EresusSecurity
Araştırmalara Dön
Metodoloji

Ne Sıklıkla Sızma Testi (Pentest) Yaptırmalısınız? (Yıllık Denetim Efsanesi)

Nadir Çağan YılmazJunior Sızma Testi Uzmanı
6 Nisan 2026
Güncellendi: 27 Nisan 2026
5 dk okuma

Kurumsal teknoloji dünyasında yıllardır tekrarlanan ve yöneticilerin içini rahatlatan tehlikeli bir gelenek var: "Her yılın son çeyreğinde sızma testi (pentest) raporumuzu alırız, yılı güvenli kapatırız."

Fakat gerçek dünyada hacker takvimleri sizin mali döngülerinizi beklemez. Günde onlarca kez kod yayınlanan (deploy), sürekli yeni sunucuların açılıp kapandığı bulut ortamlarında yılda bir kez yapılan sızma testleri, sistemin yılın geri kalan 364 gününde savunmasız kalması anlamına gelir.

Temel Değerlendirme: Geliştirme yapan modern şirketler için "Yıllık Sızma Testi" dönemi resmen kapanmıştır. Çoğu şirket için minimum standart çeyreklik (3 ayda bir) olmalıyken, DevSecOps mimarisine geçen teknoloji odaklı işletmeler artık kod her değiştiğinde aralıksız çalışan Sürekli (Continuous) Penetrasyon Testleri uyguluyorlar.

1. Neden "Yılda Bir Kez Pentest" Geleneksel Bir Tuzaktır?

Yılda bir kez test yapan firmaların yaşadığı senaryo genellikle şuna benzer:

  1. 1 Ocak: Pentest yapılır ve bulunan açıklar yamanır. Sistem 1 Ocak itibarıyla %100 güvenlidir.
  2. 15 Şubat: Yazılım ekibi sisteme "Yeni Ödeme Modülü" ekler. Olası bir hata, yıl sonuna kadar sistemde açık kalacaktır.
  3. 10 Mayıs: Kritik bir altyapı kütüphanesinde küresel bir sıfırıncı gün (Zero-day) açığı ortaya çıkar. Şirket bir sonraki testine aylar olduğu için açık hedeftedir.

Matematiksel Gerçek: Uygulamanıza her gün 1 yeni özellik (commit) ekliyorsanız, yıllık pentestiniz o yılın sadece %0.3'lük bir kısmını denetlemiş olur. Güvenlik, durağan bir sertifika değil, kesintisiz bir süreçtir.

2. Ne Sıklıkla Test Yapmalısınız? (Endüstri Standartları)

Güvenlik bütçenizi optimize etmek için test sıklığınızı şirketinizin "hareketliliğine" göre belirlemelisiniz:

A) Yıllık veya 6 Aylık Testler (Büyük Finans ve Kamu Kurumları)

Uygulamaları nadir güncellenen, on-premise (fiziksel sunucu) ortamda kapalı devre çalışan ve sadece KVKK/BDDK gibi denetimlerden geçmek isteyen kurumların asgari tercihidir. Yine de bu sürede teknoloji çok hızlı eskir.

B) Çeyreklik (Üç Aylık) Testler (Büyüyen KOBİ ve Girişimler)

Her ay yeni özellikler çıkaran E-Ticaret, SaaS ve Fintek siteleri için minimum barajdır. Yeni eklenen API'lerin ve kullanıcı arayüzlerinin bir denetmen tarafından düzenli periyotlarla sınanmasını sağlar. Kurumsal firmalar için ideal ara noktadır.

C) Sürekli Sızma Testi (Continuous Pentesting)

Artık dünya standardı budur. Kod depoya gönderildiği an çalışan bir yaklaşımdır. Yeni bir buton, yeni bir sunucu, yeni bir mikroservis ayağa kalktığında test o salise tetiklenir.

3. Sistemi Hangi Durumlarda "Acilen" Test Etmelisiniz?

Rutine bağlamış test takvimlerinizin yanı sıra, bazı stratejik değişiklikler şirketiniz için "Acil Test" düğmesine basılmasını gerektirir:

  • Büyük Versiyon Güncellemelerinde: Uygulamanızı V1'den V2 mimarisine çektiğinizde veya tamamen yeni bir arayüze (Frontend) geçtiğinizde.
  • Altyapı (Cloud) Taşınmalarında: Fiziksel sunuculardan AWS, Azure ortamına veya Container (Kubernetes) mimarisine geçtiğiniz gün. Bulut konfigürasyon hataları en yaygın veri sızıntısı sebebidir.
  • Şirket Birleşmeleri ve Satın Almalarda (M&A): Başka bir yazılım girişimini bünyenize kattığınızda, o kodların eski sahibinin ne kadar dikkatli olduğunu bilemezsiniz. O kodları ana sistemlerinize entegre etmeden önce kesinlikle testten geçirmelisiniz.

4. Otonom Ajanlarla Pentest Sıklığını "Günde 100 Keze" Çıkarmak

Sürekli sızma testini duyan şirketlerin aklına aynı korku gelir: "Sürekli insan danışmanlara ödeme yapmak şirketleri iflas ettirir!"

Geleneksel şirketlerde bu korku haklıdır. Ancak Eresus Security, yapay zeka ajanları ile bu finansal darboğazı kırar: İnsanlardan oluşan güvenlik ekipleri günün belirli saatlerinde, belirli hızda çalışırken; Eresus AI Güvenlik ajanları şirketinizin CI/CD (Sürekli Entegrasyon) ve Github süreçlerine yerleşir. Geliştiricileriniz bir günde ister 1 kez, ister 100 kez güncelleme yapsın, ajanlar otonom olarak devrede kalır, sistemin yeni açıklarını kontrol eder, düzeltmeler sağlar ve maliyetleri geleneksel pazarın çok altına indirir.

Yıl sonu paniklerinden kurtulup, sistematiği anlık, risksiz ve otonom hale getirmek için Eresus Security ile geleceğin siber güvenlik mimarisine adım atın.

SSS

Scanner raporu bu kontrolün yerine geçer mi?

Hayır. Scanner bilinen zafiyet desenlerini yakalar; fakat iş mantığı, yetki sınırı, zincirleme etki ve gerçek istismar kanıtı manuel testle doğrulanır.

Kapsam çıkarırken en sık yapılan hata nedir?

Sadece URL listesi vermek. Sağlıklı kapsam roller, kritik iş akışları, veri tipleri, entegrasyonlar, admin panelleri, test hesapları ve hariç varlıklarla birlikte çıkarılmalıdır.

Ne zaman profesyonel destek gerekir?

Uygulama müşteri verisi, ödeme, kimlik, admin işlemleri veya çok kiracılı yapı içeriyorsa profesyonel pentest gerekir. Bu alanlarda küçük bir yetki hatası büyük iş etkisi doğurabilir.

Uygulama Notları

Pentest kapsamı sadece domain listesiyle çıkarılırsa en değerli iş akışları dışarıda kalabilir. Gerçek kapsam kullanıcı rolleri, kritik aksiyonlar, ödeme ya da dosya akışı, admin işlemleri ve entegrasyonlarla birlikte düşünülmelidir.

Pratik hazırlık listesi:

  • Test edilecek ortam ve hariç tutulacak varlıklar net mi?
  • Admin, müşteri, bayi, destek ve düşük yetkili roller için hesap var mı?
  • Kritik akışların iş etkisi yazıldı mı?
  • Test verisi production verisinden ayrıldı mı?
  • Bulgular için retest kriteri ve sorumlu ekip belirlendi mi?

Karar Çerçevesi

Scanner çıktısı güvenlik konuşmasını başlatabilir; fakat pentest kararını bitirmez. Önemli olan açığın gerçekten istismar edilip edilemediği, hangi veri veya aksiyonla sonuçlandığı ve remediation önceliğinin ne olduğudur.

Profesyonel Destek Eşiği

Aşağıdaki durumlardan biri varsa konu artık yalnızca iç kontrol maddesi değildir:

  • Production verisi veya müşteri hesabı etkilenebilir.
  • Yetki sınırı birden fazla rol ya da tenant üzerinden çalışır.
  • Bulgu zincirlenince veri sızıntısı, kalıcı erişim veya operasyon kesintisi doğurabilir.
  • Ekipte test kanıtını yeniden üretecek ve remediation önceliği çıkaracak zaman yoktur.

Eresus Security bu noktada bulguyu sadece raporlamakla kalmaz; istismar kanıtı, etki analizi, remediation sırası ve retest kriteriyle birlikte ele alır. Böylece ekip “ne açık?” sorusundan “neyi, hangi sırayla kapatmalıyız?” kararına geçer.

Ek Kontrol Soruları

  • Bu risk hangi varlıkları etkiliyor?
  • Hangi kullanıcı rolleri bu akışa erişebiliyor?
  • Aynı sorun başka endpoint veya entegrasyonda tekrar ediyor mu?
  • Bulgunun müşteri verisine etkisi var mı?
  • Loglardan olayın izi sürülebiliyor mu?
  • Düzeltme sonrası retest nasıl yapılacak?
  • Geçici önlem ile kalıcı çözüm ayrıldı mı?
  • İş etkisi teknik ekibin dışında da anlaşılır mı?
  • Benzer hata için önleyici kontrol eklenebilir mi?
  • Ekip bu kontrolü release sürecine bağlayabilir mi?
  • Gerekirse bağımsız doğrulama için hangi kanıtlar hazırlanmalı?
  • Sonraki sprintte hangi iç bağlantı ve servis sayfası desteklemeli?

Güvenlik Doğrulaması

Bu riski kendi sisteminizde test ettirdiniz mi?

Eresus Security; sızma testi, AI ajan güvenliği ve kırmızı takım operasyonlarıyla gerçek istismar kanıtı üretir.

Pilot test talep et

İlgili Araştırmalar

Web Security

Scanner Raporu Pentest Yerine Geçer mi?

Otomatik zafiyet tarama raporu ile manuel pentest arasındaki farkı, kanıt, iş etkisi ve kapsam açısından açıklıyoruz.

Web Security

Web Pentest Kapsamı Nasıl Çıkarılır?

Web uygulama pentest kapsamını asset sayısı yerine riskli iş akışları, roller, veriler ve entegrasyonlar üzerinden nasıl planlayacağınızı anlatıyoruz.

Red Team

Red Team ile Pentest Arasındaki Fark

Red team ve pentest aynı şey değildir; amaç, kapsam, yöntem, çıktı ve iş değeri açısından hangi durumda hangisi gerekir?