Siber saldırı yöntemleri her yıl daha karmaşık hale gelirken, şirketlerin sistemlerinde görünmeyen açıklar oluşmaktadır.
Bu açıkların siber saldırganlar tarafından bulunmadan önce tespit edilmesi için yapılan kontrollü saldırı simülasyonuna penetrasyon testi (pentest) denir.
Pentest, sadece bir güvenlik raporu değildir; şirketin tüm risk seviyesini, zafiyet yönetimini ve güvenlik olgunluğunu belirleyen kritik bir danışmanlık bileşenidir.
🔍 Pentest Nedir?
Pentest, bir sistemin güvenliğini test etmek için gerçek hacker teknikleri kullanılarak yapılan kontrollü siber saldırıdır.
Amaç:
- Güvenlik açıklarını bulmak
- Açıkları sömürerek etkisini göstermek
- Riskin iş sürekliliğine etkisini raporlamak
- Çözüm önerileri sunmak
Profesyonel pentest, şirketlerin siber dayanıklılık seviyesini anlamasını sağlar.
💻 Pentest Türleri Nelerdir?
Pentest birkaç farklı kategoriye ayrılır:
1. İç Ağ (Internal) Pentest
Şirket ağına sızıldığında neler yapılabileceğinin simülasyonudur.
En kritik pentest türüdür.
Test edilenler:
- Domain kontrolcüsü
- Dosya paylaşımları
- Kullanıcı yetkileri
- RDP/SMB zafiyetleri
- Kerberoasting / NTLM saldırıları
2. Dış Ağ (External) Pentest
İnternete açık sistemlere yapılan testtir.
Hedef:
- IP adresleri
- VPN
- Web servisleri
- Cloud sistemleri
3. Web Uygulaması Pentest
En çok saldırıya uğrayan alan burasıdır.
Test edilen başlıklar:
- SQL Injection
- XSS
- CSRF
- Authentication bypass
- Dosya upload zafiyetleri
4. Mobil Uygulama Pentest
Android & iOS uygulamaları için:
- API hataları
- Veri sızıntısı
- Güvensiz saklama
- Jailbreak bypass testleri
5. Wireless Pentest
Kablosuz ağlar şirketin en zayıf halkası olabilir.
Test edilenler:
- WPA/WPA2 sorunları
- Rogue AP saldırıları
- EAP yapılandırması
6. Sosyal Mühendislik Testleri
- Phishing
- Spear phishing
- Şifre politikası testleri
Bu testler çalışan farkındalığını ölçer.
🛠️ Pentest Nasıl Yapılır? (Adım Adım Süreç)
Pentest süreci genelde şu aşamalardan oluşur:
- Keşif ve bilgi toplama
- Zafiyet taraması
- Saldırı simülasyonu
- Yetki yükseltme
- İç sistem yayılım testi
- Kanıt toplama
- Rapor hazırlama
- Çözüm önerileri ile birlikte teslim
Her adım kontrollü, izlenebilir ve geri alınabilir şekilde yapılır.
🎯 Pentest Sonuçları Şirkete Ne Katar?
- ✔ Açıkların eksiksiz listesi
- ✔ Saldırganın sistemde nereye kadar ilerleyebileceği
- ✔ Veri sızıntısı risklerinin görünür olması
- ✔ Ransomware yayılım senaryoları
- ✔ Güvenlik yatırımı planlaması
- ✔ Yönetim için somut güvenlik skoru
- ✔ KVKK teknik tedbirlere uyum
Pentest, IT ekibinin göremediği riskleri açığa çıkarır.
🔗 Pentest Danışmanlık Paketlerine Nasıl Dahil Edilir?
Birçok firma pentesti tek seferlik bir işlem olarak görür.
Oysa doğru model pentesti yıllık danışmanlık paketine entegre etmektir.
Codark’ın uyguladığı ideal model:
1️⃣ Yılda 1 büyük pentest (iç + dış ağ)
Tüm kritik zafiyetlerin tespiti.
2️⃣ 3 ayda bir mini pentest veya zafiyet taraması
Yeni çıkan güvenlik açıkları için güncel test.
3️⃣ Firewall + EDR + SIEM ile ilişkilendirilmiş çözüm önerileri
Bulunan açıkların kapatılması.
4️⃣ Yönetim kuruluna özel pentest raporu
Karar vericilere yönelik sade, anlaşılır raporlama.
5️⃣ OrianaLOG üzerinden log korelasyonu
Pentest bulgularının loglarla eşleştirilmesi.
📊 Pentest Hizmeti Fiyatları (2025 Ortalama Türkiye Değerleri)
| Test Türü | Fiyat Aralığı |
|---|---|
| Web Uygulaması Pentest | 12.000 – 35.000 TL |
| İç Ağ Pentest | 20.000 – 60.000 TL |
| Dış Ağ Pentest | 15.000 – 40.000 TL |
| Mobil Uygulama Pentest | 20.000 – 70.000 TL |
| Wireless Pentest | 8.000 – 25.000 TL |
| Sosyal Mühendislik | 5.000 – 20.000 TL |
🛡️ Codark Pentest Yaklaşımı
Codark olarak pentest süreçlerinde:
- OSCP / CEH uzman kadro
- ISO 27001 uyumlu metodoloji
- Hem manuel hem otomatik test
- Kod inceleme destekli web pentest
- Active Directory saldırı simülasyonları
- OrianaLOG ile entegre analiz
- İyileştirme önerileri + danışmanlık
- Yönetim düzeyi raporlama
modellerini kullanıyoruz.
📌 Sonuç
Pentest hizmeti, şirketlerin siber dayanıklılığını ölçen ve görünmeyen riskleri ortaya çıkaran en önemli güvenlik yatırımlarından biridir.
Doğru danışmanlık paketi içinde sunulduğunda hem ekonomik hem etkili sonuçlar üretir.
Pentest Hizmeti Nedir? Danışmanlık Paketlerine Nasıl Dahil Edilir?