Sızma Testi (Penetrasyon Testi) Nedir? Kapsamlı Kurumsal Güvenlik Rehberi 2026

Sızma Testi Nedir?

Sızma testi (Penetration Testing veya kısaca Pentest), siber güvenlik dünyasında "Beyaz Şapkalı Hackerlar" (Etik Hackerlar) olarak adlandırılan yetkilendirilmiş uzmanlar tarafından bir kurumun bilgi sistemlerine kontrollü ve yasal olarak gerçekleştirilen saldırı simülasyonudur. Amaç, kötü niyetli siber korsanların (Siyah Şapkalı Hackerlar) şirket ağına, web sitesine, mobil uygulamalara, sunuculara veya bulut altyapısına sızmak için kullanabileceği güvenlik açıklarını onlardan önce bulmak, istismar etmek ve kanıtlarıyla raporlamaktır.

Sızma testi yalnızca bir "açık listesi" çıkarmaz. Gerçek bir saldırganın bu açıkları kullanarak hangi verilere erişebileceğini, hangi sistemlere ulaşabileceğini ve potansiyel zararın boyutunu somut olarak ortaya koyar. Bu yönüyle, modern bir siber güvenlik programının vazgeçilmez doğrulama mekanizmasıdır.

Zafiyet Taraması ile Sızma Testi Arasındaki Kritik Fark

Kurumların düştüğü en yaygın yanılgılardan biri, otomatik araçlarla yapılan "Zafiyet Taraması" (Vulnerability Scanning) işlemini Sızma Testi (Pentest) ile karıştırmaktır. İkisi farklı amaçlara hizmet eder ve birbirinin yerine geçmez. Aşağıdaki tablo bu farkı net şekilde özetler:

Kriter	Zafiyet Taraması	Sızma Testi (Pentest)
Yöntem	Otomatik araçlar (Nessus, OpenVAS, Qualys)	Otomatik araçlar + uzman manuel analiz
Süre	Birkaç saat – 1 gün	5 – 20 iş günü
Derinlik	Yüzeysel; bilinen açıkları listeler	Derin; açıkları istismar ederek kanıtlar
Yanlış Alarm (False Positive)	Yüksek (%30-50)	Çok düşük (her bulgu doğrulanır)
Maliyet	Düşük (5.000 – 25.000 TL)	Yüksek (25.000 TL – 500.000+ TL)
İş Mantığı Hataları	Tespit edemez	Tespit eder
KVKK / ISO 27001 Geçerliliği	Tek başına yeterli değil	Yasal denetimlerde geçerli
Rapor İçeriği	Açık listesi	Açık + istismar kanıtı + iş etkisi + çözüm
Kullanım Sıklığı	Aylık / haftalık	Yılda 1-2 kez

Türkiye'de Sızma Testi Yasal Zorunluluk mudur?

Kısa cevap: Evet. Birçok kurum ve sektör için sızma testi artık seçenek değil, yasal yükümlülüktür. 12 Mart 2025'te yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu ile birlikte Türkiye'de siber güvenlik mevzuatı tek çatı altında toplanmış ve sert yaptırımlar getirilmiştir. Aşağıdaki tablo, kurumunuzu doğrudan etkileyebilecek temel regülasyonları özetlemektedir:

Regülasyon	Kapsam	Zorunluluk	Yaptırım
KVKK Madde 12	Kişisel veri işleyen tüm kurum ve kuruluşlar	"Uygun güvenlik düzeyi" için teknik tedbir – sızma testi Kurul rehberinde açıkça önerilir	1,7 milyon – 13,5 milyon TL idari para cezası (2026 güncel)
7545 Sayılı Siber Güvenlik Kanunu	Kritik altyapılar, kamu kurumları, finans, enerji, sağlık, telekomünikasyon	Düzenli sızma testi zorunlu	10 milyon TL'ye kadar idari ceza, yöneticilere hapis riski
BDDK Yönetmeliği (2021)	Bankalar, ödeme/elektronik para kuruluşları	Yılda en az 1 kez sızma testi	Faaliyet kısıtlaması, lisans riski
BTK Elektronik Haberleşme Güvenliği Yönetmeliği (Md. 9)	Telekom operatörleri, ISS'ler	Periyodik sızma testi	İdari ceza, faaliyet yaptırımı
ISO/IEC 27001 Standardı	Sertifika almak isteyen tüm kurumlar	Kontrol etkinliği için sızma testi	Sertifika reddi/iptali
PCI DSS	Kart verisi işleyen e-ticaret ve POS işleten firmalar	Yılda 1 kez ve büyük değişiklik sonrası	Kart programlarından çıkarılma
SPK Bilgi Sistemleri Yönetmeliği	Aracı kurumlar, portföy yönetim şirketleri	Periyodik sızma testi ve iç denetim	İdari yaptırım, faaliyet kısıtlaması

Önemli bir not: Türkiye'de hazırlanan sızma testi raporlarının BDDK, BTK, KVKK ve kamu denetimlerinde geçerli sayılması için, testi yapan firmanın TSE TS 13638 A Sınıfı Sızma Testi Yetki Belgesi'ne sahip olması büyük avantaj sağlar. Belgesiz firmaların raporları bazı denetim süreçlerinde kabul edilmemektedir.

Sızma Testi Neden Hayati Önemde? Verilerle Anlatım

Siber tehditlerin boyutunu somut rakamlarla görmek, sızma testinin neden bir "maliyet kalemi" değil "sigorta poliçesi" olduğunu netleştirir:

IBM'in Veri İhlallerinin Maliyeti Raporu'na göre, ortalama bir siber saldırı kuruma 4,46 milyon dolar kayba neden olmaktadır. Aynı raporda Orta Doğu bölgesi 8,07 milyon dolar ortalama ile dünya ikinciliğindedir. Türkiye, Para Dergisi'nde yayımlanan analize göre kendi bölgesinde en fazla siber saldırıya uğrayan ülke konumundadır. Cybersecurity Ventures'ın projeksiyonu, 2025 yılında siber suçların küresel maliyetinin 10,5 trilyon doları aşacağını göstermektedir.

Sızma Testinin Kuruma Sağladığı Somut Faydalar

Sızma testinin pratik getirileri yalnızca "açıkları bulmak" ile sınırlı değildir. İşletmenize şu somut faydaları sağlar:

• Proaktif Savunma: Siber saldırı başınıza geldikten sonra yara sarmak, müşteri verilerini kurtarmak ve fidye ödemek devasa maliyetler doğurur. Sızma testi olası felaketi yaşanmadan önce engeller.
• Yasal Regülasyonlara Uyum: KVKK, 7545 sayılı Kanun, BDDK, ISO 27001 ve GDPR gibi standartlar bağımsız sızma testlerini zorunlu kılar.
• İtibar ve Finansal Koruma: Müşteri verilerinin çalınması veya fidye yazılımı kilitlenmesi telafisi zor itibar kayıplarına yol açar. Müşteriler verilerini koruyamayan bir şirketle çalışmak istemez.
• Sigorta Primi İndirimi: Siber sigorta sağlayıcıları, sızma testi yaptıran kurumlara genelde %15-30 daha düşük prim teklif eder.
• Yatırımcı ve Müşteri Güveni: Özellikle B2B sözleşmelerinde, alıcı tarafın "güncel sızma testi raporu" istemesi yaygınlaşmıştır.
• Çalışan Farkındalığı: Sosyal mühendislik testleri, sadece teknolojinin değil insan faktörünün de güvenlikteki rolünü ortaya koyar.

Sızma Testi Aşamaları: 5 Adımda Profesyonel Süreç

İnvekor Bilgi Teknolojileri olarak gerçekleştirdiğimiz sızma testleri, uluslararası kabul görmüş metodolojilere OWASP, PTES (Penetration Testing Execution Standard), OSSTMM (Open Source Security Testing Methodology Manual) ve NIST SP 800-115 dayanır. Süreç 5 ana aşamadan oluşur:

1. Bilgi Toplama (Reconnaissance) Hedef kurum hakkında açık kaynaklardan (OSINT), DNS kayıtlarından, Shodan ve Censys gibi servislerden, Dark Web sızıntı veritabanlarından ve sosyal medyadan bilgi toplanır. IP blokları, alt alan adları, çalışan e-postaları, kullanılan teknoloji yığını, sızdırılmış kimlik bilgileri ve potansiyel saldırı yüzeyleri haritalanır.
2. Tarama ve Sınıflandırma (Scanning & Enumeration) Tespit edilen sistemlerde açık portlar, çalışan servisler, yazılım sürümleri ve potansiyel zafiyetler Nmap, Nessus, Burp Suite, Nuclei gibi araçlarla taranır. Web uygulamalar için OWASP Top 10 kontrolü, ağ için CVE eşleştirmesi yapılır. Bulgular CVSS skoruna göre kritiklik seviyesinde sınıflandırılır.
3. Sisteme Sızma (Exploitation) Bulunan zafiyetler — SQL Injection, XSS, RCE (Remote Code Execution), zayıf parolalar, hatalı yetkilendirme, yanlış yapılandırma — manuel olarak istismar edilir. Otomatik araçların kaçırdığı iş mantığı hataları (business logic flaws) bu aşamada ortaya çıkar. Her başarılı istismar ekran görüntüleri ve loglarla belgelenir.
4. Yetki Yükseltme ve Yanal Hareket (Post-Exploitation) Sisteme düşük yetkilerle girildiyse Admin/Root hakları elde edilmeye çalışılır. Active Directory üzerinde Domain Admin yetkisine ulaşma, BloodHound ile saldırı yollarının haritalanması, kritik veritabanlarına erişim ve diğer sunuculara yanal hareket (lateral movement) testleri yürütülür. Bu aşama "bir saldırgan içeri girerse ne kadar ilerleyebilir?" sorusunu yanıtlar.
5. Raporlama ve Re-Test Tüm bulgular iki rapor halinde sunulur: yöneticiler için Executive Summary (iş etkisi odaklı), teknik ekipler için Detaylı Teknik Rapor (CVSS skoru, kanıtlar, istismar adımları, çözüm önerileriyle birlikte). Düzeltmeler yapıldıktan sonra ücretsiz re-test ile bulguların kapatıldığı doğrulanır ve nihai uygunluk raporu hazırlanır.

Sızma Testi Türleri ve Kapsamları

İhtiyaçlarınıza ve sistem mimarinize uygun olarak İnvekor bünyesinde farklı türde sızma testleri yürütüyoruz. Her testin amacı, kapsamı ve tipik süresi farklıdır:

1. Dış Ağ (External Network) Sızma Testi

Şirketinizin internete açık tüm yüzeylerinin — web sunucuları, e-posta sunucuları, VPN portları, güvenlik duvarı arayüzleri, RDP portları, uzak yönetim panelleri — dünyanın herhangi bir yerinden gelebilecek saldırılara karşı dayanıklılığını ölçer. Tipik süre: 5-10 iş günü.

2. İç Ağ (Internal Network) Sızma Testi

Saldırganın şirket ağına bir şekilde sızdığı (ofis kablosuna bağlandığı, bir çalışanın bilgisayarını zararlı yazılımla ele geçirdiği veya kötü niyetli bir çalışan olduğu) senaryolarda iç ağ üzerinde ne kadar ilerleyebileceği test edilir. Active Directory güvenliği, veritabanları, ERP/CRM sistemleri ve dosya paylaşımları detaylıca incelenir. Tipik süre: 7-15 iş günü.

3. Web ve Mobil Uygulama Güvenlik Testleri

Kurumunuza ait web siteleri, e-ticaret altyapıları, CRM sistemleri, API'ler, iOS ve Android tabanlı mobil uygulamalar üzerinde gerçekleştirilen kapsamlı OWASP Top 10 ve OWASP Mobile Top 10 testleridir. Kullanıcı verilerinin çalınıp çalınamayacağı, iş mantığı (business logic) hataları, yetkilendirme atlatma (privilege escalation) ve API güvenliği kontrol edilir. Tipik süre: 5-12 iş günü.

4. Sosyal Mühendislik ve Oltalama (Phishing) Testleri

Siber güvenliğin en zayıf halkası donanım değil, her zaman insandır. Kurum çalışanlarına yönelik senaryolu oltalama e-postaları (phishing), telefon aramaları (vishing), SMS dolandırıcılığı (smishing) ve fiziksel sızma denemeleri yapılarak farkındalık ölçülür. Test sonunda kimlerin tuzaklara düştüğü, parolaları paylaşıp paylaşmadıkları raporlanır ve hedefli eğitim planı hazırlanır. Tipik süre: 2-4 hafta.

5. Kablosuz Ağ (Wireless) Sızma Testleri

Şirket Wi-Fi ağlarının güvenliği test edilir. Misafir ağından kurum içi sunuculara geçiş yapılıp yapılamadığı, WPA2/WPA3 şifreleme algoritmalarının dayanıklılığı, Evil Twin saldırı senaryoları ve sahte erişim noktası testleri yürütülür. Tipik süre: 3-5 iş günü.

6. Bulut Altyapı (Cloud) Sızma Testleri

AWS, Azure veya Google Cloud üzerinde çalışan altyapılarda yanlış IAM yapılandırmaları, açık S3 bucket'ları, gereksiz yetkiler, container ve Kubernetes güvenliği test edilir. Hibrit ve çoklu bulut mimariler için kritik önem taşır. Tipik süre: 5-15 iş günü.

7. Red Team Operasyonları

Standart sızma testinin çok ötesine geçen, kurumun savunmasını (Blue Team) gerçek bir APT (Advanced Persistent Threat) saldırı senaryosuyla test eden uzun soluklu operasyondur. Fiziksel sızma, sosyal mühendislik, malware geliştirme ve uzun süreli kalıcılık (persistence) içerir. Tipik süre: 1-3 ay.

Black Box, Gray Box ve White Box Sızma Testi Karşılaştırması

Sızma testi başlatılırken kurumun teste sunduğu bilgi miktarına göre üç temel yaklaşım vardır. Hangisini seçeceğiniz, simüle etmek istediğiniz tehdit modeline göre değişir:

Kriter	Black Box	Gray Box	White Box
Verilen Bilgi	Hiçbir bilgi yok – sadece şirket adı	Sınırlı bilgi – standart kullanıcı hesabı	Tam bilgi – mimari, kaynak kod, kimlik bilgisi
Simüle Edilen Tehdit	Dışarıdan hedefli saldırgan	Kötü niyetli çalışan veya phishing kurbanı	Tam denetim ihtiyacı
Süre	Uzun (15-30 gün)	Orta (7-15 gün)	Kısa (5-10 gün)
Maliyet	Yüksek	Orta	Düşük (zaman/gün başına)
Açık Tespit Oranı	Düşük – sadece dışarıdan bulunabilenler	Yüksek – iç + dış birlikte	Çok yüksek – kod seviyesinde
Gerçekçilik	Çok yüksek	Yüksek	Düşük (saldırgan bu kadar bilgiye genelde sahip olmaz)
Önerildiği Senaryo	Olgun güvenlik programı, kırmızı takım tatbikatı	Çoğu kurumsal sızma testi (en yaygın seçim)	Yeni geliştirilen yazılım, kritik finansal sistem

Sızma Testi Fiyatları ve Süreleri (2026 Türkiye)

"Sızma testi ne kadar?" sorusu kurumların en sık sorduğu sorudur ve cevap "duruma göre değişir" olmak zorundadır. Fiyatı belirleyen ana faktörler şunlardır:

• Kapsam genişliği: Test edilecek IP adedi, web uygulama sayısı, kullanıcı rolleri
• Test türü: Web, ağ, mobil, sosyal mühendislik, Red Team
• Yaklaşım: Black Box, Gray Box veya White Box
• Firma yetki belgeleri: TSE A Sınıfı, CREST, OSCP'li uzman sayısı
• Re-test ihtiyacı: Düzeltme sonrası doğrulama testi
• Aciliyet: Standart takvim mi, ekspres mi?

Test Kapsamı	Tipik Süre	Fiyat Aralığı (TL, 2026)	Uygun Olduğu Kurum
Tek Web Uygulama (küçük)	3-5 iş günü	25.000 – 60.000	KOBİ, e-ticaret, SaaS startuplar
Web + API Detaylı	7-12 iş günü	60.000 – 150.000	Orta ölçekli SaaS, fintech
Dış Ağ Sızma Testi	5-10 iş günü	50.000 – 180.000	Kurumsal şirketler, KVKK uyum
İç Ağ + Active Directory	10-15 iş günü	120.000 – 350.000	Holding, fabrika, üniversite
Mobil Uygulama (iOS + Android)	5-10 iş günü	50.000 – 140.000	Bankacılık ve fintech uygulamaları
Phishing Kampanyası	2-4 hafta	35.000 – 120.000	500+ çalışanlı kurumlar
Komple Kurumsal (Web + Ağ + Sosyal)	20-30 iş günü	250.000 – 500.000	Banka, sigorta, kamu, hastane
Red Team Operasyonu	1-3 ay	500.000 – 1.500.000+	Olgun güvenlik programı olan kurumlar

Sızma Testi Ne Sıklıkla Yaptırılmalıdır?

Siber güvenlik statik değil, dinamik bir süreçtir. Dün güvenli olan bir sistem, bugün çıkan yeni bir zafiyet (Zero-Day) sebebiyle savunmasız kalabilir. Genel kural ve uluslararası standartlar şunu söyler:

Yıllık testin yanında aşağıdaki durumlarda mutlaka ek sızma testi yapılmalıdır:

• Yeni bir web/mobil uygulama yayınlandığında
• Bilgi işlem altyapısında büyük değişiklik (veri merkezi taşıma, bulut geçişi) yapıldığında
• Yeni bir kritik servis veya API devreye alındığında
• Active Directory mimarisinde major değişiklik olduğunda
• Ciddi bir güvenlik olayı (siber saldırı, veri sızıntısı) yaşandıktan sonra
• M&A süreçlerinde (satın alma/birleşme öncesi due diligence)
• Kritik bir güvenlik yaması veya konfigürasyon değişikliği sonrası

Sektörel olarak finans, sağlık ve kritik altyapı kurumlarının yılda 2-4 kez test yaptırması; bankacılık uygulamalarında ise her major sürüm öncesi test yaptırılması iyi uygulama olarak kabul edilmektedir.

Doğru Sızma Testi Firması Nasıl Seçilir?

Sızma testi, sisteminizin en mahrem bilgilerine ve mimarisine erişen bir hizmettir. "En ucuzunu seçmek" hem güvenlik hem yasal açıdan ciddi risk doğurur. Firma seçerken aşağıdaki kriterleri sırayla kontrol edin:

Kritik Kontrol Listesi

• TSE TS 13638 A Sınıfı Sızma Testi Yetki Belgesi: Türkiye'de hukuki geçerlilik için tek resmi belge.
• ISO/IEC 27001 Sertifikası: Firmanın kendi bilgi güvenliği yönetimi olgun mu?
• Uzmanların uluslararası sertifikaları: OSCP, OSEP, OSCE, CEH, CISSP, GPEN, CRTP — kaç tane var, hangi seviyede?
• Sektörel referanslar: Benzer sektörde (finans, sağlık, e-ticaret) referansları var mı?
• Metodoloji şeffaflığı: OWASP, PTES, OSSTMM, NIST 800-115 hangi metodolojileri kullanıyor?
• Örnek rapor: Anonim örnek rapor görmek isteyin — derinliği ve kalitesi buradan anlaşılır.
• Gizlilik (NDA) ve sigorta: Mesleki sorumluluk sigortası ve karşılıklı NDA standart olmalı.
• Re-test imkanı: Düzeltme sonrası ücretsiz re-test sunuluyor mu?
• Yerli uzman ekip: Outsource veya alt yüklenici değil, kendi bordrolu uzman kadrosu olmalı.
• İletişim ve raporlama dili: Türkçe + İngilizce rapor sunuluyor mu? Üst yönetim sunumu yapılıyor mu?

Yapay Zeka Çağında Sızma Testi: 2026 ve Sonrası

Modern bir sızma testi artık yalnızca klasik OWASP Top 10'a bakmıyor. Yapay zeka çağında ortaya çıkan yeni saldırı yüzeyleri de test kapsamına alınıyor:

AI Çağı Spesifik Test Senaryoları

• LLM Güvenliği (OWASP Top 10 for LLM): Kurumun kullandığı ChatGPT, Claude veya kendi geliştirdiği AI asistanlarına yönelik prompt injection, jailbreak, training data leakage testleri.
• Deepfake Sosyal Mühendislik: CEO sesinin klonlanmasıyla finans departmanına yapılan sahte "acil transfer" çağrıları simüle ediliyor.
• AI Destekli Phishing Tespiti: Saldırganların ChatGPT/Claude ile ürettiği kusursuz Türkçe phishing e-postaları test ediliyor; klasik filtreler bunları kaçırıyor.
• RAG Sistemleri ve Vektör Veritabanları: Embedded vektör veritabanlarındaki yetkilendirme açıkları (cross-tenant data leakage).
• AI Ajan (Agent) Güvenliği: Otonom AI ajanlarının yetkisiz aksiyon almasına karşı tool-call güvenliği.
• Shadow AI Tespiti: Çalışanların habersiz kullandığı ücretsiz AI servislerine giden kurumsal veri sızıntıları.

Sıkça Sorulan Sorular (SSS)

Sonuç: Zafiyetleri Hackerlardan Önce Siz Bulun

Siber tehditlerin yapay zeka destekli araçlarla katlanarak karmaşıklaştığı 2026 yılında, şirketinizin güvenliğini şansa veya temenniye bırakmak ciddi finansal, hukuki ve itibarsal risk doğurur. Yasal regülasyonlar her geçen ay sıkılaşıyor, KVKK Kurulu cezalarının üst sınırı her yıl artıyor ve müşteriler artık partner seçimlerinde sızma testi raporu istiyor.

İnvekor Bilgi Teknolojileri olarak kurumunuzun BT altyapısını, ağ güvenliğini, web ve mobil uygulamalarınızı uluslararası metodolojiler (OWASP, PTES, OSSTMM, NIST) ile test ediyor; KVKK, ISO 27001 ve 7545 sayılı Kanun denetimlerinde geçerli, dünya standartlarında detaylı raporlar sunuyoruz. Tüm hizmetlerimiz ücretsiz re-test, NDA ve mesleki sorumluluk sigortası ile güvence altındadır.