahili API'de TLS eksik | Platform ekibi | Sertifika dağıtımı | 2 hafta | Sertifika alımı |
| Eski sunucu işletim sistemi | BT operasyonları | Yama planlama | 30 gün | Pencereyi değiştir |
3. Adım: Düzeltin (Değişir)
- Kritik ve yüksek bulguları derhal düzeltin
- Orta bulguları bir sonraki bakım penceresinde gruplayın
- Düşük bulguları gelecek çeyrek için planlayın
Adım 4: Doğrulayın (Düzeltme Sonrası)
- Kritik ve yüksek bulguların yeniden test edilmesini talep edin (çoğu satıcı sınırlı yeniden test içerir)
- İyileştirme kanıtlarını belgeleyin
- Risk kaydını güncelle
Sızma Testi Programı
| Değerlendirme | Frekans | Tetikleyici |
|---|---|---|
| Harici ağ | Yıllık (minimum) | Ayrıca büyük altyapı değişikliklerinden sonra |
| Web uygulaması | Yıllık + büyük yayınlardan önce | Yeni uygulama lansmanı, önemli güncelleme |
| Dahili ağ | Yıllık | Ayrıca ofis ağı değişikliklerinden sonra |
| Bulut güvenliği | Yıllık | Ayrıca büyük bulut mimarisi değişikliklerinden sonra |
| Sosyal mühendislik | Yılda iki kez | Devam eden kimlik avı simülasyonları bunu destekliyor |
| Kırmızı takım | 2 yılda bir | Büyük güvenlik yatırımlarından sonra yönetim kurulu düzeyinde güvence |
İlgili Kaynaklar
- Olay Müdahale Planı Şablonu --- Güvenlik açıklarından yararlanıldığında ne yapılmalı
- Sıfır Güven Uygulama Kılavuzu --- Mimari savunmalar
- Bulut Güvenliği En İyi Uygulamaları --- Buluta özgü güvenlik
- API Güvenliği ve Kimlik Doğrulaması --- Hedefe sızma testi yapan API'lerin güvenliğini sağlama
Sızma testi, güvenlik programınızın gerçeklik kontrolüdür. Güvenlik duruşunuzun ne olduğunu düşündüğünüz ile bir saldırganın bulacağı şey arasındaki boşluğu ortaya çıkarır. Güvenlik değerlendirmesi ve sızma testi koordinasyonu için ECOSIRE ile iletişime geçin.
Yazan
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE ile İşinizi Büyütün
ERP, e-Ticaret, yapay zeka, analitik ve otomasyon genelinde kurumsal çözümler.
İlgili Makaleler
E-ticaret için Yapay Zeka Dolandırıcılık Tespiti: Satışları Engellemeden Geliri Koruyun
Sahte pozitif oranları %2'nin altında tutarken, sahtekarlık işlemlerinin %95'ten fazlasını yakalayan yapay zeka sahtekarlık tespitini uygulayın. Makine öğrenimi puanlaması, davranış analizi ve yatırım getirisi kılavuzu.
E-ticaret için Siber Güvenlik: 2026'da İşletmenizi Koruyun
2026 için eksiksiz e-ticaret siber güvenlik kılavuzu. PCI DSS 4.0, WAF kurulumu, bot koruması, ödeme sahtekarlığını önleme, güvenlik başlıkları ve olaylara müdahale.
API Hız Sınırlaması: Kalıplar ve En İyi Uygulamalar
Belirteç kümesi, kayan pencere ve sabit sayaç modelleri ile ana API hızı sınırlaması. NestJS kısıtlayıcı, Redis ve gerçek dünyadan yapılandırma örnekleriyle arka ucunuzu koruyun.
Security & Cybersecurity serisinden daha fazlası
API Güvenliği 2026: Kimlik Doğrulama ve Yetkilendirme En İyi Uygulamaları (OWASP Hizalanmış)
OWASP uyumlu 2026 API güvenlik kılavuzu: OAuth 2.1, PASETO/JWT, geçiş anahtarları, RBAC/ABAC/OPA, hız sınırlama, gizli dizi yönetimi, denetim günlüğü ve en önemli 10 hata.
E-ticaret için Siber Güvenlik: 2026'da İşletmenizi Koruyun
2026 için eksiksiz e-ticaret siber güvenlik kılavuzu. PCI DSS 4.0, WAF kurulumu, bot koruması, ödeme sahtekarlığını önleme, güvenlik başlıkları ve olaylara müdahale.
Siber Güvenlik Trendleri 2026-2027: Sıfır Güven, Yapay Zeka Tehditleri ve Savunma
2026-2027 siber güvenlik trendlerine ilişkin eksiksiz kılavuz: Yapay zeka destekli saldırılar, sıfır güven uygulaması, tedarik zinciri güvenliği ve dayanıklı güvenlik programları oluşturma.
Yapay Zeka Aracı Güvenliği En İyi Uygulamaları: Otonom Sistemlerin Korunması
Anında enjeksiyon savunması, izin sınırları, veri koruma, denetim günlüğü tutma ve operasyonel güvenliği kapsayan yapay zeka aracılarının güvenliğini sağlamaya yönelik kapsamlı kılavuz.
KOBİ'ler için Bulut Güvenliği En İyi Uygulamaları: Bulutunuzu Güvenlik Ekibi Olmadan Koruyun
Bulut altyapınızı, KOBİ'lerin özel bir güvenlik ekibi olmadan uygulayabileceği IAM, veri koruma, izleme ve uyumluluk için pratik en iyi uygulamalarla güvence altına alın.
Bölgelere Göre Siber Güvenlik Düzenleme Gereksinimleri: Küresel İşletmeler için Bir Uyumluluk Haritası
ABD, AB, Birleşik Krallık, APAC ve Orta Doğu'daki siber güvenlik düzenlemelerinde gezinin. NIS2, DORA, SEC kurallarını, kritik altyapı gereksinimlerini ve uyumluluk zaman çizelgelerini kapsar.