Post cover image

June 12, 2026

Sızma Testi Yaptırıyoruz. Peki, Gerçekten Güvende Miyiz?

Kurumlar bilgi sistemlerinin güvenliğini değerlendirmek, zafiyetleri tespit etmek ve siber risklerini azaltmak amacıyla düzenli olarak…

Murat Bilici

3 min read

Kurumlar bilgi sistemlerinin güvenliğini değerlendirmek, zafiyetleri tespit etmek ve siber risklerini azaltmak amacıyla düzenli olarak sızma testleri gerçekleştirmektedir. Özellikle finans sektörü başta olmak üzere birçok kurumda bu çalışmalar yıllık olarak veya önemli sistem değişiklikleri sonrasında planlanmaktadır.

Peki kritik soru şu:

Sızma testi yaptırıyor olmak gerçekten güvende olduğumuz anlamına gelir mi?

Ne yazık ki bu sorunun cevabı her zaman "evet" değildir.

Çünkü sızma testlerinin amacı yalnızca bir rapor üretmek değil, kurumun maruz kalabileceği riskleri gerçek saldırı senaryolarıyla ortaya çıkarmak ve güvenlik seviyesini artırmaktır. Eğer test sonucunda ortaya çıkan bulgular takip edilmiyor, eksiklikler giderilmiyor veya kapsam doğru belirlenmiyorsa, yapılan çalışma zamanla yalnızca bir uyumluluk faaliyetinden ibaret hale gelebilir.

Sızma Testi ve Zafiyet Taraması Aynı Şey Değildir

Sahada en sık karşılaşılan yanlış anlaşılmalardan biri sızma testi ile zafiyet taramasının aynı faaliyet olarak değerlendirilmesidir.

Zafiyet taramaları genellikle otomatik araçlar kullanılarak gerçekleştirilir ve sistemlerde bulunan bilinen açıklıkları tespit etmeye odaklanır.

Sızma testi ise bunun bir adım ötesine geçer.

Gerçek bir saldırgan bakış açısıyla hareket edilerek;

  • Bulunan açıklıkların istismar edilip edilemeyeceği,
  • Yetki yükseltme yapılabilip yapılamayacağı,
  • Hassas verilere erişilip erişilemeyeceği,
  • Sistemler arasında yatay hareket gerçekleştirilebilip gerçekleştirilemeyeceği,
  • İş süreçlerinin etkilenip etkilenemeyeceği

değerlendirilir.

Bu nedenle her sızma testi belirli seviyede zafiyet taraması içerirken, her zafiyet taraması bir sızma testi değildir.

Hangi Sızma Testi Yaklaşımını Kullanıyoruz?

Bir sızma testinin başarısı yalnızca kullanılan araçlara değil, uygulanan metodolojiye de bağlıdır.

Black Box Testi

Test ekibine sistem hakkında herhangi bir bilgi verilmez.

Gerçek bir saldırganın internet üzerinden elde edebileceği bilgiler kullanılarak test gerçekleştirilir.

Bu yöntem dış saldırgan perspektifini ölçmek açısından oldukça değerlidir.

Gray Box Testi

Test ekibine sınırlı seviyede bilgi paylaşılır.

Örneğin;

  • Kullanıcı hesabı,
  • Ağ bilgileri,
  • Mimari detayların bir kısmı

sağlanabilir.

Gerçek hayatta en sık tercih edilen yöntemlerden biridir.

White Box Testi

Test ekibine sistem hakkında detaylı bilgi verilir.

  • Kaynak kodları,
  • Ağ topolojileri,
  • Mimari diyagramlar,
  • Kullanıcı rolleri

Gibi bilgiler paylaşılır.

Amaç, sistemin güvenlik kontrollerini mümkün olduğunca detaylı incelemektir.

Özellikle kritik uygulamalar ve güvenli yazılım geliştirme süreçlerinde önemli fayda sağlar.

Sızma Testi Ne Zaman Yapılmalıdır?

Birçok kurum sızma testlerini yıllık planları kapsamında gerçekleştirmektedir. Bu önemli olmakla birlikte tek başına yeterli değildir.

Aşağıdaki durumlarda da sızma testi değerlendirilmelidir:

  • Yeni uygulama devreye alınması
  • Yeni ürün veya servis açılışı
  • Bulut dönüşüm projeleri
  • İnternet erişimine açılan yeni sistemler
  • Kritik mimari değişiklikler
  • Büyük versiyon güncellemeleri
  • Üçüncü parti entegrasyonlar

Amaç yalnızca test yapmak değil, yapılan değişikliğin kurumun güvenlik seviyesini olumsuz etkileyip etkilemediğini doğrulamaktır.

Doğru Kapsam Belirlenmezse Sonuçlar da Yanıltıcı Olabilir

Sızma testlerinde gözden kaçan en önemli konulardan biri kapsam yönetimidir.

Birçok kurum test kapsamını güvenlik ekipleri tarafından paylaşılan IP adresleri, uygulamalar veya sunucu listeleri üzerinden oluşturmaktadır.

Ancak burada kritik bir soru bulunmaktadır:

Test edilen sistemler gerçekten kurumun sahip olduğu tüm sistemleri temsil ediyor mu?

Eğer kurumun varlık envanteri güncel değilse, bu soruya güvenle cevap vermek mümkün değildir.

Test edilmeyen sistemler doğal olarak raporlarda yer almayacaktır.

Dolayısıyla eksik envanter ile yapılan bir sızma testi, eksik güvence anlamına gelir.

Bu nedenle başarılı bir sızma testi programının ilk adımı;

Güncel, doğru ve sahipliği belirlenmiş bir varlık envanteridir.

Full Scope Her Zaman Full Coverage Anlamına Gelmez

Sızma testlerinde sık karşılaşılan bir diğer yanılgı ise kapsam ile kapsama derinliğinin karıştırılmasıdır.

Kurumlar çoğu zaman tüm sistemlerin teste dahil edilmesini yeterli görmektedir.

Bu durum "Full Scope" olarak değerlendirilebilir.

Ancak;

  • Tüm iş akışları test edilmiş mi?
  • Tüm kullanıcı rolleri değerlendirilmiş mi?
  • API servisleri incelenmiş mi?
  • Kimlik doğrulama mekanizmaları test edilmiş mi?
  • Yetki yükseltme senaryoları denenmiş mi?
  • İş mantığı zafiyetleri araştırılmış mı?

Bu soruların cevabı hayır ise, kapsam geniş olsa bile test derinliği yetersiz kalabilir.

İşte bu nedenle;

Full Scope ≠ Full Coverage

Gerçek güvence yalnızca kapsamın genişliğiyle değil, kapsam içerisindeki sistemlerin ne kadar derinlikte ve hangi senaryolarla test edildiğiyle sağlanır.

Raporlar Okunabilir ve Aksiyon Alınabilir Olmalıdır

Sızma testi raporları yalnızca teknik ekipler için hazırlanmamalıdır.

Raporda;

  • Riskin ne olduğu,
  • İş etkisinin ne olabileceği,
  • Olası saldırı senaryosu,
  • Teknik detaylar,
  • Düzeltme önerileri,
  • Öncelik seviyesi

Açık şekilde belirtilmelidir.

Teknik ekiplerin aksiyon alabileceği kadar detaylı, yönetim ekiplerinin ve denetçilerin anlayabileceği kadar sade bir yapı oluşturulmalıdır.

Çünkü raporun amacı yalnızca teknik bir çıktı üretmek değil, kurumun risklerini görünür hale getirmektir.

Asıl Başarı Bulgu Kapatma Sürecidir

Birçok kurum için sızma testi raporunun yayınlanması sürecin sonu olarak görülmektedir.

Oysa gerçek süreç tam da burada başlamaktadır.

Tespit edilen bulgular;

  • Önceliklendirilmeli,
  • Sahipleri atanmalı,
  • Aksiyon planları oluşturulmalı,
  • Hedef tarihler belirlenmeli,
  • Düzenli olarak takip edilmelidir.

Özellikle finans sektöründe faaliyet gösteren kurumlar için bu süreç yalnızca teknik bir gereklilik değil, aynı zamanda bir yönetişim ve regülasyon konusudur.

Kritik bulguların ilgili komitelerde ve gerekli durumlarda Yönetim Kurulu seviyesinde değerlendirilmesi, alınacak aksiyonların onaylanması ve risklerin sahiplenilmesi beklenmektedir.

Gerçekleştirilen iyileştirmelerin kanıtlanabilir olması da en az bulgunun tespit edilmesi kadar önemlidir.

Bu nedenle bulguların ilgili takip sistemlerine kaydedilmesi, aksiyonların dokümante edilmesi ve doğrulama testlerinin gerçekleştirilmesi gerekmektedir.

Bankacılık sektöründe gerçekleştirilen bağımsız denetimlerde, sızma testi bulgularının kapatılmasına yönelik çalışmaların kanıtları talep edilmekte ve ilgili süreçler denetçiler tarafından incelenmektedir.

Ayrıca belirli bulguların BADES platformu üzerinden takip edilmesi, kapanış durumlarının kayıt altına alınması ve düzenleyici otoriteler tarafından izlenebilmesi mümkündür.

Bu sayede;

  • Yönetim Kurulu,
  • İç Denetim,
  • Bağımsız Denetçiler,
  • Düzenleyici Kurumlar

Aynı risk yaşam döngüsünü takip edebilmektedir.

Sonuç

Sızma testleri güvenlik programlarının en önemli doğrulama mekanizmalarından biridir.

Ancak gerçek değer;

  • Doğru kapsam belirlemek,
  • Güncel envanter kullanmak,
  • Uygun test metodolojisini seçmek,
  • Okunabilir raporlar üretmek,
  • Bulguları kapatmak,
  • Kapanışları doğrulamak,
  • Gerektiğinde regülatörlere kanıtlayabilmek

ile ortaya çıkar.

Çünkü güvenliğin ölçüsü yapılan test sayısı değil, azaltılan risk miktarıdır.

Ve unutulmamalıdır ki;

Bulgunun bulunması başarı değildir. Bulgunun kapatılması, doğrulanması ve gerektiğinde kanıtlanabilmesi gerçek başarıdır.

Murat Bilici Founder & IT Risk, Governance and Resilience Advisor Governity Consulting

Risk-Driven. Governed. Resilient.