NIST, PCI DSS ve ISO 27001 standartları tarafından zorunlu tutulan sızma testi, kurumun büyüklüğüne, kapsama ve metodolojiye göre büyük farklılıklar gösteren bir hizmet olup fiyatlandırması proje bazında belirlenmektedir.
Sızma Testi Fiyatını Etkileyen Temel Faktörler
Kesin bir rakam vermek yerine fiyatı belirleyen faktörleri anlamak, bütçenizi doğru planlamanızı sağlar. Her projenin kapsamı farklıdır; dolayısıyla iki kurumun aynı fiyatı ödemesi son derece nadirdir.
1. Test Kapsamı ve Hedef Sayısı
Test edilecek IP adresi, web uygulaması, API veya mobil uygulama sayısı maliyetin en büyük belirleyicisidir. Tek bir web uygulaması için yapılan test, yüzlerce sunucuyu kapsayan ağ testinden çok daha kısa sürer.
2. Test Türü ve Metodoloji
Kara kutu, gri kutu ve beyaz kutu testleri farklı derinliklerde analiz gerektirir. Red Team operasyonları gibi uzun süreli saldırı simülasyonları standart sızma testine kıyasla çok daha kapsamlıdır ve buna göre fiyatlanır.
3. Ekip Deneyimi ve Sertifikasyonları
OSCP, CEH, CREST gibi uluslararası sertifikalı uzmanlardan oluşan ekiplerin sunduğu hizmetler, sertifikasız ekiplere kıyasla farklı fiyatlanmaktadır. Sertifikasyon aynı zamanda raporun kabul edilebilirliğini artırır.
4. Raporlama Detayı ve Aksiyon Planı
Yalnızca teknik bulgular listeleyen raporlarla, her bulguya öncelikli aksiyon planı ve yönetici özeti ekleyen kapsamlı raporlar arasında önemli bir içerik farkı vardır. Bu fark doğal olarak fiyata yansır.
Kurum Büyüklüğüne Göre Proje Süresi Tahmini
Aşağıdaki tablo, kapsama ve kurumun büyüklüğüne göre tahmini süreleri göstermektedir. Süre, fiyatın en kritik belirleyicisidir.
Kurum Tipi | Örnek Kapsam | Tahmini Süre |
|---|---|---|
KOBİ | 1-2 web uygulaması veya küçük ağ | 3-5 iş günü |
Orta Ölçekli Kurum | Birden fazla uygulama, dahili ağ segmentleri | 10-15 iş günü |
Büyük Kurumsal | Geniş ağ, çok sayıda uygulama, OT/ICS dahil | 20-40+ iş günü |
Sızma Testi Türleri ve Fiyat Farklılıkları
Ağ Sızma Testi
Dahili veya harici ağ altyapısını hedef alan testler, IP sayısına ve ağ karmaşıklığına göre ölçeklenir. Segmentasyon kontrolü ve güvenlik duvarı kural analizi bu testlere dahil edildiğinde kapsam genişler.
Web Uygulama Sızma Testi
OWASP Top 10 metodolojisiyle yapılan web uygulama testleri, uygulamanın işlevsellik karmaşıklığına ve sayfa/endpoint sayısına göre fiyatlanır. Kimlik doğrulama, API güvenliği ve iş mantığı testleri kapsamı artırır.
Mobil Uygulama Testi
iOS ve Android platformlarının her biri ayrı analiz gerektirir. API entegrasyonları ve yerel veri depolama güvenliği test kapsamında değerlendirilir.
Düzenleyici Gereklilikler ve Sızma Testi Zorunluluğu
Bankacılık ve finans sektöründe BDDK, ödeme sistemlerinde PCI DSS, kamu kurumlarında BİLGEM standartları sızma testini zorunlu kılmaktadır. Bu uyumluluk zorunluluğu sızma testini bir maliyet değil, yasal yükümlülük olarak konumlandırır. Zafiyet tarama hizmetiyle birleştirildiğinde hem maliyeti optimize eder hem de kapsamı genişletir.
Sızma Testi ile SOC Hizmetini Birleştirmek
Tek seferlik sızma testi anlık güvenlik durumunu ölçer. Ancak sürekli güvenlik için SOC hizmetiyle entegre edildiğinde bulunan açıkların kapatılıp kapatılmadığı sürekli izlenebilir. Bu kombinasyon uzun vadede daha maliyet etkindir.
Secunnix Sızma Testi Yaklaşımı
Secunnix olarak sızma testi fiyatlandırmasını kurumunuzun gerçek ihtiyaçlarına göre belirliyoruz. Kapsam netleşmeden fiyat konuşmak hem sizi hem bizi yanıltır. Kurumunuza özel teklif almak için iletişime geçin; kapsam görüşmesi tamamlandıktan sonra netleştirilmiş teklif sunuyoruz.
Sık Sorulan Sorular
Sızma testi fiyatı neden bu kadar değişken?
Kapsam, metodoloji, ekip deneyimi ve raporlama detayı fiyatı doğrudan etkiler. Beş sunucunun testi ile 500 sunucunun testi arasında ciddi bir süre ve iş gücü farkı vardır.
KOBİ bütçesiyle sızma testi yaptırılabilir mi?
Evet. Kapsam daraltılarak öncelikli risk alanları (örneğin yalnızca dış yüz veya kritik bir web uygulaması) hedeflenir. Bu yaklaşım maliyet etkin bir başlangıç noktası oluşturur.
Yılda kaç kez sızma testi yaptırılmalı?
PCI DSS yılda en az bir kez veya büyük altyapı değişikliklerinden sonra test yapılmasını zorunlu kılar. ISO 27001 de düzenli test öngörür. Genel öneri yılda en az iki kez ya da her önemli sürüm sonrasıdır.
Teklif almadan önce ne hazırlamalıyım?
Test edilmesini istediğiniz sistemlerin listesi (IP aralıkları, alan adları, uygulama URL'leri) ve varsa uyumluluk gereksinimleriniz (PCI DSS, BDDK vb.) hazır olduğunda kapsam görüşmesi çok daha verimli geçer.
Sızma testi mi yoksa zafiyet taraması mı daha uygun maliyetli?
Zafiyet taraması otomatik araçlarla daha hızlı ve geniş kapsamlı tarama yapar; sızma testi ise uzman eliyle açıkları sömürerek gerçek etkiyi kanıtlar. İdeal yaklaşım sürekli zafiyet taraması ile periyodik sızma testi kombinasyonudur.
Sızma testi sistemi bozar mı?
Profesyonel ekipler testleri üretim ortamını aksatmayacak şekilde planlar. Kapsam, zaman dilimi ve istisnalar başlamadan önce yazılı olarak belirlenir; testler bu sınırlar dahilinde gerçekleştirilir.
Rapordan sonra ne yapmalıyım?
Bulgular kritiklik seviyesine göre (kritik, yüksek, orta, düşük) sıralanır. Kritik açıklar öncelikle kapatılır, orta ve düşük bulgular için takvim oluşturulur. Kapatma doğrulaması için yeniden test (retest) talep edilmesi önerilir.
