Pentest Yönetimi ve Yıllık Güvenlik Takvimi
Günümüzde şirketlerin sadece güvenlik duvarları ve antivirüs programlarıyla korunması mümkün değil. Saldırganlar sürekli yeni yöntemler geliştiriyor. Bu nedenle kurumların kendi sistemlerini bir saldırgan gözüyle düzenli olarak test etmesi artık bir tercih değil, zorunluluk haline geldi.
Ancak birçok şirket sızma testlerini sadece yılda bir kez, denetimden hemen önce yapılan bir formalite olarak görüyor. Oysa gerçek güvenlik, testleri sürekli bir programa dönüştürmekten geçiyor. Bu rehberde, sızma testlerini nasıl etkili bir şekilde planlayıp yönetebileceğinizi adım adım anlatıyoruz.
Bu rehberin amacı: Sızma testlerini sadece bir takvim görevi olmaktan çıkarıp, şirketinizin güvenlik seviyesini sürekli yükselten dinamik bir sürece dönüştürmek.
Hedef: Güvenlik açıklarını bulmakla kalmayıp, iş süreçlerinizi aksatmadan, doğru zamanda ve bütçeyle riskleri en aza indirmek.
1. Sızma Testi Programına Stratejik Yaklaşım
Eskiden sızma testleri denilince akla sadece denetim dönemlerinde yapılan zorunlu bir işlem gelirdi. Amaç, denetçiye “her şey yolunda” raporu sunmaktı. Ne yazık ki bu yaklaşım, birçok sertifikalı şirketin büyük veri ihlalleri yaşamasını engelleyemedi.
Risk Temelli Güvenlik Açığı Yönetimi
Bu bağlamda, modern bir programda testlerin sıklığı ve derinliği, sistemlerin önem derecesine göre belirlenir.
- Eski Yöntem: Tüm sistemler yılda bir kez test edilir.
- Yeni Yöntem: Örneğin, müşteri verisi içeren bir uygulama (kritik sistem) her büyük güncellemede ve en az 3 ayda bir test edilir. Buna karşın önemsiz bir iç ağ yazıcısı sadece otomatik taramalarla izlenir.
PDCA Döngüsü: Planla-Uygula-Kontrol Et-Önlem Al
Unutulmamalıdır ki sızma testi programı tek seferlik bir proje değil, sürekli iyileştirilen bir süreçtir.
2. Yasal Gereklilikler ve Standartlar
Türkiye’de ve dünyada faaliyet gösteren şirketler için test takvimini belirleyen en önemli faktörlerden biri yasal zorunluluklardır. Bu nedenle program yöneticisi, hangi yasanın ne zaman test talep ettiğini bilmelidir.
PCI DSS 4.0 (Kredi Kartı Güvenliği Standardı)
Kredi kartı bilgisi işleyen şirketler için geçerlidir. Örneğin:
- Gereklilik 11.4: Dış ve iç ağ testleri yılda en az bir kez ve her önemli değişiklikten sonra yapılmalıdır.
- Segmentasyon Testi: Ayrıca kart bilgilerinin bulunduğu ağın diğer ağlardan izole edildiğini kanıtlamak için 6 ayda bir test yapılmalıdır.
BDDK ve TCMB Düzenlemeleri (Bankacılık ve Finans Sektörü)
Bankalar ve ödeme kuruluşları için kurallar çok daha katıdır. Şöyle ki:
- Test Sıklığı: Yılda en az bir kez sızma testi zorunludur.
- Bağımsızlık: Bunun yanında testler, şirketin kendi IT ekibinden bağımsız (tercihen resmi sertifikalı) bir dış firma tarafından yapılmalıdır.
- Test Türleri: BDDK, testleri “Temel” (otomatik tarama) ve “Detaylı” (elle sızma) olarak ikiye ayırır.
KVKK (Kişisel Verilerin Korunması Kanunu)
KVKK, sızma testlerini “alınması gereken teknik ve idari tedbirler” kapsamında değerlendirir. Bu sebeple bir veri ihlali durumunda KVKK Kurulu, sızma testi raporlarınızı isteyebilir. Üstelik test yaptırmamak, “gerekli önlemleri almamak” olarak yorumlanır ve ciddi para cezalarına yol açabilir.
3. Varlıklarınızı Tanıyın ve Test Kapsamını Belirleyin
Neyi koruduğunuzu bilmiyorsanız, onu test edemezsiniz. Dolayısıyla başarılı bir programın temeli, tüm varlıklarınızı (sistemlerinizi, uygulamalarınızı) keşfetmektir.
Gölge BT Tehlikesi
Pazarlama ekibinin IT’den habersiz açtığı bir kampanya sitesi veya bir yazılımcının unuttuğu test sunucusu büyük risk oluşturur. Bu nedenle şirketinizin dışarıdan görünen tüm dijital varlıklarını (IP adresleri, domainler) Shodan, Censys gibi araçlarla sürekli tarayın.
Varlık Önceliklendirme Tablosu
Aşağıda, farklı önem seviyelerindeki varlıklar için önerilen test sıklıklarını gösteren bir tablo bulabilirsiniz:
| Önem Seviyesi | Tanım | Test Sıklığı |
|---|---|---|
| Seviye 1 (Kritik) | Müşteri verisi, ödeme işlemleri. (Örn: Mobil bankacılık uygulaması) | Her yeni sürümde / 3 ayda bir |
| Seviye 2 (Önemli) | Çalışmaması işleri aksatır. (Örn: Kurum web sitesi, İK sistemi) | 6 ayda bir / Yılda bir |
| Seviye 3 (Düşük) | Hassas veri yok. (Örn: Misafir Wi-Fi ağı, blog sayfaları) | Yılda bir / Otomatik tarama |
Bütçe İçin Adam/Gün Hesabı
Bütçe planlarken firmalardan gelen teklifleri karşılaştırmak için ortalama süreler:
- Standart Web Uygulaması: 5-10 adam/gün.
- Karmaşık Mikroservis Yapı: 15-20+ adam/gün.
- Mobil Uygulama (iOS+Android): 5-8 adam/gün.
- Dış Ağ Testi (50 IP): 3-5 adam/gün.
- İç Ağ Testi (Active Directory): 10-15 adam/gün.
4. Yıllık Güvenlik Test Takvimi Oluşturma
Takviminiz; iş hedefleriniz, tatil dönemleri, yoğun satış dönemleri ve bütçe döngülerinizle uyumlu olmalıdır.
Üç Aylık Dönemlere Göre Planlama
1. Çeyrek (Ocak – Mart): Dış Çevre Testleri ve Planlama
Odak noktamız: Saldırganın dışarıdan görebildiği sistemleri güvence altına almak.
- Dış ağ sızma testi (Tüm IP’ler ve domainler).
- Bulut sistem (AWS/Azure) güvenlik kontrolleri.
- Bütçe onayı ve tedarikçi sözleşmeleri.
2. Çeyrek (Nisan – Haziran): Kritik Uygulamalar ve API’ler
Bu dönemde odak: Şirketin en değerli uygulamaları.
- Seviye 1 web ve mobil uygulama testleri.
- API güvenlik testleri (diğer firmalarla entegrasyonlar).
- Kaynak kod analizleri.
3. Çeyrek (Temmuz – Eylül): İç Tehditler ve İnsan Faktörü
Şimdi de odak: “Saldırgan içeri girdi” senaryoları.
- İç ağ sızma testi ve Active Directory analizi.
- Sosyal mühendislik (sahte e-posta) simülasyonları.
- Kablosuz ağ testleri.
4. Çeyrek (Ekim – Aralık): Uyumluluk ve Doğrulama
Son çeyrekte odak: Yıl sonu denetimlerine hazırlık.
- PCI DSS gereği segmentasyon kontrolleri.
- Yeniden Test: Yıl boyunca bulunan açıkların kapatıldığının teyit edilmesi.
- Yönetim kuruluna yıllık rapor sunumu.
5. Doğru Tedarikçiyi Seçmek
Test Yöntemleri: Siyah, Gri ve Beyaz Kutu
- Siyah Kutu: Bu yöntemde test ekibine hiçbir ön bilgi verilmez. Gerçek bir saldırganın bakış açısını simüle eder. Ancak süre kısıtlıysa verimli olmayabilir.
- Gri Kutu: Buna karşın gri kutuda test ekibine kullanıcı bilgileri verilir. Uygulama testleri için en ideal yöntemdir (yetki yükseltme hatalarını bulmak için).
- Beyaz Kutu: Son olarak beyaz kutuda test ekibine kaynak kod ve sistem mimarisi verilir. En kapsamlı ama en maliyetli yöntemdir.
Firma Seçiminde Nelere Dikkat Etmeli?
Sadece fiyata bakmayın, yetkinlik belgelerine de bakın:
- Firma Sertifikaları: Örneğin CREST (uluslararası standart), TSE (Türk standartları için), ISO 27001.
- Uzman Sertifikaları: Ayrıca OSCP, GPEN, GWAPT gibi uygulamalı sınavlarla alınan belgeler.
- Örnek Rapor: İhaleye çıkmadan önce mutlaka anonimleştirilmiş bir örnek rapor isteyin. Çünkü raporun anlaşılırlığı, hizmetin kalitesini gösterir.
6. Bulunan Açıkları Kapatma Süreci
Raporu almak işin sonu değil, başlangıcıdır. Nitekim programın başarısı bulunan açık sayısıyla değil, kapatılan açık sayısıyla ölçülür.
90 Günlük İyileştirme Planı
- 1-30 Gün (Acil): İlk olarak SQL Injection, sistem ele geçirme gibi yüksek riskli açıklar. Bu açıklar 48-72 saat içinde kapatılmalı.
- 31-60 Gün (Sistemik): Ardından mimari değişiklik gerektiren orta seviye açıklar.
- 61-90 Gün (İyileştirme): Son olarak düşük riskli, “en iyi uygulama” eksiklikleri.
Yeniden Test (Doğrulama)
Geliştiricinin “açığı kapattık” demesi yeterli değildir. Bu nedenle mutlaka teknik olarak doğrulama testi yapılmalıdır. Denetimlerde “temiz rapor” sunabilmek için bu aşama kritiktir. Ayrıca tedarikçinizle yaptığınız sözleşmede bu doğrulama testinin ücretsiz olduğundan emin olun.
7. Bütçe Planlaması ve Yöneticilere Sunum
Yönetim Kuruluna Nasıl Sunmalı?
Yöneticilere “XSS açığı bulduk” demeyin. Bunun yerine “Müşteri verileri risk altındaydı ve bunu engelledik” deyin. Her zaman iş etkisinden bahsedin. Örneğin aşağıdaki metrikleri kullanabilirsiniz:
(Hedef: Kritik < 7 Gün)
Test Edilme Oranı
Getirisi
Bütçe Tasarrufu İpuçları
- Yıllık Anlaşma: Örneğin her test için ayrı ihale yapmak yerine, yıllık “kredi sistemi” veya “adam/gün havuzu” anlaşmaları ile %20-30 tasarruf edebilirsiniz.
- PTaaS (Hizmet Olarak Sızma Testi): Ayrıca sürekli test imkanı sunan platformlar, klasik danışmanlığa göre daha esnek ve ekonomik olabilir.
8. CISO / Program Yöneticisi Kontrol Listesi
Yılı kapatırken veya yeni bir programa başlarken kontrol etmeniz gerekenler:
- Varlık Envanteri: Tüm IP’ler ve domainler güncel mi?
- Gölge BT Taraması: Bilgimiz dışında açılmış sistem var mı?
- Regülasyon Takvimi: BDDK/PCI DSS gibi zorunlu test tarihleri takvime işlendi mi?
- Yeniden Test Planı: Bulunan açıkların kapatıldığı doğrulandı mı?
- Yönetim Sunumu: Gelecek yılın bütçesi için risk raporu hazır mı?
Kurumsal Sızma Testi Desteği
Nesil Teknoloji olarak, TSE sertifikalı uzmanlarımız ve uluslararası metodolojilerimizle sızma testi süreçlerinizi yönetiyoruz. Ücretsiz kapsam analizi için iletişime geçin.
Hemen Teklif Alınİlgili hizmet: penetrasyon testi hizmetimiz hakkında detaylı bilgi almak için sayfamızı inceleyebilirsiniz.
