TLDR:
Sızma testi (pentest), sistemlerdeki, ağlardaki, uygulamalardaki veya fiziksel tesislerdeki güvenlik açıklarını sistematik olarak istismar etmeye çalışma pratiğidir—zayıflıkları rakipler tespit etmeden önce belirlemek için kötü niyetli bir saldırganın eylemlerini simüle eder. Pentest’ler tipik olarak özelleşmiş güvenlik firmaları (veya iç ekipler) tarafından kontrollü, yetkili koşullar altında yürütülür.
Sızma Testi Türleri
Büyük kategoriler şunları içerir: ağ sızma testi (harici ve dahili ağ saldırı yüzeyleri), web uygulama testi (özel uygulamalarda OWASP Top 10 açıkları), mobil uygulama testi, bulut sızma testi (AWS/Azure/GCP yanlış yapılandırmaları), kablosuz ağ testi, sosyal mühendislik (phishing simülasyonları, fiziksel erişim girişimleri), API testi ve giderek artan biçimde AI/LLM red-team testi.
Metodoloji ve Standartlar
Standartlaştırılmış metodolojiler pentest’leri yönlendirir: OWASP Web Güvenlik Test Kılavuzu, PTES (Sızma Testi Yürütme Standardı), NIST SP 800-115 ve OSSTMM. Tipik bir görev şu adımları izler: kapsam belirleme ve görev kuralları, keşif ve bilgi toplama, açık tanımlama, istismar girişimleri, istismar sonrası (ayrıcalık yükseltme, yanal hareket), raporlama (düzeltme rehberliğiyle önem derecesi puanlanmış bulgular) ve düzeltmeden sonra yeniden test.
Düzenleyici ve İş Gereksinimleri
Pentest’ler birçok çerçeve altında gerekli veya beklenir: SOC 2 ve ISO 27001 tipik olarak yıllık pentest bekler; PCI-DSS kart sahibi veri ortamlarının düzenli pentest’ini gerektirir; NIS2 temel kuruluşlar için güvenlik testi gerektirir; birçok kurumsal müşteri satıcı güvenlik incelemelerinin bir parçası olarak pentest gerektirir. Maliyetler büyük ölçüde değişir—küçük kapsamlı testler için 5K-10K dolardan karmaşık kurumsal görevler için 50K+ dolara kadar.