Acil DestekEn

Sızma Testi Nedir? Şirketler İçin Neden Zorunlu Hale Geldi?

Yayıncı: Secunnix

Yayınlanma Tarihi: April 18, 2026

Sızma testi, NIST, ISO 27001 ve PCI DSS gibi uluslararası güvenlik standartlarının zorunlu kıldığı; kurumların bilgi sistemlerini gerçek saldırı senaryolarıyla test etmesini sağlayan profesyonel bir güvenlik değerlendirme yöntemidir.

Sızma Testi Nedir?

Sızma testi (penetration test), yetkili güvenlik uzmanlarının bir kurumun sistemlerine, ağlarına veya uygulamalarına gerçek bir saldırganın kullandığı teknik ve araçlarla saldırarak mevcut güvenlik açıklarını tespit ettiği kontrollü bir süreçtir. Bu test; kurumun savunma mekanizmalarının gerçek tehditlere karşı ne ölçüde dayanıklı olduğunu somut verilerle ortaya koyar. Sızma testi hakkında Wikipedia'da daha fazla bilgi edinebilirsiniz.

Otomatik güvenlik tarama araçlarından farklı olarak sızma testi, insan zekasını ve deneyimini ön plana çıkarır. Uzman bir güvenlik araştırmacısı, sistemler arasındaki mantıksal ilişkileri, iş süreçlerindeki açıkları ve birleşik zafiyet zincirlerini tespit ederek gerçek bir saldırının nasıl ilerleyeceğini simüle eder.

Sızma Testi Nasıl Yapılır? 5 Temel Aşama

Profesyonel bir sızma testi, rastgele saldırı denemelerinden değil; sistematik ve belgelenmiş bir metodolojiden oluşur. Endüstri standardı olan PTES (Penetration Testing Execution Standard) çerçevesinde bir sızma testi beş temel aşamada gerçekleştirilir.

1. Kapsam Belirleme ve Keşif (Reconnaissance)

Test öncesinde hangi sistemlerin, IP aralıklarının ve uygulamaların kapsama dahil olduğu netleştirilir. Ardından keşif aşamasında hedef hakkında kamuya açık bilgiler (DNS kayıtları, e-posta adresleri, açık portlar, teknoloji altyapısı) toplanır. Bu aşama pasif (hedef sistemlere dokunulmadan) veya aktif (doğrudan hedefle etkileşim kurularak) olarak yürütülebilir.

2. Tarama ve Güvenlik Açığı Tespiti

Hedef sistemlerin açık portları, çalışan servisleri ve yazılım sürümleri tespit edilir. Bu veriler, bilinen güvenlik açıkları ile eşleştirilerek istismar edilebilecek zayıf noktalar önceliklendirilir. Zafiyet skorlamasında CVSS (Common Vulnerability Scoring System) standardı kullanılır.

3. Sömürü (Exploitation)

Tespit edilen açıklar kontrollü koşullarda istismar edilir. Bu aşamada güvenlik uzmanı, exploit araçları ve özel yazılmış kodlar kullanarak sisteme yetkisiz erişim sağlamayı dener. Amaç yıkım değil; erişimin mümkün olduğunu ve ne kadar ileri gidilebileceğini kanıtlamaktır.

4. Yetki Yükseltme ve Ağ İçi Hareket

Sisteme erişim sağlandıktan sonra yetki yükseltme teknikleriyle daha yüksek ayrıcalıklar elde edilmeye çalışılır. Ardından lateral movement ile ağ içindeki diğer sistemlere yayılma simüle edilerek saldırının potansiyel etkisi ölçülür.

5. Raporlama ve Düzeltme Önerileri

Testin son aşamasında tüm bulgular detaylı bir raporda belgelenir. Rapor iki ana bölümden oluşur: teknik ekipler için ayrıntılı zafiyet listesi ve düzeltme adımları; yönetim için iş etkisini anlatan özet bölümü. Her bulgu CVSS skoruna göre önceliklendirilir ve düzeltme süresi önerilir.

Sızma Testi Türleri: Black Box, White Box, Grey Box

Sızma testleri, güvenlik uzmanına sağlanan bilgi miktarına göre üç kategoriye ayrılır. Doğru test türünün seçimi, kurumun hedeflerine ve mevcut güvenlik olgunluk seviyesine bağlıdır.

Black Box (Kör) Testi

Test uzmanı hedef sistem hakkında önceden hiçbir bilgiye sahip değildir; yalnızca kurumun adı veya genel IP aralığı paylaşılır. Gerçek bir dış saldırganın bakış açısını en yakın biçimde simüle eder. Bu nedenle dış saldırı yüzeyini ölçmek isteyen kurumlar için uygundur.

White Box (Şeffaf) Testi

Test uzmanına kaynak kodu, mimari diyagramlar, ağ topolojisi ve kullanıcı hesapları dahil tam sistem bilgisi sağlanır. Derinlemesine kod güvenliği analizi ve iç tehdit simülasyonları için tercih edilir. Aynı süre içinde daha fazla güvenlik açığı tespit edilmesini sağlar.

Grey Box (Gri) Testi

Black box ve white box arasında denge kuran bu yaklaşımda uzman, sınırlı düzeyde bilgi (örneğin standart kullanıcı hesabı veya genel mimari bilgisi) ile teste başlar. Çoğu kurumsal sızma testinde tercih edilen modeldir; hem gerçekçi saldırı senaryolarını hem de verimli kapsam analizini bir arada sunar.

Sızma Testi Şirketler İçin Neden Zorunlu Hale Geldi?

Sızma testi artık yalnızca teknik bir tercih değil; yasal ve düzenleyici bir zorunluluktur. Türkiye'de ve dünya genelinde faaliyet gösteren kurumlar, birden fazla mevzuat çerçevesinde düzenli güvenlik testi yaptırmakla yükümlüdür.

  • KVKK (Kişisel Verilerin Korunması Kanunu): Kişisel veri işleyen tüm kurumların teknik ve idari güvenlik tedbirlerini alması ve bu tedbirlerin etkinliğini test etmesi zorunludur.

  • BDDK Bilgi Sistemleri Yönetmeliği: Bankacılık sektöründe faaliyet gösteren kuruluşların yılda en az bir kez sızma testi yaptırması zorunludur.

  • PCI DSS: Kart sahibi verisi işleyen tüm kuruluşlar için yıllık sızma testi zorunluluğu getirir; uyumsuzluk durumunda ödeme işleme yetkisi iptal edilebilir.

  • ISO 27001:2022: Bilgi Güvenliği Yönetim Sistemi sertifikası için tehdit simülasyonu ve güvenlik açığı değerlendirmesini zorunlu kılar.

  • GDPR: AB vatandaşlarının verilerini işleyen Türk şirketleri de dahil olmak üzere güvenlik testini kapsayan teknik güvenlik önlemlerini zorunlu tutar.

Yasal zorunlulukların ötesinde, siber saldırıların neden olduğu mali kayıplar ve itibar hasarı da sızma testini stratejik bir yatırıma dönüştürmektedir. IBM'in 2025 Veri İhlali Maliyet Raporu'na göre bir veri ihlalinin ortalama maliyeti 4,8 milyon doları aşmaktadır; düzenli güvenlik testi ile tespit edilen bir açığın kapatılma maliyeti ise bunun çok küçük bir kesirine karşılık gelir.

Sızma Testi ile Güvenlik Açığı Taraması Arasındaki Fark

Bu iki kavram sıkça birbirine karıştırılır; ancak aralarında kritik bir fark vardır. Güvenlik açığı taraması, otomatik araçların bilinen zafiyetleri tespit etmesidir ve genellikle doğrulama yapılmaksızın ham bir liste üretir. Sızma testi ise bu açıkları gerçek saldırı senaryolarıyla istismar ederek kanıtlar; sistemin gerçek riske maruziyetini ölçer.

Örneğin bir güvenlik açığı taraması sistemde açık bir port tespit edebilir; ancak bu portun gerçekten istismar edilip edilemeyeceğini, sisteme erişim sağlanırsa ne kadar ileri gidilebileceğini yalnızca sızma testi ortaya koyar. Bu nedenle iki yöntem birbirinin alternatifi değil; tamamlayıcısıdır.

Sızma Testi ve Red Team Operasyonu: Hangisi Size Uygun?

Sızma testi belirli bir sistemi veya uygulamayı hedef alırken, red team operasyonu kurumun tamamını gerçekçi bir APT (Gelişmiş Kalıcı Tehdit) senaryosuyla test eder. Red team; sosyal mühendislik, fiziksel erişim ve uzun süreli ağ içi hareket gibi kapsamlı teknikleri içerir.

Güvenlik programına yeni başlayan kurumlar için sızma testi doğru başlangıç noktasıdır. Güvenlik olgunluğu ileri düzeyde olan ve blue team'ini test etmek isteyen kurumlar ise red team hizmetimizi değerlendirebilir.

Secunnix Sızma Testi Yaklaşımı

Secunnix sızma testi hizmetleri; PTES, OWASP ve NIST SP 800-115 standartlarına uygun metodoloji ile gerçekleştirilir. Her proje öncesinde kurumun risk profili ve iş öncelikleri değerlendirilir; kapsam ve başarı kriterleri müşteriyle birlikte tanımlanır.

Test sürecinde kritik bulgular anlık olarak bildirilir; proje sonunda teknik rapor ve yönetim özeti teslim edilir. Ayrıca bulgular için düzeltme danışmanlığı ve doğrulama testi (retest) hizmeti sunulmaktadır. Kurumunuza özel sızma testi kapsamı ve teklif için iletişime geçin veya sızma testi hizmet sayfamızı inceleyin.

Sızma Testi Hakkında Sık Sorulan Sorular

Sızma testi ne kadar sürer?

Kapsama bağlı olarak değişir. Tek bir web uygulaması testi genellikle 3-5 iş günü sürerken, kapsamlı bir ağ sızma testi 2-3 hafta alabilir. Tam kurumsal red team operasyonları ise 4-8 hafta veya daha uzun sürebilir. Test öncesinde kapsam belirleme görüşmesinde süre netleştirilir.

Sızma testi sistemlere zarar verir mi?

Profesyonel sızma testleri, üretim sistemlerini kesintiye uğratmamak için dikkatli biçimde planlanır. Kapsam belgesi (Rules of Engagement) hangi tekniklerin kullanılabileceğini ve hangi saatlerde test yapılacağını önceden belirler. Doğru metodoloji uygulayan bir sağlayıcı, sistemlere kalıcı zarar vermeden güvenlik açıklarını kanıtlayabilir.

Sızma testi ne sıklıkla yapılmalıdır?

BDDK ve PCI DSS gibi düzenlemeler yılda en az bir kez sızma testi yapılmasını zorunlu kılar. Bunun yanı sıra önemli sistem değişikliklerinden, yeni uygulama yayınlarından veya büyük altyapı güncellemelerinden sonra ek test yapılması önerilir. Sürekli değişen tehdit ortamında yıllık test bir taban gereklilik, sık aralıklı test ise rekabetçi bir güvenlik avantajıdır.

Sızma testi raporu KVKK veya ISO 27001 denetimine sunulabilir mi?

Evet. Profesyonel sızma testi raporu, KVKK uyumluluk süreçlerinde teknik güvenlik tedbirlerinin kanıtı olarak kullanılabilir. ISO 27001 belgelendirme denetimlerinde de güvenlik açığı değerlendirme ve risk işleme süreçlerinin belgelenmiş kanıtı olarak kabul edilir. Raporun bu amaçla kullanılacağı sağlayıcıya önceden bildirilmesi, raporun ilgili standartlara uygun formatta hazırlanmasını sağlar.

Sızma testinde bulunan açıklar düzeltildikten sonra ne yapılmalıdır?

Kritik ve yüksek öncelikli bulgular düzeltildikten sonra doğrulama testi (retest) yapılmalıdır. Bu test, açıkların gerçekten kapatıldığını doğrular ve yama sürecinde yeni bir zafiyet oluşmadığını teyit eder. Ayrıca düzeltme süreçleri yama yönetimi politikalarına entegre edilerek benzer açıkların tekrarlanması önlenir.

Müşteri Portföyümüz

Bizimle iletişime geçin!

Bizi Takip Edin
Adres & Telefonlar

Adres

:

Üniversiteler Mah. 1605 Cad. Cyberpark Vakıf Binası No:3 İç Kapı No:109 Çankaya/Ankara

E-mail

:

[email protected]

Telefon

:

+90 850 304 57 61

İçerik Sayfaları
Hizmetler
Ürünler
Güvenlik Rehberi

© Secunnix Cyber Security | Tüm hakları saklıdır.

AraMesaj