Pentest Süreci, Fiyat ve Şirketim İçin Ne Zaman Gerekli

TL;DR: Pentest, etik hacker'ın şirketin sistemlerine saldırgan gözüyle bakıp zafiyet bulma çalışmasıdır. Web uygulaması, ağ altyapı, mobil app, bulut ortam ve kablosuz ağ tipleri var. OWASP Testing Guide ve NIST SP 800-115 metodolojisi standart. Kapsama göre 5 ila 25 iş günü sürer, fiyat aralığı geniştir. ISO 27001, PCI-DSS, KVKK uyum ve büyük müşteri talebi için fiilen zorunluluktur.

Bu yazı Türkiye Siber Tehdit Manzarası 2026 pillar makalesinin pentest odaklı destek bölümüdür. Hangi şirketin neden pentest yaptırması gerektiğini, sürecin nasıl ilerlediğini ve fiyatı belirleyen unsurları günlük dilde açıklıyoruz.

Pentest nedir, ne değildir?

Pentest, zafiyet bulma + sömürü doğrulama + raporlama üçlüsünden oluşur. Vulnerability scan'den farkı çok belirgin: scan yalnızca tarar, "bu portta şu açık var" der. Pentest, açığın gerçekten istismar edilebilir olduğunu kanıtlar; uzaktan komut çalıştırır, yetki yükseltir, ağa yanal hareket eder, hassas veriye uzanır. Sömürü kanıtı, raporun hukuki ve teknik ağırlığını artırır.

Otomatik tarayıcı çıktısını "pentest raporu" olarak satmak yaygın bir yanlış uygulama. Gerçek pentest, otomasyonun bulgularını insanın yorumlamasıdır. PTES (Penetration Testing Execution Standard) ve NIST SP 800-115 bu insan müdahalesini standart adımlara bağlar.

Pentest tipleri

Web Application Pentest

Web uygulamasındaki zafiyetler OWASP Top 10 listesinde sıralanır: SQL injection, XSS, broken authentication, IDOR (Insecure Direct Object Reference), CSRF, server-side request forgery, RCE (Remote Code Execution), insecure deserialization. Test sırasında her endpoint, her form, her API çağrısı manuel olarak incelenir.

Network / Infrastructure Pentest

Internal (ağ içinden, çalışan perspektifiyle) veya external (internetten, saldırgan perspektifiyle) olmak üzere iki yönde yürütülür. Port tarama, OS fingerprinting, servis versiyon tespiti, bilinen CVE eşleştirme, exploit doğrulama, post-exploitation (privilege escalation, lateral movement, persistence) adımları izlenir.

Mobile App Pentest (iOS, Android)

Static analysis (kod inceleme), dynamic analysis (runtime), sertifika pinning bypass, root/jailbreak detection bypass, IPC (Inter-Process Communication) inceleme, dosya sistemi izleri. iOS'ta Frida, Objection, Cycript; Android'de adb, Frida, Drozer ana araçlar.

Cloud Pentest (AWS, GCP, Azure)

IAM (Identity and Access Management) misconfiguration, S3 bucket exposure, lambda permission abuse, EKS RBAC, Azure Storage SAS leak, GCS service account anahtarı. Bulut sağlayıcıların shared responsibility model'i çerçevesinde, müşteri tarafının sorumlu olduğu konfigürasyon kontrol edilir.

Wireless Pentest

WPA/WPA2/WPA3 protokol seviyesi test, rogue AP (sahte erişim noktası), evil twin, captive portal bypass, krack saldırısı, deauthentication. Kurumsal kablosuz ağda 802.1X/EAP doğrulama da kapsama dahil.

Social Engineering / Red Team

Phishing kampanyaları, vishing (sesli sosyal mühendislik), fiziksel sızma (badge clone, tailgating), USB drop testleri. Detaylı phishing belirtileri için phishing belirtileri yazımız.

Pentest sınıfları

Black Box

Hacker'a hiçbir bilgi verilmez. Sadece şirket adı veya hedef IP/domain bilinir. Saldırgan perspektifi en gerçekçi, ancak süre uzar ve önemli kapsam atlanabilir.

Gray Box

Sınırlı bilgi paylaşılır: kullanıcı hesabı, IP listesi, mimari diyagram. En yaygın seçenek. Hem hızlı hem gerçekçi.

White Box

Tam erişim verilir: kaynak kod, mimari diyagram, admin hesabı, dokümantasyon. En kapsamlı bulgular çıkar. ISO 27001 audit'i öncesi en uygun tercih.

Süreç adım adım (PTES + NIST SP 800-115)

  1. Pre-engagement. Scope (ne dahil, ne hariç), Rules of Engagement (saldırı saatleri, hassas sistemler için "no-touch" kuralları), NDA imzası, ödeme şartları, raporun teslim formatı.
  2. Reconnaissance. Passive (OSINT, DNS, WHOIS, sosyal medya, leaked credentials) + active (port scan, service enumeration).
  3. Threat modeling. En değerli varlık ne, en olası tehdit aktörü kim, hangi senaryolar test edilecek.
  4. Vulnerability analysis. Manuel ve otomatik araçlarla zafiyet listeleme.
  5. Exploitation. Bulunan zafiyetin gerçekten istismar edilebilir olduğunu kanıtlama.
  6. Post-exploitation. Yetki yükseltme, yanal hareket, kalıcılık, veri erişimi.
  7. Reporting. Executive summary + technical details + remediation.
  8. Cleanup. Test sırasında bırakılan dosyalar, hesaplar, persistence mekanizmaları temizlenir.
  9. Re-test. Düzeltmeler sonrası kontrol pentesti (genelde 30-60 gün içinde).

Süre ne kadar olur?

Kapsama göre değişir:

  • Web app (orta karmaşıklık): 5-10 iş günü.
  • Network external (50 IP, çok servis): 7-15 iş günü.
  • Mobile app (iOS + Android): 8-15 iş günü.
  • Cloud (AWS multi-account, EKS, S3 fleet): 10-20 iş günü.
  • Red team kampanyası (multi-vector): 4-8 hafta.

Süreyi etkileyen kritik faktörler: kapsam genişliği, sistemin canlılığı (test bant genişliği), test sınıfı, raporlama derinliği, re-test dahil mi.

Fiyat ne belirler?

Pentest fiyatı tek kalem değil, beş ana faktörün kombinasyonu:

  1. Kapsam: Kaç IP, kaç uygulama, kaç endpoint, kaç bulut hesap.
  2. Test sınıfı: Black/gray/white box (white box daha kapsamlı ama daha hızlı).
  3. Test tipi: Web + network + mobile + cloud + red team katmanları.
  4. Aciliyet: Express (1-2 hafta içinde) vs standart (4-6 hafta sıraya alma).
  5. Sertifika gereksinim: CREST onaylı, OSCP/OSWE seviyesinde pentester istenirse maliyet artar.

Sektörde net fiyat listesi yok, çünkü iki kuruluş kapsamı asla aynı değil. Standart süreç: kapsam görüşmesi, RFP/RFQ, yazılı teklif. DSET ücretsiz kapsam görüşmesi sonrası 48 saat içinde teklif sunar.

Ne zaman gerekli?

  1. ISO 27001 alacak/yenileyecek şirket — Annex A 8.8 (technical vulnerability management) ve A 8.29 (security testing in development).
  2. PCI-DSS uyum — kart işleyen e-ticaret, yıllık zorunluluk.
  3. KVKK uyum kanıtı — Kurul incelemesinde teknik tedbir göstergesi.
  4. Büyük kurumsal müşteri talebi — RFP/RFI'da pentest raporu istenir.
  5. SaaS satışı — SOC 2 audit'i çerçevesinde.
  6. Yeni ürün lansmanı — kritik release öncesi.
  7. Major release — yılda 1-4 kez major güncelleme öncesi.
  8. Olay sonrası post-incident — fidye yazılım veya breach sonrası açıkların kapatıldığını kanıtlamak için.

ISO 27001 hazırlık paketinin bir parçası olarak DSET pentest hizmetini sunuyor. Detay için ISO 27001 nasıl alınır yazımız.

Pentester sertifikaları

  • OSCP (Offensive Security Certified Professional) — endüstri standardı, pratik 24 saatlik sınav.
  • OSWE (Web Expert) — web uygulaması derinleştirme.
  • OSEP (Evasion) — EDR/AV bypass.
  • CRTO (Red Team Ops) — adversary simulation.
  • GIAC GPEN — SANS sertifikası.
  • CREST — UK kökenli, bağımsız yetkinlik değerlendirmesi.
  • CEH (Certified Ethical Hacker) — entry-level, derinlik yetersiz.

İhtiyaca göre seçim yapılır. OSCP ve CREST kombinasyonu kurumsal alıcılar için altın standart.

Pentest raporu yapısı

Mahkemede veya regülatör karşısında ayakta kalan rapor şu bölümleri içerir:

  • Executive Summary: yönetim için 1-2 sayfa, risk skoru, önceliklendirme.
  • Technical Details: her bulgu için zafiyet adı, CVSS skoru, kanıt (ekran görüntüsü, log), etki açıklaması, remediation önerisi.
  • Methodology: PTES ve NIST atıfları, kullanılan araç ve versiyonları.
  • Appendices: tool çıktıları, screenshot'lar, exploit kodu.
  • Re-test sonuçları: düzeltmelerin doğrulaması.

CVSS skorlama

Common Vulnerability Scoring System (CVSS 4.0 yeni, 3.1 hâlâ yaygın) açıkların standart önceliklendirme metriği. Skor aralıkları:

  • Critical (9.0-10.0): Acil yama, üretim durabilir bile.
  • High (7.0-8.9): 7-30 gün içinde yama.
  • Medium (4.0-6.9): 30-90 gün içinde yama.
  • Low (0.1-3.9): Plan dahilinde, yıl sonu sprint'i.

Sektör genelinde Critical + High zafiyetlerin SLA hedefi 30 gün altı.

"Bug bounty" ile pentest farkı

Bug bounty: sürekli açık, çok sayıda hacker, sonuç bazlı ödeme (sadece bulguya ödeme). Pentest: belirli süre, anlaşmalı ekip, sabit fee. Birbirini tamamlar. Bug bounty geniş kitleyle "her açıya bakar" mantığı, pentest derin ve odaklı çalışma. Olgun güvenlik programı her ikisini de kullanır.

DSET'in farkı: KAOS yerli AI motoru

DSET pentest hizmetinin farklılaşan tarafı KAOS yerli yapay zekâ güvenlik motoru. Türkçe doğal dil sorgu, MITRE ATT&CK tekniği eşleştirme, otomatik exploit doğrulama (XBOW-stili üret-doğrula). Pentester'ın saatlerini reconnaissance ve initial enumeration'dan kazanır, manuel exploitation'a yoğunlaşma alanı açar. Veri yurt dışına çıkmaz, KVKK uyumlu süreç.

Pentest sonrası ne yapılır?

  1. Critical/High öncelikli düzelt: SLA içinde yama.
  2. Re-test ile doğrula: 30-60 gün içinde kontrol pentesti.
  3. Vulnerability management programı kur: sürekli süreç, tek seferlik değil.
  4. CI/CD pipeline'a SAST/DAST entegre: kod yazılırken yakala.
  5. Düzenli pentest: yıllık veya 6 aylık (regülasyon gereği veya iyi pratik).

ISO 27001 ile birlikte pentest

ISO 27001 sertifikasını alacak ve yenileyecek şirketler için pentest, Annex A 8.8 (Management of technical vulnerabilities) ve A 8.29 (Security testing in development and acceptance) gereği fiilen zorunludur. Detaylı süreç ISO 27001 nasıl alınır yazımızda.

KVKK ve gizlilik

Pentest sırasında pentester'ın gördüğü her şey kurumsal sır ve KVKK kapsamında kişisel veri olabilir. NDA çift taraflı imzalanır, lab air-gapped, raporlar şifrelenir, geçici kanıt dosyaları NIST SP 800-88 Purge uyumlu silinir. Veri yurt dışına çıkmaz.

Sıkça Sorulan Sorular

Şirketim küçük, pentest gerekli mi?

Mevzuat zorunlu değilse şart değil. Ama kurumsal müşteri talebi, ihracat, ISO 27001 hedefi veya SaaS satışı varsa fiilen gerekli. Yıllık değil, bir defalık başlangıç pentesti bile büyük açıkları kapatır.

Otomatik tool çıktısı pentest yerine geçer mi?

Hayır. Vulnerability scan farklı bir hizmet. Pentest exploit doğrulama içerir, scan içermez. Regülatör de bunu fark eder.

Pentest sırasında sistemim çöker mi?

Pre-engagement aşamasında Rules of Engagement netleşir. Üretim sistemine high-risk aksiyon yapılmaz; staging veya kontrollü pencerede yapılır. Production'da yalnızca passive ve düşük etki testleri.

Ne sıklıkta pentest yaptırmalı?

Yılda en az 1 kez (regülasyon gereği), major release öncesi her seferinde, breach sonrası kesinlikle. Olgun programlar 6 aylık sıklıkta.

"Sertifikalı pentester" derken ne arayalım?

Minimum OSCP, ideal OSCP + OSWE + CREST. CEH tek başına yeterli değil.

Pentest raporu kimle paylaşılır?

İçerik hassas. Sadece yönetim, IT, regülatör (gerekirse), denetim kuruluşu (ISO 27001 için), müşteri talebi varsa redacted (sansürlü) versiyon.

Re-test ücreti standart mı?

Çoğu DSET sözleşmesinde re-test dahildir (sözleşme imzalandığında 60 gün içinde 1 re-test). Bağımsız re-test ayrı ücretlendirilir.

DSET ile çalışmak

DSET pentest hizmeti KAOS yerli AI motoru desteğiyle çalışır. Ankara Hacettepe Teknokent merkez, OSCP + CREST sertifikalı pentester ekibi, OWASP + NIST + PTES metodolojisi, ISO 27037 uyumlu raporlama, KVKK uyumlu süreç.

Türkiye Siber Tehdit Manzarası 2026 ana içeriği ve ISO 27001 nasıl alınır yazımız tamamlayıcı kaynak.

İletişim: Hacettepe Teknokent, Ankara. Telefon: +90 536 662 38 09. E-posta: [email protected].

Kapsam görüşmesi ücretsiz, yazılı teklif 48 saat içinde.

Kaynaklar: OWASP Top 10, OWASP Testing Guide, NIST SP 800-115, PTES, OSCP, CREST, MITRE ATT&CK