Pentest · Metodolojiler · Uyum

Dijital Güvenliğin Kilidi: Neden Her Kurum Penetrasyon Testi Yaptırmalı?

Reaktif savunmadan proaktif güvenliğe: pentest türleri, önde gelen metodolojiler (OWASP, OSSTMM, ISSAF, PTES, FedRAMP) ve hangi durumda hangisini seçmeli?

Özet: Neden pentest · White/Grey/Black-Box · Metodolojiler · Regülasyonlar · Karşılaştırma · Sonuç & aksiyon

1) Savunmadan Önlemeye: Proaktif Güvenliğin Rolü

Dijitalleşme; saldırı yüzeyini büyütür ve tehditleri karmaşıklaştırır. Güvenlik duvarı/antivirüs tek başına yeterli değildir. Pentest, zafiyetleri bulup kanıtlayarak kurumlara önleyici bir strateji kazandırır.

Neden Şart?

Gerçek saldırı simülasyonu ile kör noktaları ortaya çıkarır.
Riskleri somut bulgularla önceliklendirir (kanıta dayalı).
Uyum/denetim gereksinimlerini karşılar (ISO/IEC 27001, PCI-DSS, NIST SP 800-115 vb.).

İtibar & Uyum

Periyodik pentest; yalnızca yükümlülükleri karşılamakla kalmaz, müşteri güvenini güçlendirir ve kurumsal itibarı korur.

2) Penetrasyon Testi Türleri

1. White-Box (Beyaz Kutu)

Ön bilgi tam: kaynak kodu, IP’ler, mimari, hesaplar…
Kod ve erişim kontrolü hatalarını hızlı yakalar.

2. Grey-Box (Gri Kutu)

Sınırlı ön bilgi (örn. standart kullanıcı hesabı).
Gerçekçi ve zaman etkin; son kullanıcı zafiyetlerine odaklı.

3. Black-Box (Siyah Kutu)

Ön bilgi yok; dış tehdit aktörü simülasyonu.
Keşif → analiz → istismar akışıyla hazırlık seviyesini ölçer.

3) OWASP Testing Guide ile Web Uygulama Testi

OWASP Nedir?

Açık kaynak topluluk; web güvenliği için rehber, araç ve en iyi uygulamalar sunar. Testing Guide 11 başlık altında sistematik test imkânı verir.

Temel Aşamalar

Bilgi Toplama (pasif/aktif)
Yapılandırma & Dağıtım testi
Kimlik & Kimlik Doğrulama & Yetkilendirme
Oturum Yönetimi
Girdi Doğrulama (SQLi, XSS, Command Injection…)
Hata İşleme & Bilgi Sızdırma
Kriptografi, İş Mantığı, İstemci Tarafı Güvenliği

Ne Zaman? Saf web/API odaklı testlerde, DevSecOps boru hattına entegrasyon için idealdir.

4) OSSTMM: Açık Kaynak Güvenlik Testi Metodolojisi

Genel Bakış

ISECOM tarafından geliştirilen, ölçülebilir ve tekrarlanabilir çerçeve. İnsan, fiziksel, iletişim ve ağ katmanlarını birlikte ele alır.

Operasyonel güvenlik metrikleri
Güven analizi & iş akışı
İnsan ve fiziksel güvenlik testleri
Kablosuz, telekom ve veri ağları
Uyum (KVKK/GDPR, ISO 27001, PCI-DSS)

Çıktı

STAR (Security Test Audit Report) ile bulgular, etki ve aksiyonlar standardize biçimde raporlanır.

5) ISSAF: Saldırı + Savunma Dengesi

Ne Sunar?

Saldırgan ve savunmacı bakışları birleştiren kapsamlı değerlendirme: planlama & hazırlık → teknik assessment → raporlama/iz temizliği.

Uygunluk

Karmaşık BT altyapıları, savunma/sağlık/finans sektörleri
Politika, süreç ve insan davranışlarını da kapsama alır

6) PTES: Uçtan Uca Teknik Yürütme Standardı

Aşamalar

Ön Sözleşme (kapsam, araçlar, SLA, NDA)
İstihbarat Toplama (OSINT/aktif keşif, sosyal mühendislik)
Tehdit Modellemesi & Zafiyet Analizi
İstismar & İleri Sömürü (priv-esc, lateral movement)
Raporlama (bulgular, etki, düzeltme önerileri, imha taahhüdü)

Neden PTES?

Gerçek saldırı akışına çok yakın; red team/SOC değerlendirmeleri için ideal, yasal çerçeveyi netleştirir.

7) FedRAMP Penetration Test Guidance (Bulut Odaklı)

Kapsam

Bulut CSP’ler için FISMA uyumlu değerlendirme
Web/API, mobil, ağ, iç ağ ve sosyal mühendislik
IDS/IPS, FW, segmentasyon ve veri sızıntısı kontrolleri

Raporlama

Zafiyet sınıflandırması, etki/öncelik, düzeltme önerileri ve erişilen hassas verilerin güvenli imhasına dair taahhüt içerir.

8) Hangi Metodoloji Ne Zaman?

Önerilen Eşleşmeler

OWASP: Saf web/API güvenliği, DevSecOps entegrasyonu.
OSSTMM: 360° (insan+fiziksel+teknik) kurumsal değerlendirme.
ISSAF: Saldırı & savunma dengesini isteyen kritik sektörler.
NIST SP 800-115: Regülasyon/denetim odaklı projeler.
PTES: Operasyonel gerçekliğe yakın teknik senaryolar.
FedRAMP: AWS/Azure/GCP’de CSP ve SaaS sağlayıcıları.

Hibrit Yaklaşımlar

OWASP + OSSTMM: Web + insan/fiziksel riskler.
NIST + PTES: Uyum + operasyonel saldırı simülasyonu.
FedRAMP + ISSAF: Bulut + süreç/insan temelli riskler.

İpucu: Metodoloji seçimi, risk profili, iş öncelikleri ve yasal yükümlülüklerle birlikte yapılmalıdır.

9) Sonuç: Pentest, Risk Yönetiminin Ayrılmaz Parçası

Pentest; teknik bir egzersiz değil, kurumsal risk yönetiminin ana bileşenidir. Proaktif yaklaşım; zafiyetleri erken yakalar, düzeltme maliyetini düşürür, uyumu ve itibarı güçlendirir.

Hemen Aksiyon: Kapsamı belirleyin (varlıklar, kritik süreçler) → metodolojiyi seçin → sözleşme & sınırlar → test → bulgulara göre iyileştirme.
Periyodiklik: Yıllık kapsamlı test + değişiklik sonrası hedefli testler; zafiyet yönetimi ve doğrulama testleriyle döngüyü kapatın.

Destek: Nesil Güvenlik olarak white/grey/black-box pentest, web/API, iç ağ, kablosuz ve sosyal mühendislik dâhil uçtan uca metodolojiye uygun test ve raporlama sunuyoruz.

Siber Güvenliğin Anayasası: Pentest Standartları