Bizi Takip Edin :
Veri Güvenliği

Sızma Testi Rehberi: Zafiyet Taraması Farkı ve KVKK Beklentisi

Sızma testi ve zafiyet taraması kavramı — ekranda güvenlik açığı raporu — Xen Bilişim Veri Güvenliği

Elimize gelen “sızma testi raporu” dediğimiz belgelerin çoğu aslında sızma testi değil. Otomatik bir tarayıcının ürettiği, yüzlerce satırlık, “bilgi seviyesi” bulgularla şişirilmiş bir zafiyet tarama çıktısı oluyor genelde. Firma parasını ödemiş, klasörde bir PDF duruyor, KVKK denetimine “testimizi yaptırdık” diye giriliyor. Sonra gerçek bir saldırıda ortaya çıkıyor ki test edilen şeyle saldırganın kullandığı yol birbirinden çok farklı.

Bu ikisini karıştırmak, güvende olmadığınız halde güvende sandığınız için tehlikeli. Farkı netleştirelim.

Zafiyet taraması ile sızma testi aynı şey değil

Zafiyet taraması (vulnerability scan) otomatik bir işlemdir. Bir yazılım ağınızı veya uygulamanızı tarar, bilinen açıkları imza veritabanıyla eşleştirir ve bir liste çıkarır. Hızlıdır, ucuzdur, düzenli çalıştırılır. Ama bir makine, bulduğu açığın gerçekten sömürülebilir olup olmadığını, birkaç zafiyeti birleştirip sisteme girip giremeyeceğini bilmez. Yanlış pozitif üretir, iş bağlamını göremez.

Sızma testinde ise bir uzman, tıpkı gerçek bir saldırgan gibi düşünerek sistemi zorlar. Bulduğu açığı gerçekten sömürür, yetki yükseltir, yatay geçiş yapar, “buraya kadar girdim, şu veriye ulaştım” diye kanıtıyla gösterir. Otomatik tarama “kapı kilidin zayıf görünüyor” der; sızma testi kapıyı açıp içeri girer ve masanın üstündeki dosyayı fotoğraflar.

Zafiyet TaramasıSızma Testi
YöntemOtomatik yazılımİnsan uzman + araçlar
ÇıktıAçık listesiSömürü kanıtı + etki analizi
Yanlış pozitifYüksekElemeli, doğrulanmış
SıklıkSürekli/aylıkYılda 1 + büyük değişiklik sonrası
MaliyetDüşükKapsama göre değişir
Neyi cevaplar”Hangi açıklar var?""Bir saldırgan gerçekten ne yapabilir?”

İkisi rakip değil, birbirini tamamlar. Zafiyet taramasını sürekli çalıştırır, sızma testini yılda bir yaptırırsınız. Sorun, ikincisinin fiyatına birincisini satan sağlayıcılarda.

KVKK sızma testi istiyor mu?

Kısa cevap: dolaylı ama net şekilde evet. 6698 sayılı Kanun’un 12. maddesi veri sorumlusuna “uygun güvenlik düzeyini sağlamak” yükümlülüğü getiriyor ama “sızma testi yaptır” diye bir cümle içermiyor. Asıl referans, Kurul’un yayımladığı Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler). Bu rehber, alınması beklenen teknik tedbirler arasında zafiyet taramaları ve sızma testlerini açıkça sayıyor.

Uygulamada Kurul’un beklentisi, kişisel veri işleyen sistemlere düzenli aralıklarla — sektör pratiğinde yılda en az bir kez — bağımsız ve uzman bir kuruluşa sızma testi yaptırılması yönünde. Bir veri ihlali sonrası inceleme açıldığında, “uygun güvenlik düzeyini” gerçekten sağladığınızın en somut kanıtlarından biri düzenli sızma testi geçmişiniz oluyor. Testi yaptırmamış olmak, ihlal halinde idari para cezasının ağırlaştırıcı bir unsuru olarak değerlendirilebiliyor.

KVKK’nın ötesinde başka sürücüler de var: ISO 27001 sertifikasyonu, PCI DSS (kart verisi işleyenler için yıllık test şartı), müşterilerin tedarikçi güvenlik denetimleri ve son dönemde siber sigorta poliçelerinin ön koşulları. Poliçe başvurunuzda “son 12 ayda sızma testi yaptırdınız mı?” sorusuna hayır demek, primi yükseltiyor ya da teminatı daraltıyor.

Hangi tür sızma testi size uygun?

“Sızma testi” tek bir şey değil. Kapsamı ve bakış açısını doğru seçmek, harcadığınız bütçenin işe yaramasını belirliyor.

Bilgi seviyesine göre:

  • Kara kutu (black-box): Testçiye hiçbir bilgi verilmez, tıpkı dışarıdan gelen bir saldırgan gibi başlar. Gerçekçi ama zaman alır.
  • Gri kutu (grey-box): Kısmi erişim ve bilgi verilir (örneğin standart bir kullanıcı hesabı). KOBİ’ler için genelde en verimli denge budur — çalınmış bir kullanıcı hesabının nereye kadar gidebileceğini görürsünüz.
  • Beyaz kutu (white-box): Testçiye kaynak kod, mimari ve tam erişim verilir. En derin sonucu verir, en çok emek ister.

Hedefe göre:

  • Dış ağ testi: İnternete açık sunucu, VPN, web sitesi, e-posta ağ geçidi — dışarıdan görünen yüzeyiniz.
  • İç ağ testi: Ofise bir şekilde girmiş bir saldırgan (ya da kötü niyetli çalışan) neler yapabilir?
  • Web/uygulama testi: Müşteri portalınız, e-ticaret siteniz, iç yönetim paneliniz.
  • Sosyal mühendislik: Oltalama e-postası simülasyonu ile insan faktörünü ölçme.

Çoğu işletme için mantıklı başlangıç, dış ağ + kritik web uygulaması + gri kutu iç ağ kombinasyonudur. Kişisel veri nerede akıyorsa testin kapsamı orayı içermeli — kapsam dışı bıraktığınız sistem, denetimde “neden test edilmedi?” sorusuna dönüşür.

Rapordan ne bekleyeceksiniz?

Sızma testinin gerçek değeri raporda ortaya çıkar. İyi bir rapor şunları içerir:

  1. Yönetici özeti: Teknik olmayan karar vericinin okuyabileceği risk tablosu.
  2. Bulgular, önem derecesine göre: Kritik/yüksek/orta/düşük, tercihen CVSS puanıyla.
  3. Sömürü kanıtı (PoC): Her ciddi bulgu için “şöyle girdik” adımları ve ekran görüntüsü.
  4. Somut düzeltme önerileri: “Şunu güncelleyin, şu ayarı kapatın” düzeyinde uygulanabilir.
  5. Yeniden test (retest): Bulguları kapattıktan sonra doğrulama. KVKK açısından en kritik parça bu — açığın bulunması değil, kapatıldığının belgelenmesi denetimde değer taşıyor.

Testi yapan firmanın yetkinlik belgesi, testçilerin sertifikaları (OSCP, CEH gibi) ve testin veri gizliliği sözleşmesine bağlanmış olması da sormanız gereken şeyler. Sonuçta bu firmaya sisteminizin en zayıf noktalarını gösteriyorsunuz.

Sık sorulan sorular

Küçük bir işletmeyiz, gerçekten sızma testi lazım mı? Kişisel veri işliyorsanız ölçek küçük olsa da yükümlülük aynı. Bütçe kısıtınız varsa dış ağ ve kritik web uygulamasıyla dar kapsamlı başlayın; her şeyi aynı anda test ettirmek zorunda değilsiniz.

Ne sıklıkla yaptırmalıyız? Sektör pratiği yılda en az bir kez. Buna ek olarak; yeni bir uygulama yayına aldığınızda, altyapıda büyük bir değişiklik olduğunda veya bir güvenlik olayı yaşadıktan sonra tekrar edin.

Zafiyet taraması yeterli değil mi? Değil. Tarama açığı bulur ama sömürülebilir olup olmadığını, gerçek etkisini ve zincirleme riskleri göstermez. KVKK Rehberi ikisini birlikte bekliyor.

Test sistemimize zarar verir mi? İyi planlanmış bir test kapsamı ve zamanlaması olur, üretim etkisi asgariye indirilir. Riskli senaryolar test ortamında ya da mesai dışında yürütülür; bunu sözleşmede netleştirin.

Sızma testinizin kapsamını doğru çizmek, doğru sağlayıcıyı seçmek veya çıkan bulguları kapatmak için destek gerekiyorsa bize ulaşın — hem testi organize ediyor hem de sonrasında bulguların gerçekten kapatıldığından emin oluyoruz.

Kaynaklar

Bu yazıyı paylaşın
Read in English

İlgili Yazılar