Sızma Testi Nedir Ve Neden Yapılır?

Dijital dönüşümün hızlanmasıyla birlikte kurumsal sistemler her geçen gün daha karmaşık ve daha geniş bir saldırı yüzeyine sahip hale gelmiştir. Bu yüzeyin gerçek anlamda korunması yalnızca güvenlik duvarı ve antivirüs gibi savunma katmanlarıyla mümkün değildir. Sistemlerin saldırgan gözüyle test edilmesi, açıkların tespit edilmesi ve riskin somut iş etkisiyle skorlanması gerekir. Sızma testi tam olarak bu işi yapan bağımsız ve kontrollü bir güvenlik çalışmasıdır.

Sızma Testi Nedir?

Sızma testi, etik ve sertifikalı güvenlik uzmanlarının kurum sistemlerine kontrollü saldırılar düzenleyerek mevcut güvenlik açıklarını istismar etmeden raporlama sürecidir. Çalışma; web uygulamaları, mobil uygulamalar, REST veya GraphQL API servisleri, ağ altyapısı, sunucu, aktif cihaz, bulut yapılandırması ve endüstriyel kontrol sistemlerini kapsayabilir.

Bu çalışma otomatik bir tarama aracının çıktısının ötesinde, saldırgan zihniyetiyle senaryolanmış manuel analiz içerir. Çıkan rapor; teknik bulguların iş etkisini, önceliklendirmeyi ve kapatma yol haritasını netleştirir. Süreç sonunda kurum gerçek bir saldırgandan önce kendi açıklarını görmüş olur.

Sızma Testi Neden Gereklidir?

Bir kurumun siber güvenlik duruşu yalnızca iç ekibin denetimleriyle ölçülemez. İç ekipler kendi tasarladıkları sistemi belirli bir tarafgirlikle değerlendirir ve dış saldırgan bakışını yakalayamaz. Bağımsız bir sızma testi bu kör noktayı kapatır.

Sızma testi günümüzde şu nedenlerle artık opsiyonel değildir:

• Veri ihlali sonrası KVKK kapsamında uygulanan idari para cezaları çoğu zaman milyonlarla ölçülmektedir
• ISO 27001, BDDK, SPK ve TCMB regülasyonları düzenli sızma testi raporu zorunluluğu tanımlamaktadır
• Siber sigorta poliçesi onayları ve underwriting süreçleri sızma testi raporuna doğrudan dayanmaktadır
• 7545 sayılı Siber Güvenlik Kanunu ile birlikte kamu kurumlarında penetrasyon testi yasal zorunluluk olmuştur
• Bulut, mobil ve tedarik zinciri entegrasyonları saldırı yüzeyini sürekli genişletmektedir

Sızma Testi Süreci Nasıl İşler?

Profesyonel bir sızma testi süreci uluslararası kabul görmüş metodolojilere dayanır. OSSTMM operasyonel güvenlik kontrollerini, OWASP web ve API güvenliğini, PTES tüm pentest sürecini uçtan uca standartlaştırır.

Kurumsal sızma testi süreci genellikle aşağıdaki evrelerden oluşur:

1. Pre-engagement evresi: Kapsam, hedef sistemler, test pencereleri ve kuralların yazılı olarak netleştirilmesi
2. Bilgi toplama evresi: OSINT, pasif keşif ve aktif servis tespitinin birleştirilerek hedef profilinin çıkarılması
3. Tehdit modelleme: Varlıkların kritikliklerinin değerlendirilmesi ve olası saldırgan profillerinin dokümante edilmesi
4. Zafiyet analizi ve istismar: Otomatik tarama bulgularının manuel doğrulanması ve kontrollü PoC üretilmesi
5. Post-exploitation: Erişim sonrası yatay hareket, ayrıcalık yükseltme ve veri sızdırma simülasyonu
6. Raporlama: Bulguların CVSS metodolojisiyle skorlanması ve yönetici özetiyle teslim edilmesi

Bu evrelerin her biri raporda ayrı bir bölüm olarak belgelenir. Profesyonel bir sızma testi çalışmasının kalitesi doğrudan raporun derinliğine ve bulguların somut iş etkisiyle skorlanmasına bağlıdır.

Sızma Testi Türleri ve Test Kapsamı

Sızma testleri test ekibine verilen bilgi seviyesine göre üç ana modelde uygulanır. Her model farklı bir saldırgan senaryosunu temsil eder ve farklı bir derinlik sunar.

Yaygın test modelleri şunlardır:

• Black Box: Test ekibine sistem hakkında hiçbir ön bilgi verilmez. Dış saldırganın bakış açısıyla yürütülür ve gerçek dünya senaryosuna en yakın modeldir.
• Gray Box: Ekibe kısıtlı bilgi verilir. Standart kullanıcı düzeyinde erişim sağlanarak içeriden tehdit senaryosu test edilir.
• White Box: Tüm sistem mimarisi, kaynak kod ve yapılandırma test ekibiyle paylaşılır. En kapsamlı ve detaylı modeldir.

Test kapsamı genellikle web ve mobil uygulamalar, REST veya GraphQL API servisleri, ağ altyapısı, sunucu, aktif cihaz, bulut yapılandırmaları ve OT/SCADA endüstriyel sistemler şeklinde belirlenir. Kapsam sistem mimarisine ve sektör regülasyonuna göre kuruma özel tasarlanır.

Sızma Testi ile Zafiyet Taraması Arasında Ne Fark Vardır?

Bu iki kavram sıkça birbirine karıştırılır, ancak teknik içerikleri ve sundukları değer birbirinden tamamen farklıdır. Aşağıdaki tablo iki yöntemin temel farklarını özetlemektedir.

Zafiyet taraması bir saatlik otomatik kontroldür ve hızlı bir fotoğraf sunar. Sızma testi ise gerçek bir saldırgan senaryosuyla yürütülür ve iş etkisini somutlaştırır.

Yasal Yükümlülükler ve Regülasyon Çerçevesi

Türkiye’de sızma testi alanı 2025 sonrası yeni bir yasal çerçeveye girdi. 12 Mart 2025 tarihinde yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu bu alandaki dağınık mevzuatı tek çatı altında topladı ve yaptırımları sertleştirdi.

Yeni düzenlemenin getirdiği kritik unsurlar şunlardır:

• Kamu kurumları, belediyeler ve kritik altyapı işletmeleri için penetrasyon testi yasal zorunluluk haline gelmiştir
• Yapmayan kurumlar için 10 milyon TL’ye kadar idari para cezası ve yöneticiler için hapis cezası riski tanımlanmıştır
• Siber Güvenlik Başkanlığı kurulmuş ve sektörel denetim yetkilendirmesi netleştirilmiştir
• TSE TS 13638/T2 standardı kapsamında firmalar A, B ve C Sınıfı olarak sınıflandırılmıştır
• A Sınıfı yetki en kritik kamu ve sanayi ağlarında test yapma ehliyeti olarak tanımlanmıştır

Sektörel regülasyonlar (BDDK, SPK, TCMB, KVKK Kurumu) ise kendi denetim çerçevelerinde sızma testi raporunu zorunlu doküman olarak kabul etmektedir.

Sızma Testi Firması Seçim Kriterleri

Doğru bir sızma testi firması seçimi kampanyanın değerini doğrudan belirler. Standart kontrol listesinden geçmeyen bir firmayla yürütülen test denetimlerde kabul görmez ve regülasyon riskini ortadan kaldırmaz.

Firma seçiminde öncelikli kriterler şunlardır:

• TSE TS 13638/T2 kapsamında verilmiş A Sınıfı yetki belgesi
• ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası
• Min Kıdemli, Sertifikalı, Kayıtlı uzmanlar dahil beş kişilik TC vatandaşı kadro
• CEH, OSCP, CISSP, CISA, GPEN, LPT gibi uluslararası sertifikalara sahip uzmanlar
• OSSTMM, OWASP ve PTES metodolojilerine uyumlu çalışma yapısı
• Sektörel referans havuzunun zenginliği ve saha tecrübesi

Nesil Teknoloji TSE-STF-065 numaralı A Sınıfı yetki, CREST üyeliği ve 400+ kurumsal referansıyla bu kriterlerin tamamını karşılayan bir sızma testi firmasıdır.

Sıkça Sorulan Sorular

Sızma testi hizmet kesintisine yol açar mı?

Profesyonel bir sızma testi hizmet sürekliliğini bozmadan yürütülecek şekilde planlanır. Test takvimi sistem yoğunluğu ve değişiklik pencereleri dikkate alınarak operasyon ekibiyle birlikte belirlenir. Kritik testler için önceden etki analizi yapılır, gerekirse üretim dışı klon ortamlar kullanılır. Ekiple anlık iletişim için sıcak hat protokolü tanımlanır.

Sızma testi ne sıklıkta tekrarlanmalıdır?

Genel kabul görmüş öneri yılda en az bir kez tekrarlama yönündedir. Bunun yanı sıra kritik mimari değişiklikler, büyük versiyon geçişleri ve yeni sistem canlıya alımı her seferinde yeniden test gerektirir. BDDK gibi sektörel düzenleyiciler belirli sistemler için altı aylık veya yıllık periyotlar tanımlamaktadır.

Test sırasında kurumsal veriler korunmakta mıdır?

Tüm sızma testi süreci imzalı gizlilik sözleşmesi (NDA) çerçevesinde yürütülür. Test ekibi sistemlere erişebilir, ancak kişisel verileri kopyalamak, okumak veya dışarı çıkarmak sözleşmeyle açıkça yasaklanır. Bulgular yalnızca tespit ve kanıt amacıyla raporlanır. Raporda yer alan teknik bilgiler sadece kurumla paylaşılır.

A Sınıfı yetki belgesi ne anlama gelir?

A Sınıfı yetki belgesi TSE TS 13638/T2 standardı kapsamında verilen en yüksek seviyeli sızma testi yetkisidir. Bu belge firmaya en kritik kamu ve sanayi ağlarında test yapma ehliyeti verir. Belgenin alınması ISO 27001 sertifikası, sertifikalı uzman kadrosu ve titiz denetim süreci gerektirir.

Daha fazla bilgi ve iletişim için https://www.nesilteknoloji.com/penetrasyon-testi/ web sitesini ziyaret edebilirsiniz.