EresusSecurity
Araştırmalara Dön
Red Team

Red Team ile Pentest Arasındaki Fark

Yiğit İbrahim SağlamOfansif Güvenlik Uzmanı
26 Nisan 2026
5 dk okuma
GuideRed Team

Temel Değerlendirme

Pentest, belirli bir sistem veya uygulamadaki zafiyetleri bulup kanıtlamaya odaklanır. Red team ise gerçekçi saldırgan hedefleriyle kurumun önleme, tespit, müdahale ve iş sürekliliği kapasitesini test eder. Pentest "hangi açıklar var?" sorusunu cevaplar. Red team "gerçek saldırgan kritik hedefe ulaşabilir mi, ekip bunu görebilir mi ve durdurabilir mi?" sorusuna cevap verir. İkisi rakip değil; güvenlik olgunluğunun farklı aşamalarında birbirini tamamlayan çalışmalardır.

Pentest Ne Zaman Doğru Seçimdir?

Pentest, kapsamı net bir sistemde teknik zafiyetleri bulmak ve düzeltmek için uygundur.

Tipik örnekler:

  • Web uygulama pentesti
  • API pentesti
  • Mobil uygulama pentesti
  • Cloud configuration review
  • İç ağ zafiyet değerlendirmesi
  • Production öncesi güvenlik testi
  • Compliance veya müşteri güvenlik talebi

Pentest çıktısı genellikle bulgu listesi, exploit kanıtı, risk derecesi ve remediation önerileridir.

Red Team Ne Zaman Gerekir?

Red team, belirli bir hedefe ulaşmaya çalışan gerçekçi saldırgan simülasyonudur. Kapsam, tek tek zafiyet bulmaktan çok saldırı zinciri kurmaya odaklanır.

Hedef örnekleri:

  • Domain admin yetkisine ulaşmak
  • Kritik müşteri verisine erişmek
  • CI/CD pipeline üzerinden üretim ortamına pivot etmek
  • EDR ve SOC tespit kapasitesini ölçmek
  • Phishing ile başlangıç erişimi denemek
  • Cloud IAM zinciri üzerinden privilege escalation yapmak

Red team sonucunda sadece "açık var" denmez; kurumun tespit ve müdahale refleksi de değerlendirilir.

Karşılaştırma Tablosu

| Kriter | Pentest | Red team | |---|---|---| | Ana soru | Hangi zafiyetler var? | Saldırgan hedefe ulaşabilir mi? | | Kapsam | Belirli sistem veya uygulama | Kurum, süreç ve saldırı zinciri | | Süre | Daha kısa ve yoğun | Daha uzun ve operasyonel | | Çıktı | Bulgu, PoC, remediation | Attack path, detection gap, response gap | | Görünürlük | Genellikle ekipler bilgilidir | Kısıtlı bilgi veya kontrollü gizlilik olabilir | | En iyi zaman | Ürün/servis güvenlik doğrulaması | Güvenlik programı olgunlaştığında |

Yanlış Bilinenler

| Yanlış varsayım | Gerçek durum | |---|---| | "Red team daha pahalı pentesttir." | Red team farklı hedef ve metodolojiye sahiptir. | | "Pentest varsa red team gerekmez." | Pentest açıkları azaltır; red team kurumun saldırı karşısındaki davranışını ölçer. | | "Red team sadece phishing yapar." | Phishing yalnızca olası başlangıç vektörlerinden biridir. | | "Red team raporu sadece teknik ekibe yarar." | Yönetim için saldırı yolu, iş etkisi ve detection maturity gösterir. |

Pratik Senaryo

Bir fintech şirketinde pentest API endpointlerinde BOLA, rate limit ve idempotency problemlerini bulabilir. Red team ise şu hedefi alır:

"Saldırgan, düşük yetkili bir çalışan hesabından başlayarak production ödeme akışına etki edebilir mi?"

Bu hedef için kimlik avı, token hırsızlığı, internal panel erişimi, cloud IAM yanlış konfigürasyonu ve SIEM görünürlüğü birlikte test edilebilir.

Red Team Öncesi Hazırlık

Red team değerli olsun istiyorsanız şu hazırlıklar yapılmalıdır:

  • Crown jewel varlıkları tanımlayın.
  • Rules of engagement yazılı olsun.
  • Güvenlik ve hukuk sınırları netleşsin.
  • SOC/detection ekipleri ölçüm kriterlerini bilsin.
  • Kritik sistemlerde acil durdurma kanalı tanımlansın.
  • Başarı kriterleri teknik değil iş hedefiyle yazılsın.

Profesyonel Destek Ne Zaman Gerekir?

Şu durumlarda red team düşünülmelidir:

  • Düzenli pentest yapılıyor ama gerçek saldırı zinciri bilinmiyor.
  • SOC, EDR veya SIEM yatırımlarının etkisi ölçülmek isteniyor.
  • Active Directory veya cloud identity attack path riski yüksek.
  • Finans, e-commerce, kritik veri veya regülasyon baskısı var.
  • Yönetim kuruluna teknik güvenlik olgunluğu kanıtlanmak isteniyor.

Red Team Sonrası Ne Olmalı?

Red team raporu tek başına final değildir. Asıl değer, bulguların savunma programına bağlanmasıyla çıkar:

  • Attack path hangi kontrol eksiklerinden oluştu?
  • SOC hangi adımı gördü, hangisini kaçırdı?
  • EDR uyarısı üretildi mi, kim inceledi?
  • Kimlik ve privilege escalation zinciri nerede kırılabilir?
  • Hangi bulgu hızlı düzeltme, hangisi mimari değişiklik ister?
  • Purple team oturumuyla detection rule üretilecek mi?

Bu nedenle red team çıktısı yalnızca security ekibine değil, platform, identity, IT, SOC ve yönetim tarafına da çevrilmelidir.

İçerik Yükseltme Önerisi

Bu yazıya bağlı en iyi içerik yükseltme Red Team Readiness Worksheet olur. Kurumun crown jewel, detection coverage ve response maturity alanlarını tek sayfada toplar.

Eresus Yaklaşımı

Eresus Security red team çalışmalarında hedefi önce iş etkisiyle tanımlar. Amacımız gösterişli senaryolar üretmek değil; kritik hedefe giden gerçekçi attack path'i, detection gap'leri ve remediation önceliklerini kanıtlamaktır. Kurumunuz pentestten red team seviyesine geçmeye hazır mı görmek için Red Team Scoping çalışması planlayabiliriz.

SSS

Red team pentestten önce yapılır mı?

Genellikle önce temel pentest ve hygiene kontrollerinin oturması daha sağlıklıdır. Red team daha olgun bir güvenlik programında daha yüksek değer üretir.

Purple team ile red team farkı nedir?

Red team saldırı hedefini test eder. Purple team, saldırı ve savunma ekiplerini birlikte çalıştırarak detection ve response kalitesini iyileştirir.

Red team raporu kimlere sunulmalı?

Teknik ekibe detaylı bulgular, yönetime ise saldırı yolu, iş etkisi, tespit başarısı ve öncelikli yatırım alanları sunulmalıdır.

Ek Kontrol Soruları

  • Bu risk hangi varlıkları etkiliyor?
  • Hangi kullanıcı rolleri bu akışa erişebiliyor?
  • Aynı sorun başka endpoint veya entegrasyonda tekrar ediyor mu?
  • Bulgunun müşteri verisine etkisi var mı?
  • Loglardan olayın izi sürülebiliyor mu?
  • Düzeltme sonrası retest nasıl yapılacak?
  • Geçici önlem ile kalıcı çözüm ayrıldı mı?
  • İş etkisi teknik ekibin dışında da anlaşılır mı?
  • Benzer hata için önleyici kontrol eklenebilir mi?
  • Ekip bu kontrolü release sürecine bağlayabilir mi?
  • Gerekirse bağımsız doğrulama için hangi kanıtlar hazırlanmalı?
  • Sonraki sprintte hangi iç bağlantı ve servis sayfası desteklemeli?

İlgili Araştırmalar

Web Security

Scanner Raporu Pentest Yerine Geçer mi?

Otomatik zafiyet tarama raporu ile manuel pentest arasındaki farkı, kanıt, iş etkisi ve kapsam açısından açıklıyoruz.

Red Team

Yapay Zeka (Cursor AI) ile Saniyeler İçinde Active Directory Pentest Laboratuvarı Kurulumu

Siber güvenlik uzmanları ve şirket içi Red Team ekipleri için Cursor AI, Terraform ve LLM promptları kullanarak tam kapsamlı, zafiyetli bir Active...