Red Team, Sızma Testi, Zafiyet Değerlendirmesi ve Purple Team Farkı: Hangisi Ne Zaman Gerekir?
Zafiyet taraması mı, sızma testi mi, red team mı, purple team mi? Bu dört hizmet aynı şey değildir ve yanlış olanı satın almak hem para hem güvenlik kaybıdır. NIST tanımları, MITRE ATT&CK, CREST ve TIBER-EU çerçeveleriyle, varsayılan ihlal yaklaşımıyla ve kurumsal olgunluğa göre hangisinin ne zaman gerektiğini kaynaklı, net bir alıcı rehberi olarak anlattık.
Red Team, Sızma Testi, Zafiyet Değerlendirmesi ve Purple Team Farkı: Hangisi Ne Zaman Gerekir?
Hızlı Cevap: Bu dört hizmet farklı sorulara yanıt verir. Zafiyet değerlendirmesi "hangi zafiyetler var" diye sorar, geniş tarar ama istismar etmez. Sızma testi "bu zafiyetler gerçekten istismar edilebilir mi" diye sorar, tanımlı kapsamda zafiyetleri kanıtlar. Red team "gerçek bir saldırgan hedefimize ulaşır mı, biz fark eder miyiz" diye sorar, istihbarat temelli, gizli, hedef odaklı ve genellikle varsayılan ihlal yaklaşımıyla çalışır. Purple team ise ayrı bir test değil, kırmızı (saldırı) ve mavi (savunma) ekiplerin gerçek zamanlı işbirliği modelidir; her saldırı adımını ya doğrulanmış bir tespitle ya da yeni bir tespit kuralıyla kapatır. Doğru seçim, kurumun güvenlik olgunluğuna bağlıdır: önce zafiyet yönetimi ve pentest, olgunlaştıkça red ve purple team.
Kurumlar güvenlik hizmeti satın alırken en sık yapılan hata, ihtiyaç duyduklarından farklı bir hizmeti almaktır. Bir tarama raporunu "sızma testi" sanmak ya da temel hijyeni oturmamış bir kuruma red team satmak, hem bütçeyi boşa harcar hem yanlış bir güvenlik hissi yaratır. Bu yazı, dört hizmeti tanımlı çerçevelerle ayırır ve hangisinin ne zaman gerektiğini gösterir. Türleri kapsam açısından inceleyen pentest türleri rehberi ve standartları karşılaştıran PTES, OWASP, OSSTMM, NIST yazısı bu rehberi tamamlar.
Zafiyet değerlendirmesi (Vulnerability Assessment)
Zafiyet değerlendirmesi, sistemlerdeki bilinen güvenlik zayıflıklarının sistematik biçimde tespit edilmesidir; genellikle otomatik tarayıcılarla yapılır ve zafiyetleri istismar etmeden listeler. NIST'in bilgi güvenliği test rehberi SP 800-115, bu ayrımı tanımlar: zafiyet tarama, zayıflıkları belirler; sızma testi ise bu zayıflıkları gerçekten istismar ederek doğrular. Zafiyet değerlendirmesi geniş kapsam, düşük maliyet ve sık tekrar için idealdir; sürekli zafiyet yönetiminin temelidir. Ancak hangi zafiyetin gerçekten tehlikeli olduğunu, yani gerçek istismar edilebilirliğini söylemez. Sürekli yönetim için yapay zeka destekli otomatik zafiyet tarama yazımıza bakın.
Sızma testi (Penetration Testing)
Sızma testi, NIST SP 800-115'in tanımıyla, değerlendiricilerin gerçek dünya saldırılarını taklit ederek güvenlik özelliklerini aşma yöntemlerini bulduğu testtir; zafiyet taramasının ötesine geçip zayıflıkları fiilen istismar eder. Tanımlı bir kapsamda ve zaman penceresinde çalışır, bulunan zafiyetleri çalıştırılabilir kanıtla (PoC) gösterir ve düzeltme yol haritası verir. CREST'in rehberine göre sızma testi, tanımlı kapsam içinde istismar edilebilir zayıflıkları arar; red team ise daha geniş ve daha gerçekçidir. Çoğu kurum için yıllık sızma testi, uyum (örneğin ISO 27001 Ek A.8.8 ve A.8.29 beklentileri) ve gerçek risk için doğru başlangıçtır.
Red team
Red team, kapsamı geniş, gizli ve hedef odaklı bir saldırı simülasyonudur. Soru artık "şu sistemde zafiyet var mı" değil, "gerçek bir saldırgan belirli bir hedefe (örneğin müşteri veritabanına ya da ödeme sistemine) ulaşır mı ve savunma ekibi bunu tespit edip durdurur mu" sorusudur. Red team, MITRE ATT&CK bilgi tabanını kullanır: gerçek saldırganların taktik ve tekniklerinin (TTP) küresel olarak erişilebilir kataloğu, kırmızı ekibin gerçek düşmanı taklit etmesini ve kapsamı standart bir dille haritalamasını sağlar. Modern red team çoğu zaman varsayılan ihlal (assumed breach) yaklaşımıyla başlar: ekip zaten içeride bir tutamak sahibiyken tespit ve müdahaleyi ölçer. Bu yaklaşım, çevreyi kırmaya günler harcamak yerine asıl değerin olduğu tespit ve yanıt aşamasına odaklanır. Yapay zeka çağında bu metodolojinin nasıl evrildiğini yapay zeka kırmızı takım yazımızda anlattık.
Purple team
Purple team ayrı bir ekip ya da test değildir; kırmızı (saldırı) ve mavi (savunma) ekipleri birleştiren bir işbirliği modelidir. Kırmızı ekip bir saldırı tekniğini çalıştırır, mavi ekip aynı anda telemetriyi izler; her teknik ya doğrulanmış bir tespitle sonuçlanır ya da bir tespit mühendisliği düzeltmesiyle kapatılır. Amaç, gizli bir red team'in aksine, savunmayı gerçek zamanlı eğitmek ve tespit yeteneğini ölçülebilir biçimde artırmaktır. Purple team, savunma ekibi (SOC) olgunlaştığında en verimlidir.
Düzenlenmiş bir çerçeve: TIBER-EU
Finansal altyapılar için Avrupa Merkez Bankası'nın TIBER-EU çerçevesi, istihbarat temelli etik kırmızı takım testlerini standartlaştırır: gerçek saldırganların taktiklerini kritik fonksiyonlara karşı kontrollü biçimde taklit eder. Sonuç geç/kal değil; güçlü ve zayıf yönleri ortaya koyup siber olgunluğu artırmaktır. TIBER-EU, AB Dijital Operasyonel Dayanıklılık Yasası'nın (DORA) tehdit temelli sızma testi (TLPT) gereksinimlerini karşılamaya yardımcı olur. Bu, red team'in bir endüstri standardı olarak nasıl kurumsallaştığının örneğidir.
Hangisi ne zaman: olgunluğa göre yol
- Temel hijyen yoksa: zafiyet değerlendirmesi. Henüz yama yönetimi, varlık envanteri ve temel sertleştirme oturmamışsa, geniş zafiyet taramasıyla başlayın; red team bu aşamada para israfıdır.
- Temel oturduysa: sızma testi. Belirli sistemlerin (web, API, iç ağ, bulut) gerçekten istismar edilebilirliğini kanıtlayın. Çoğu kurum için yıllık pentest doğru seviyedir.
- Savunma ekibi varsa: red team. Bir SOC ya da tespit yeteneği kurduysanız, red team gerçek bir saldırıyı tespit edip edemeyeceğinizi ölçer.
- Tespiti geliştirmek için: purple team. Red team bir boşluk gösterdiğinde, purple team o boşluğu işbirliğiyle kalıcı tespite çevirir.
DSET yaklaşımı
DSET olarak bu hizmetleri kurumun olgunluğuna göre konumlandırırız; yanlış hizmeti satmayız. Her testte bulguları doğrulanmış kanıtla sunarız; bunun önemini doğrulanmış zafiyet ve yanlış pozitifsiz test yazımızda anlattık. Tüm testler yetkili ve yazılı kapsamla yürür; bkz. sızma testi sözleşmesi ve yasal yetkilendirme.
Sıkça Sorulan Sorular
Zafiyet taraması sızma testinin yerine geçer mi? Hayır. Tarama zafiyetleri listeler ama istismar edilebilirliklerini kanıtlamaz; sızma testi kanıtlar. İkisi farklı amaçlara hizmet eder.
Doğrudan red team alabilir miyim? Teknik olarak evet, ama temel hijyen ve bir savunma ekibi yoksa red team'in değeri düşer; önce pentest ve zafiyet yönetimi önerilir.
Purple team için ayrı bir ekip mi kurmalıyım? Hayır. Purple team bir model; mevcut saldırı ve savunma kaynaklarınızın gerçek zamanlı işbirliğiyle yürür.
Kaynaklar
- NIST SP 800-115, bilgi güvenliği test ve değerlendirme rehberi: https://csrc.nist.gov/pubs/sp/800/115/final
- MITRE ATT&CK: https://attack.mitre.org/
- CREST, sızma testi ve red team rehberi: https://www.crest-approved.org/
- TIBER-EU (Avrupa Merkez Bankası): https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html
- Rapid7, purple team nedir: https://www.rapid7.com/fundamentals/what-is-a-purple-team/
Hangi hizmetin kurumunuza uygun olduğunu konuşmak için DSET ile iletişime geçin.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.