Sızma testi hizmeti, çoğu kurum için bir proje kalemi gibi başlar. Bütçe ayrılır, birkaç teklif toplanır ve süreç başlatılır. Ancak penetrasyon testi (pentest) sıradan bir satın alma değildir. Yanlış bir seçim yapıldığında sorun yalnızca eksik bir rapor olmaz, kurumun gerçek resmi görmemesine neden olur.
13 yılı aşkın süredir farklı sektörlerde yürüttüğümüz kurumsal sızma testi ve zafiyet analizi çalışmalarında aynı hataların tekrarlandığını görüyoruz. Bu hatalar teknik detaylardan çok, karar aşamasında yapılan stratejik tercihlerden kaynaklanıyor.
Kurumların sızma testi firması seçerken en sık yaptığı 5 kritik hatayı aşağıdaki gibi derledik:
1. Otomatik Tarama Raporunu Sızma Testi Sanmak
En sık görülen yanılgı budur. Bir güvenlik aracı çalıştırılır, çıkan bulgular PDF’e dönüştürülür ve buna “sızma testi raporu” denir.
Gerçek şu ki; piyasada sızma testi adı altında sunulan birçok çalışma yalnızca otomatik zafiyet taramasından ibarettir. Bu tür raporlar genellikle yüksek oranda false positive üretir ve gerçek istismar senaryosu içermez.
Oysa otomatik tarama ile manuel penetrasyon testi aynı şey değildir. Otomasyon araçları bilinen açık veri tabanlarına dayanır. Manuel analiz ise saldırgan bakış açısını simüle eder, özel payload kurgular, zincirleme açıkları birleştirir ve iş mantığı kusurlarını ortaya çıkarır.
Özellikle web uygulamalarında yetkilendirme hataları, API açıkları ve karmaşık kimlik doğrulama zafiyetleri çoğu zaman yalnızca manuel analizle tespit edilir. Teknik sürecin çerçevesini detaylı görmek isterseniz penetrasyon testinin nasıl yapıldığını anlattığımız içeriğe Sızma Testi Nedir ve Nasıl Yapılır başlıklı yazımızdan ulaşabilirsiniz.
Aşağıdaki tablo farkı net biçimde özetler:
| Özellik | Otomatik Tarama | Manuel Sızma Testi |
|---|---|---|
| Analiz Türü | İmza tabanlı | Saldırgan bakış açısı |
| False Positive | Yüksek | Düşük |
| İş Mantığı Hataları | Genellikle tespit edilmez | Tespit edilir |
| Payload Testi | Yok | Var |
| Zincirleme Saldırı Senaryosu | Üretilmez | Üretilir |
Bu noktada asıl soru şudur: Çalışma gerçekten saldırgan davranışını simüle ediyor mu, yoksa yalnızca bir araç çıktısı mı sunuyor?
2. Kapsamı Yazılı ve Net Şekilde Belirlememek
“Web sitemize sızma testi yapalım” ifadesi teknik olarak belirsizdir. Hangi domainler? Hangi alt sistemler? Hangi IP blokları? Hangi mobil uygulama veya API servisleri?
Kapsam net değilse, test sonunda “Bu ortam da dahil miydi?” sorusu kaçınılmazdır. Bu durum özellikle regülasyon denetimlerinde ciddi sorun yaratır.
EPDK kapsamındaki enerji şirketleri veya Bilgi ve İletişim Güvenliği Rehberi’ne tabi kurumlarda test kapsamı yazılı olarak talep edilir. Denetim sırasında kapsam belgesi sorulduğunda sözlü mutabakat yeterli değildir. EPDK çerçevesinin nasıl uygulandığına dair detaylı bilgiye buradan ulaşabilirsiniz.
Aynı şekilde KVKK teknik tedbirleri açısından da test kapsamının doğru tanımlanması gerekir. Bu konu ilginizi çekiyorsa KVKK uyumu ve Siber Güvenliğin Rolü: Hangisi Öncelikli başlıklı blog yazımızı da okumak isteyebilirsiniz.
Profesyonel bir çalışmada, projeye başlamadan önce detaylı kapsam belgesi hazırlanır ve karşılıklı onaylanır. Bu hem teknik sınırları hem de hukuki çerçeveyi korur.
3. Retest (Doğrulama Testi) Sürecini Sözleşmeye Dahil Etmemek
Sızma testi raporu, bulgular kapatılmadığı sürece yalnızca bir risk listesidir.
Ancak birçok kurum retest (doğrulama testi) sürecini sözleşmeye dahil etmeden projeyi tamamlanmış sayar. Oysa zafiyetlerin teknik olarak doğrulanması gerekir. Aksi halde açık kapatıldı varsayılır ama sistem hâlâ savunmasız olabilir.
Sahada en sık karşılaştığımız durumlardan biri, ilk raporda kritik seviyede işaretlenen bir açığın “giderildi” denmesine rağmen farklı bir payload ile yeniden istismar edilebilmesidir. Bu nedenle retest süreci, çalışmanın doğal bir parçası olmalıdır.
Test türleri arasındaki farkları ve kapsam çeşitlerini buradan inceleyebilirsiniz: Sızma Testi Türleri Nelerdir?
4. Test Ekibini ve Yetkinliğini Sormamak
Kurumsal web sitelerinde “uzman ekip” ifadesi sıkça yer alır. Ancak projeye fiilen kimlerin atanacağı çoğu zaman sorgulanmaz.
Bir penetrasyon testi çalışması yalnızca araç bilgisi değil; saldırı zinciri kurgulama yetkinliği gerektirir. OWASP Top 10’u bilmek yeterli değildir. Gerçek tehdit aktörlerinin kullandığı teknikleri anlayabilmek gerekir.
Ayrıca testin alt yükleniciye devredilip devredilmeyeceği açıkça sorulmalıdır. Gizlilik, veri bütünlüğü ve rapor güvenilirliği açısından bu en önemli konulardan birisidir.
Kurumlar, projeye atanacak uzmanların deneyimini ve metodolojik yaklaşımını açıkça talep etmelidir.
5. En Ucuz Teklifi En Mantıklı Teklif Sanmak
Sızma testi fiyatları kurumdan kuruma değişir. Ancak yalnızca fiyat üzerinden karar vermek en riskli tercihlerden biridir.
IP başına veya sayfa başına fiyatlandırma çoğu zaman otomatik taramaya işaret eder. Gerçek manuel analiz uzman-zaman bazlı planlanır. Eğer teklif edilen süre gerçekçi değilse, çalışmanın derinliği de sorgulanmalıdır.
Özellikle EPDK, KVKK veya Bilgi ve İletişim Güvenliği Rehberi kapsamındaki kurumlarda metodolojik olarak yetersiz raporlar denetçiler tarafından kabul edilmeyebilir. Bu durumda testin yeniden yapılması gerekir ve maliyet fiilen iki katına çıkar.
Ucuz görünen hizmetin gizli maliyetleri olabilir. Atlanan kritik bir açık veri ihlaline yol açabilir. Regülasyon riski doğabilir. IT ekibi yanlış önceliklendirme nedeniyle zaman kaybedebilir.
Sızma Testi Bir Ürün Alımı Değil, Risk Paylaşımıdır
Sızma testi hizmeti almak, bir yazılım lisansı satın almak değildir. Bu karar, kurumunuzun zafiyetlerini kime göstereceğiniz ve bu riskleri kiminle yöneteceğinizle ilgilidir.
Doğru partner yalnızca bir pentest raporu üretmez. Bulguların kapatılması sürecinde teknik ekiple birlikte çalışır, riskleri önceliklendirir ve kurumu bir sonraki denetime daha hazır hale getirir.
Kurumsal yaklaşımımızı detaylı incelemek isterseniz Sızma Testi Hizmetleri sayfamıza göz atabilirsiniz.
Eğer bir sızma testi hizmeti almayı planlıyorsanız ve karar aşamasındaysanız,aklınıza takılan her şeyi konuşabileceğimiz bir online görüşme yapmak için bize ulaşabilirsiniz.