Sızma Testi Standartları Karşılaştırması: PTES, OWASP, OSSTMM, NIST, PCI DSS, MITRE
PTES, OWASP WSTG/MASTG, OSSTMM, NIST SP 800-115, PCI DSS ve MITRE ATT&CK arasındaki farklar; hangi standart ne zaman, neden tek standart yetmez ve olgun ekipler bunları nasıl harmanlar. Karşılaştırma tablosuyla uzman rehberi.
Sızma Testi Standartları Karşılaştırması: PTES, OWASP, OSSTMM, NIST, PCI DSS, MITRE
Hızlı cevap: "Hangi sızma testi standardı en iyi" yanlış sorudur, çünkü her biri farklı bir amaca hizmet eder. PTES süreci çerçeveler, OWASP WSTG web ve MASTG mobil derinliği verir, OSSTMM ölçülebilirlik getirir, NIST SP 800-115 resmi kamu dilini konuşur, PCI DSS kart sektöründe zorunluluktur ve MITRE ATT&CK saldırgan tekniklerini haritalar. Olgun ekipler bunları tek tek seçmez, hedefin amacına göre harmanlar.
Bir sızma testi teklifinde "PTES uyumludur" yazması, çoğu kişiye işin ciddiyetini anlatmaya yeter. Oysa o tek satır, ardındaki kararın yalnızca yüzeyidir. Gerçek soru şudur: bu testin amacı bir kart ödeme sistemini denetlemek mi, bir mobil bankacılık uygulamasının kasasını kırmak mı, yoksa bir kamu kurumunun yıllık uyum raporunu beslemek mi? Çünkü bu üç hedef, üç ayrı standart dünyasına bakar. DSET olarak yıllardır gördüğümüz en yaygın hata, ekiplerin "bir standart seçip ona sadık kalma" telaşına düşmesidir. Doğru yaklaşım bunun tam tersidir.
Bu yazıda altı büyük standardı tek tek açıyor, hangisinin neyi ölçtüğünü ve neden tek başına hiçbirinin yetmediğini anlatıyoruz.
Önce kritik ayrım: standart, metodoloji ve sertifika aynı şey değildir
Bu üç kavram sürekli birbirine karıştırılır ve karışınca yanlış beklenti doğar.
- Standart, bir işin nasıl yapılacağını tanımlayan ortak referanstır. OSSTMM ve NIST SP 800-115 bu anlamda standarttır.
- Metodoloji, o işin adım adım yürütülme biçimidir; bir çerçevedir. PTES tipik bir metodolojidir.
- Sertifika ise bir kişinin ya da kurumun belli bir yeterliliği kanıtladığı belgedir. OSCP bir bireysel sertifikadır, bir test standardı değildir.
Bu ayrım önemlidir, çünkü "OSCP standardına göre test yaptık" cümlesi teknik olarak yanlıştır. OSCP, sızma testçisinin pratik becerisini ölçen bir sınavdır; testin kendisini değil, testi yapan kişiyi belgeler. Bir raporun değerini, sertifika ile metodolojiyi ayırarak okumak gerekir.
PTES: süreci baştan sona çerçeveleyen omurga
PTES (Penetration Testing Execution Standard), bir sızma testinin baştan sona nasıl yürütüleceğini yedi aşamada tanımlar: ön etkileşim, istihbarat toplama, tehdit modelleme, zafiyet analizi, sömürü, sömürü sonrası ve raporlama. Gücü, teknik bir konuya odaklanmak yerine tüm süreci kapsamasıdır. Müşteriyle kapsamın konuşulmasından nihai rapora kadar her aşamanın ne içerdiğini söyler.
PTES'in yeri, bir testin iskeletidir. Hangi web zafiyetinin nasıl test edileceğini PTES size söylemez; onu OWASP'a bırakır. Ama testin "ne zaman başlayıp nerede biteceğini", hangi sırayla ilerleyeceğini ve müşteriyle hangi sınırların önceden netleştirileceğini PTES çerçeveler. Yedi aşamayı ve sahadaki uygulamasını PTES metodolojisi 7 aşama yazımızda ayrıntılı işledik. Bu yüzden bizde PTES bir bölümdür, tüm hikaye değil.
Kısacası PTES süreci yönetir, derinliği başka standartlardan alır.
OWASP WSTG: web uygulamalarının test sözlüğü
İş web uygulamasına gelince PTES'in genel dili yetmez. Burada OWASP Web Security Testing Guide (WSTG) devreye girer. WSTG, bir web uygulamasında nelerin test edileceğini neredeyse kontrol listesi netliğinde sıralar: kimlik doğrulama, oturum yönetimi, yetkilendirme, girdi doğrulama, iş mantığı, istemci tarafı zafiyetleri ve daha fazlası.
WSTG'nin değeri somutluğudur. "Web testi yaptık" demek belirsizdir; "WSTG'nin oturum yönetimi ve yetkilendirme kontrollerini koştuk" demek denetlenebilir bir ifadedir. Bir web sitesinin güvenlik testinde kapsamın nasıl çizildiğini web sitesi güvenlik hizmeti ve WAF yazımızda anlattık. WSTG, bir API ya da web uygulamasının her köşesinin atlanmadan taranmasını sağlayan bir haritadır.
Ancak WSTG sadece web içindir. Mobil uygulamaya, ağ altyapısına ya da bulut yapılandırmasına dokunmaz.
OWASP MASTG: mobil uygulamanın kasasını açan kılavuz
Mobil uygulama, web'den bambaşka bir saldırı yüzeyidir. Cihaz üzerinde çalışan kod, yerel veri depolama, platform API'leri ve istemci tarafı kriptografi devreye girer. OWASP Mobile Application Security Testing Guide (MASTG), tam da bu alanı kapsar ve genelde OWASP MASVS gereksinim seti ile birlikte kullanılır.
MASTG, bir iOS ya da Android uygulamasında yerel depolamanın güvenli olup olmadığını, kriptografinin doğru uygulanıp uygulanmadığını, tersine mühendisliğe karşı dayanıklılığı ve platform etkileşimlerini test etmeyi tarif eder. WSTG ile MASTG kardeş kılavuzlardır: biri web, diğeri mobil. Bir mobil bankacılık uygulamasını yalnızca WSTG ile test etmek, kasanın kapısını es geçip yalnızca camlara bakmak gibidir.
OSSTMM: güvenliği ölçülebilir kılan bilimsel yaklaşım
OSSTMM (Open Source Security Testing Methodology Manual), diğerlerinden felsefe olarak ayrılır. Onun derdi sadece "neyi test edeceğin" değil, "sonucu nasıl ölçeceğin"dir. OSSTMM, operasyonel güvenliği sayısal bir değere (RAV, Risk Assessment Value) indirger ve testin kapsamını, görünürlüğü, güveni ve kontrolleri bilimsel bir titizlikle tanımlar.
Bunun pratik faydası tekrarlanabilirliktir. İki farklı ekip aynı sistemi OSSTMM ile ölçerse, sonuçlar karşılaştırılabilir bir zeminde buluşur. "Sistem güvenli görünüyor" gibi öznel ifadeler yerine ölçülmüş bir değer çıkar. OSSTMM, güvenliği bir his olmaktan çıkarıp bir metriğe dönüştürmek isteyen ekipler için güçlüdür. Karşılığında öğrenme eğrisi diktir ve günlük web testinde çoğu ekibe OWASP kadar pratik gelmez.
NIST SP 800-115: resmi ve kamu dilini konuşan referans
NIST SP 800-115, ABD Ulusal Standartlar ve Teknoloji Enstitüsü'nün teknik güvenlik testi ve değerlendirmesi rehberidir. Planlama, keşif, saldırı ve raporlama gibi aşamaları tanımlar ve özellikle kamu kurumları ile düzenlemeye tabi sektörlerde resmi referans olarak anılır.
NIST'in gücü, ağırlığı ve kabul görmüşlüğüdür. Bir denetçi ya da düzenleyici karşısında "NIST SP 800-115 çerçevesinde değerlendirme yapıldı" demek, kurumsal ve hukuki olarak sağlam bir zemindir. İçeriği OWASP kadar web derinliğine inmez; daha üst seviyede, genel bir teknik değerlendirme çerçevesi sunar. Bir uyum raporunu beslemek için ideal, ama tek başına bir web uygulamasının her zafiyetini bulmak için yeterli değildir.
PCI DSS: seçenek değil, zorunluluk olan standart
Diğer standartların hepsi bir tercihken, PCI DSS farklıdır. Kart verisi işleyen, saklayan veya ileten her kuruluş için bu standart sözleşmesel bir zorunluluktur. PCI DSS, düzenli sızma testi yapılmasını açıkça şart koşar; segmentasyonun doğru çalıştığının test edilmesini, iç ve dış testlerin yapılmasını ve bulguların giderilmesini ister.
Buradaki fark niyettir. OWASP ile "daha güvenli olmak için" test yaparsınız; PCI DSS ile "uyumlu kalmak ve ceza yememek için" test yapmak zorundasınız. Kart altyapısı barındıran bir kuruluş, ne kadar iyi bir OWASP testi yaptırırsa yaptırsın, PCI DSS gerekliliklerini ayrıca karşılamadan uyumlu sayılmaz. API katmanı kart verisine dokunuyorsa, API güvenliği test ve koruma hizmeti bu zorunlu kapsamın kritik bir parçasıdır.
MITRE ATT&CK: saldırganın oyun kitabını haritalayan dil
MITRE ATT&CK bir test metodolojisi değildir; gerçek dünyadaki saldırganların kullandığı taktik ve tekniklerin (TTP) küresel bir bilgi tabanıdır. Bir sızma testini ya da kırmızı takım operasyonunu, "şu tekniği denedik, şu tekniği denemedik" diye somut tekniklere bağlamanızı sağlar.
ATT&CK'in gücü ortak dildir. Kırmızı takım bir saldırıyı ATT&CK teknik kimlikleriyle raporlar, mavi takım aynı kimliklerle hangi tekniği tespit edebildiğini gösterir ve ikisi aynı haritada buluşur. Özellikle kırmızı takım ve tehdit emülasyonu çalışmalarında, testin gerçek tehdit aktörlerini ne kadar taklit ettiğini ATT&CK ölçer. Tek başına "nasıl test edileceğini" söylemez; testin kapsamını ve gerçekçiliğini değerlendirmek için bir çerçeve sunar.
Büyük karşılaştırma: hangi standart neyi ölçer, kime uygundur
| Standart | Birincil odak | Kapsam | En uygun olduğu durum | Türü |
|---|---|---|---|---|
| PTES | Test sürecinin baştan sona akışı | Genel, teknolojiden bağımsız | Bir testin iskeletini kurmak, müşteriyle kapsamı netleştirmek | Metodoloji |
| OWASP WSTG | Web uygulaması zafiyetleri | Web ve API | Web sitesi, portal ve API testi | Test kılavuzu |
| OWASP MASTG | Mobil uygulama güvenliği | iOS ve Android | Mobil bankacılık, mobil uygulama testi | Test kılavuzu |
| OSSTMM | Operasyonel güvenliğin ölçümü | Geniş, operasyonel | Tekrarlanabilir, sayısal ölçüm isteyen ekipler | Bilimsel metodoloji |
| NIST SP 800-115 | Resmi teknik değerlendirme çerçevesi | Genel, üst seviye | Kamu kurumları, uyum ve denetim raporları | Resmi standart |
| PCI DSS | Kart verisi güvenliği uyumu | Ödeme kartı ortamı | Kart verisi işleyen her kuruluş (zorunlu) | Zorunlu uyum standardı |
| MITRE ATT&CK | Saldırgan taktik ve teknikleri | TTP bilgi tabanı | Kırmızı takım, tehdit emülasyonu, mavi takım eşleşmesi | TTP haritası |
Tablodan görülen şudur: bu standartlar rakip değil, tamamlayıcıdır. Sütunlar farklı sorulara cevap verir.
O zaman neden tek standart yetmez?
Çünkü her standart bir bakış açısıdır, tam resim değil. Somut bir örnek üzerinden bakalım. Kart verisi işleyen, hem web portalı hem mobil uygulaması olan bir fintek kurumunu test ettiğinizi düşünün:
- PTES ile testin tüm akışını ve kapsamını çerçevelersiniz.
- OWASP WSTG ile web portalının her köşesini denetlersiniz.
- OWASP MASTG ile mobil uygulamanın yerel depolama ve kriptografisini kırmaya çalışırsınız.
- PCI DSS gerekliliklerini karşılayarak kart ortamının uyumlu olduğunu kanıtlarsınız.
- MITRE ATT&CK ile bulguları gerçek saldırgan tekniklerine bağlar, kırmızı takım senaryosunu gerçekçi kılarsınız.
- OSSTMM ile çıkan sonucu ölçülebilir bir değere bağlar, gelecek testlerle karşılaştırırsınız.
Bu kurumu yalnızca tek bir standartla test etmek, resmin yarısını görmektir. İşte bu yüzden olgun ekipler "hangi standart" diye sormaz; "bu hedef için hangi standartları nasıl harmanlayacağız" diye sorar. DSET olarak bir teklif hazırlarken yaptığımız ilk iş, hedefin amacını anlamak ve standartları o amaca göre dokumaktır. Standart, aracın kendisi değil, aracı doğru kullanmanın haritasıdır.
Sık Sorulan Sorular (SSS)
Sızma testi için tek bir standart seçmek zorunda mıyım? Hayır, üstelik genelde seçmemeniz gerekir. Standartlar farklı amaçlara hizmet eder; PTES süreci, OWASP web ve mobil derinliği, PCI DSS uyumu, MITRE ATT&CK gerçekçiliği kapsar. Olgun bir test, hedefin amacına göre bunları harmanlar.
OSCP bir sızma testi standardı mıdır? Hayır. OSCP, sızma testçisinin pratik becerisini ölçen bireysel bir sertifikadır; testi yapan kişiyi belgeler, testin kendisini değil. "OSCP'li ekip" ile "OSCP standardında test" farklı şeylerdir; ikincisi teknik olarak yanlış bir ifadedir.
PCI DSS ile OWASP testi aynı şey midir? Değildir. OWASP daha güvenli olmak için isteğe bağlı bir kılavuzdur; PCI DSS ise kart verisi işleyen kuruluşlar için sözleşmesel bir zorunluluktur. İyi bir OWASP testi yaptırmış olmanız, PCI DSS gerekliliklerini ayrıca karşılamadığınız sürece sizi uyumlu yapmaz.
MITRE ATT&CK ile sızma testi nasıl ilişkilidir? ATT&CK bir test metodolojisi değil, saldırgan tekniklerinin bilgi tabanıdır. Bir testi ya da kırmızı takım çalışmasını somut tekniklere bağlamanızı, kırmızı ve mavi takımın aynı dilde konuşmasını ve testin gerçek tehditlere ne kadar benzediğini ölçmenizi sağlar.
Web ve mobil uygulamam varsa hangi standartlar gerekir? Web tarafı için OWASP WSTG, mobil tarafı için OWASP MASTG temel kılavuzlardır. Tüm süreci PTES ile çerçeveler, kart verisi varsa PCI DSS uyumunu eklersiniz. DSET olarak bu harmanı hedefinize göre projeye özel kurguluyoruz.
Kaynaklar
- PTES, Penetration Testing Execution Standard: http://www.pentest-standard.org/index.php/Main_Page
- OWASP Web Security Testing Guide (WSTG): https://owasp.org/www-project-web-security-testing-guide/
- OWASP Mobile Application Security Testing Guide (MASTG): https://owasp.org/www-project-mobile-app-security/
- ISECOM, OSSTMM (Open Source Security Testing Methodology Manual): https://www.isecom.org/OSSTMM.3.pdf
- NIST SP 800-115, Technical Guide to Information Security Testing and Assessment: https://csrc.nist.gov/pubs/sp/800/115/final
- PCI Security Standards Council, PCI DSS: https://www.pcisecuritystandards.org/document_library/
- MITRE ATT&CK: https://attack.mitre.org/
Hangi Standartların Harmanlanacağını Birlikte Belirleyelim
Sızma testi tekliflerinde gördüğünüz standart isimleri sizi şaşırtmasın; önemli olan o standartların hedefinize göre doğru dokunmasıdır. DSET olarak önce ne korumak istediğinizi anlıyor, sonra PTES, OWASP, OSSTMM, NIST, PCI DSS ve MITRE ATT&CK'i amaca özel harmanlayan bir test kapsamı çıkarıyoruz.
DSET, 2003'ten beri Ankara Hacettepe Teknokent Beytepe'de siber güvenlik, sızma testi ve dijital adli bilişim alanında hizmet veriyor. Telefon: +90 536 662 38 09
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.