Penetrasyon testi nedir? Sızma testi ile aynı mı?

Penetrasyon testi ile sızma testi aynı şey mi?

Evet — pratikte ikisi de aynı güvenlik değerlendirme disiplinini ifade eder. İngilizce kaynaklarda "penetration test" veya kısaca "pentest" denir; Türkçe karşılığı hem penetrasyon testi hem sızma testi olarak kullanılır. Bazı kurumlar sözleşmelerinde "penetrasyon testi", teknik ekipler "sızma testi" der; metodoloji ve çıktı formatı aynıdır.

Farklılık genellikle kapsam ve derinlikte ortaya çıkar, isimde değil. Dar kapsamlı bir web uygulaması testi de, geniş kapsamlı ağ sızma testi de penetrasyon testi kapsamındadır. Red Team operasyonları ise klasik sızma testinin ötesine geçen, uçtan uca saldırı simülasyonu ve tespit ölçümü odaklı ayrı bir hizmettir.

SG Danışmanlık projelerinde birincil kelime olarak "sızma testi" tercih edilir; ancak ihale ve mevzuat metinlerinde "penetrasyon testi" ifadesi geçtiğinde aynı hizmet kapsamı uygulanır. Raporlarda OWASP Testing Guide ve PTES (Penetration Testing Execution Standard) referansları paylaşılır.

Penetrasyon testi ne amaçla yapılır?

Penetrasyon testinin temel amacı, saldırgan perspektifinden zafiyetleri keşfetmek ve iş etkisini somutlaştırmaktır. Otomatik tarama araçları yüzeydeki bilinen açıkları bulabilir; manuel sızma testi ise iş mantığı hataları, yanlış yapılandırmalar ve zincirleme saldırı yollarını ortaya çıkarır.

BDDK, EPDK ve sektör düzenlemeleri birçok kurumdan periyodik penetrasyon testi talep eder. ISO 27001 ve KVKK uyum programlarında da teknik kontrollerin doğrulanması için sızma testi raporları kanıt olarak kullanılır. Test sonuçları yalnızca teknik ekip için değil; yönetim kuruluna sunulabilir özet ve önceliklendirilmiş aksiyon listesi olarak hazırlanmalıdır.

• Dışa açık saldırı yüzeyinin haritalanması
• Kritik uygulama ve API katmanında zafiyet doğrulama
• Ağ segmentasyonu ve lateral movement yollarının testi
• Kimlik doğrulama ve yetkilendirme zayıflıklarının tespiti
• Bulut yapılandırma hatalarının (misconfiguration) bulunması

Penetrasyon testi türleri

Black box testte test ekibi kurum hakkında sınırlı bilgiyle dışarıdan saldırır; gerçek dünya tehdit modeline en yakın senaryodur. Gray box testte sınırlı iç erişim veya dokümantasyon verilir; test süresi verimli kullanılır. White box testte mimari diyagramlar, kaynak kod erişimi veya admin hesapları paylaşılır; derinlemesine kod ve yapılandırma incelemesi yapılır.

Web uygulaması sızma testi OWASP Top 10 odaklıdır: enjeksiyon, broken authentication, SSRF, güvensiz tasarım gibi başlıklar manuel ve yarı otomatik araçlarla doğrulanır. Ağ penetrasyon testi firewall kuralları, iç ağ segmentasyonu ve Active Directory yapılandırmasını kapsayabilir. Mobil ve API testleri modern kurumsal mimarilerde ayrı kapsam maddeleri olarak planlanır.

Penetrasyon testi süreci nasıl işler?

Tipik bir sızma testi projesi keşif, tehdit modelleme, istismar (exploitation), post-exploitation ve raporlama aşamalarından oluşur. Keşifte pasif ve aktif bilgi toplama yapılır; dış DNS kayıtları, alt alan adları ve teknoloji parmak izi çıkarılır. Test penceresi ve acil durum iletişim hattı yazılı protokolle netleştirilir.

İstismar aşamasında bulguların gerçekten iş etkisi yaratıp yaratmadığı doğrulanır; gereksiz servis kesintisi veya veri bütünlüğü riski oluşturulmaz. Raporlama aşamasında her bulgu için CVSS veya kurum içi risk skoru, yeniden üretim adımları, kapatma önerisi ve sorumlu ekip atanır. Kritik bulgular test süresi içinde müşteriye iletilir.

Düzeltmeler tamamlandıktan sonra yeniden test (retest) yapılarak kapanış doğrulanır. Bu döngü, penetrasyon testini tek seferlik bir denetimden sürdürülebilir güvenlik iyileştirme aracına dönüştürür.

Sızma testi ile Red Team arasındaki fark

Klasik penetrasyon testi belirli sistemleri ve zafiyetleri hedefler; çıktı ağırlıklı olarak bulgu listesi ve teknik rapordur. Red Team operasyonu ise MITRE ATT&CK çerçevesine uygun saldırı senaryolarıyla savunma ekibinin tespit ve müdahale kabiliyetini ölçer. Sosyal mühendislik, kimlik bilgisi ele geçirme ve uzun süreli kalıcılık (persistence) Red Team kapsamına girebilir.

Penetrasyon testi "nerede açık var?" sorusuna yanıt verir; Red Team "savunma bunu ne kadar hızlı görür ve durdurur?" sorusunu test eder. Birçok kurum önce yıllık sızma testi ile temel zafiyetleri kapatır, olgunluk arttıkça Red Team ve Purple Team çalışmalarına geçer.

Penetrasyon testi ne sıklıkla yaptırılmalı?

Düzenleyici gereksinimler genellikle yılda en az bir kez dışa açık sistemler için test öngörür. Büyük değişiklikler — yeni uygulama lansmanı, birleşme, bulut migrasyonu veya büyük altyapı güncellemesi — sonrasında ek test planlanmalıdır.

Sürekli teslimat (CI/CD) ortamlarında otomasyonla desteklenen güvenlik testleri penetrasyon testinin yerini tutmaz; ancak test aralığını makul seviyede tutmaya yardımcı olur. Nihai doğrulama için saha deneyimli ekiplerin manuel sızma testi hâlâ altın standart kabul edilir.

Penetrasyon testi planlarken dikkat edilecekler

Test kapsamı yazılı sözleşmede net tanımlanmalı; dışarıda bırakılan sistemler ve test yöntemleri (sosyal mühendislik dahil/hariç) belirtilmelidir. Kritik üretim sistemlerinde rollback planı ve acil durum iletişim hattı zorunludur.

Kurumsal sızma testi hizmetimiz sızma testi sayfamızda detaylı olarak açıklanmıştır. Savunma kapasitesini ölçmek isteyen kurumlar Red Team hizmetlerimizi değerlendirebilir; tespit iyileştirmesi için Purple Team oturumları planlanabilir.

Sektörel penetrasyon testi beklentileri

Sektör gereksinimleri kapsam genişliğini belirler; metodoloji aynı kalır. Rapor formatı denetim ekiplerinin beklediği kanıt setini içermelidir.

• Finans: BDDK ve PCI-DSS kapsamında yıllık test ve retest
• Enerji: SCADA/OT segmentasyonu ve izole test pencereleri
• Kamu: onaylı test protokolü ve gizlilik gereksinimleri
• Teknoloji: API, bulut ve CI/CD pipeline güvenlik testleri

Pratik kontrol listesi

• Test kapsamı ve dışarıda bırakılan sistemler yazılı mı?
• Acil durum iletişim hattı ve test penceresi tanımlı mı?
• Üretim verisi test ortamında maskelenmiş mi?
• Kritik bulgular için kapatma SLA'sı belirlendi mi?
• Retest ve kapanış raporu süreci planlandı mı?

Sonuç

Penetrasyon testi ve sızma testi aynı disiplini tanımlar; ikisi de kontrollü koşullarda zafiyet keşfi ve raporlama sürecidir. Kurumunuzun ihtiyacına göre web, ağ, API veya bulut odaklı kapsam belirlenir; gerektiğinde Red Team ile savunma ölçümüne geçilir.

Sızma testi hizmetlerimiz hakkında bilgi almak ve ücretsiz ön değerlendirme talep etmek için iletişim sayfamızdan bize ulaşın.

Ücretsiz ön değerlendirme için iletişim sayfamızdan bize ulaşın veya hizmetlerimiz sayfasından kapsamı inceleyin.