2026 Ağ (Network) Sızma Testi: Hibrit Altyapılarda İç-Dış Ağ Riskleri, AD ve VPN Güvenliği
2026 itibarıyla ağ altyapıları; bulut bağlantıları, uzaktan erişim (VPN/Zero Trust), dağıtık şube yapıları ve Active Directory merkezli kimlik mimarileri nedeniyle daha geniş bir saldırı yüzeyine sahiptir. Bu nedenle ağ sızma testi, yalnızca “port tarama” değil; kimlik/rol zinciri, segmentasyon, ayrıcalıklı erişim, lateral movement ve kritik servislerin dayanıklılığı üzerinden gerçek saldırı senaryolarının doğrulandığı kurumsal bir güvenlik ölçümüdür.
Kurumsal hedef; bulguları iş etkisi ile ilişkilendirmek, düzeltici faaliyetleri terminli bir planla yönetmek ve yeniden test ile kapanışı ispatlamaktır. KVKK m.12 ve ISO/IEC 27001 kapsamında ağ pentest çıktıları, teknik tedbirlerin etkinliğini ortaya koyan önemli bir kanıt seti oluşturur.
Odak: Dış/iç ağ, AD zinciri, uzaktan erişim, segmentasyon, ayrıcalıklı hesaplar.
Yaklaşım: Keşif → doğrulama → sömürülebilirlik → etki → rapor → yeniden test.
Çıktı: Kanıtlı bulgular + iş etkisi + öncelik + aksiyon planı + kapanış doğrulaması.
Uygunluk: KVKK m.12 teknik tedbirleri ve ISO 27001 kontrol ortamı.
1. 2026’da Ağ Sızma Testi: Kapsam ve Metodoloji
Ağ sızma testi çalışmaları, kurumun operasyonel gerçekliğine uygun olarak kapsam ve kural seti ile başlatılmalıdır. 2026’da tipik kapsam; internetten erişilebilir varlıklar, şube ağları, VPN uçları, kritik sunucular, AD bileşenleri ve segmentasyon tasarımını kapsar.
1.1. Kapsam Tanımı
- Dış ağ: Public IP blokları, edge cihazlar (FW/VPN), yayınlanan servisler
- İç ağ: Kullanıcı segmentleri, sunucu VLAN’ları, yönetim ağları
- Kimlik altyapısı: AD DS, DNS, GPO, PKI, MFA/SSO bağımlılıkları
- Uzaktan erişim: VPN, ZTNA/SDP, RDP gateway, bastion host
- Kritik servisler: Mail, dosya paylaşımı, sanallaştırma, yedekleme, izleme
1.2. Metodoloji (Uçtan Uca)
- Keşif & envanter: Varlık doğrulama, servis/versiyon tespiti, saldırı yüzeyi çıkarımı
- Zafiyet analizi: Yapılandırma hataları, zayıf servisler, yamalanmamış bileşenler
- Kimlik & erişim: Kimlik bilgisi sızıntısı, parola politikaları, ayrıcalıklı hesaplar
- Saldırı yolu doğrulama: Lateral movement, privilege escalation, pivot senaryoları
- Kanıt & raporlama: Reprodüksiyon adımı, etki analizi, terminli aksiyon planı
- Yeniden test: Düzeltme sonrası kapanış doğrulaması ve regresyon kontrolü
2. Test Alanları: External, Internal, AD, VPN ve Segmentasyon
2026 ağ pentestlerinde odak, “tekil zafiyet” yerine saldırı yolları ve kontrol zafiyetleri üzerinden planlanır. Özellikle AD bağımlılığı ve uzaktan erişim katmanları, kritik risk üretim noktalarıdır.
| Alan | Tipik Kontroller / Zafiyetler | İş Etkisi (Örnek) |
|---|---|---|
| Dış Ağ (External) | Yayınlanan servisler, zayıf TLS, eski sürümler, yanlış FW kuralı | Uzak erişim, servis istismarı, ilk giriş noktası |
| VPN / Uzaktan Erişim | Zayıf MFA, hatalı erişim profili, split-tunnel riskleri, brute force | Yetkisiz erişim, kimlik ele geçirme, ağ içine sıçrama |
| İç Ağ (Internal) | Paylaşımlar, SMB yapılandırması, LLMNR/NBNS, yerel admin yaygınlığı | Yatay hareket, kimlik toplama, hızlı yayılım |
| Active Directory | Kerberoasting, GPO zafiyetleri, zayıf delegasyon, ayrıcalık zinciri | Domain compromise, kritik sistemlere tam erişim |
| Segmentasyon | VLAN/ACL boşlukları, yönetim ağı erişimi, “flat network” tasarımı | Lateral movement kolaylığı, kapsam genişlemesi |
Bu alanların her biri, ayrı “bulgu listesi” üretmek için değil; kurumun saldırıya maruz kalma biçimini ortaya koymak için test edilir. Böylece teknik önlemler, iş sürekliliği ve veri koruma hedefleriyle aynı hizaya getirilir.
3. Risk Önceliklendirme: İş Etkisi, Olasılık ve Doğrulama
Ağ sızma testinde bulguların önceliklendirilmesi, tek başına CVSS üzerinden yapılmamalıdır. 2026 kurumsal yaklaşımında iş etkisi + olasılık + maruziyet + zincir etkisi birlikte değerlendirilir.
3.1. Önceliklendirme Kriterleri
- İş Etkisi: Hizmet kesintisi, veri sızıntısı, finansal kayıp, operasyonel duruş
- Olasılık: Sömürülebilirlik, otomasyona uygunluk, saldırganın eforu
- Maruziyet: İnternete açıklık, VPN profili, erişim kapsamı
- Zincir etkisi: Bir bulgunun AD/privileged hesaplara giden yolu kolaylaştırması
- Veri hassasiyeti: KVKK kapsamındaki sistemler, log/backup içerikleri
3.2. Doğrulama ve Kapanış
Düzeltmeler sonrasında kapanış; konfigürasyon değişikliği beyanıyla değil, yeniden test ile kanıtlanmalıdır. Özellikle firewall kuralları, VPN profilleri ve AD izin değişiklikleri; regresyon riski taşır ve mutlaka doğrulanmalıdır.
4. Kurumsal Senaryolar: Lateral Movement, PrivEsc, Exfiltration
Aşağıdaki senaryolar, 2026 ağ pentestlerinde sık karşılaşılan “zincir” yapısını kurumsal perspektifle özetler. Her senaryo; teknik doğrulama yanında iş etkisi açısından da değerlendirilmelidir.
4.1. Dış Ağdan İlk Erişim → VPN Profili ile Ağ İçine Sıçrama
VPN katmanında zayıf MFA, yanlış erişim profili veya brute force’a açık tasarım; saldırganın ilk erişimi hızlıca iç ağa taşımasına neden olabilir. Devamında segmentasyon zayıflığı varsa, kritik ağlara geçiş kolaylaşır.
4.2. İç Ağda Kimlik Toplama → AD Üzerinden Ayrıcalık Yükseltme
Yerel admin yaygınlığı, zayıf parola politikaları veya isim çözümleme zafiyetleri (yanlış yapılandırma kaynaklı) kimlik bilgisi toplanmasını kolaylaştırabilir. AD’de hatalı delegasyon veya GPO izinleri ile bu durum domain seviyesine taşınabilir.
4.3. Segmentasyon Boşluğu → Yedekleme/İzleme Sistemlerine Erişim
Yedekleme ve izleme sistemleri; yüksek yetki ve geniş veri kapsadığı için kritik hedeflerdir. Yönetim ağının erişime açık olması veya ACL boşlukları, veri sızıntısı ve operasyonel duruş riskini belirgin şekilde artırır.
5. Uyum, Riskler ve En İyi Uygulamalar
Ağ sızma testinin yanlış kurgulanması; “test var” görünmesine rağmen kritik kör noktaların sürmesine neden olabilir. Bu nedenle süreç; risk bazlı planlama ve kanıt odaklı raporlama ile yürütülmelidir.
5.1. Başlıca Riskler
- Kapsam eksikliği: VPN/uzaktan erişim veya AD bileşenlerinin test dışında kalması
- Segmentasyonun doğrulanmaması: “Flat network” riskinin gözden kaçması
- Ayrıcalıklı hesap kontrolü zayıflığı: Domain admin yaygınlığı, servis hesap riskleri
- Kanıt zayıflığı: Reprodüksiyon adımı olmayan, doğrulanmamış bulgular
- Kapanış yapılmaması: Yeniden test olmaksızın bulguların kapatılmış sayılması
5.2. Uyum İçin En İyi Uygulamalar
- Scope matrisi: IP/segment/servis/rol bazlı kapsam tablosu
- AD hardening: Ayrıcalık minimizasyonu, GPO/ACL gözden geçirme, tiering yaklaşımı
- Uzaktan erişim güvenliği: MFA zorunluluğu, erişim profili minimizasyonu, rate limit
- Segmentasyon doğrulaması: Yönetim ağlarının izolasyonu, kritik VLAN/ACL kontrolleri
- Yeniden test: Düzeltme sonrası kapanış doğrulaması ve regresyon kontrolü
6. Sık Sorulan Sorular
External ve internal pentest birlikte mi yapılmalı?
Kurumun risk profiline göre değişir; ancak 2026’da saldırı zinciri çoğu zaman dış erişimden başlayıp iç ağda ilerlediği için, kapsam uygunsa iki yaklaşımın birlikte ele alınması daha gerçekçi sonuç üretir.
Active Directory neden ağ pentestinin merkezinde?
AD; kimlik, yetkilendirme ve ayrıcalık yönetiminin omurgasıdır. AD zafiyetleri, zincir etkisi nedeniyle en kritik iş etkilerine (domain compromise) dönüşebilir.
Segmentasyon testinde ne amaçlanır?
Amaç; bir segmentten diğerine geçişin gerçekten kısıtlı olup olmadığını ve yönetim ağlarının izolasyon seviyesini doğrulamaktır. Segmentasyon zayıflığı, lateral movement’i dramatik biçimde kolaylaştırır.
Yeniden test olmadan kapanış verilebilir mi?
Kurumsal risk yönetimi açısından önerilmez. Kapanışın kanıtı, düzeltmenin gerçekten işe yaradığını ve regresyon üretmediğini gösteren yeniden test çıktılarıdır.
