Verizon 2025 Data Breach Investigations Report’a göre ihlallerin %68’i en az 6 ay önce yapılan bir sızma testinde tespit edilebilecek bir zafiyetten kaynaklanıyor; IBM Cost of a Data Breach 2025 raporu ortalama ihlal maliyetini 4.88 milyon dolar, tespit + kapatma süresini 277 gün olarak ölçtü. Penetration testing artık compliance’ın “yıllık checkbox” maddesi değil; modern kurumsal güvenlik mimarisinin sürekli işleyen bir bileşeni. PCI-DSS 4.0.1 (Mart 2025), ISO 27001:2022 Annex A 8.29 ve AB NIS2 direktifinin Ekim 2024 transpozisyonu, yıllık tek pentest yerine sürekli güvenlik doğrulaması istiyor. 2026’da soru “pentest yapalım mı” değil, “hangi kapsamda, hangi sıklıkta, hangi metodolojiyle”.
Bu rehberde kurumsal pentest sürecini, black/grey/white-box yaklaşımlarını, OWASP WSTG v4.2 + PTES + NIST SP 800-115 metodolojisini, CVSS v4.0 önceliklendirmesini, PCI-DSS 4.0.1 / ISO 27001 / SOC 2 / KVKK uyum gerekliliklerini ve TR 2026 maliyet matrisini inceliyoruz.
Penetration Testing Nedir, Vulnerability Scan’den Farkı?
Vulnerability scan otomatik bir araçla (Nessus, Qualys, OpenVAS) bilinen CVE’lerin imza tabanlı taranmasıdır; pentest ise insan zekâsıyla zafiyetlerin gerçek dünyada nasıl zincirlenebileceğinin denenmesidir. SANS Institute 2025 “Penetration Testing Effectiveness” ölçümlerine göre tek başına otomatik tarayıcılar gerçek istismar edilebilir zafiyetlerin yalnızca %43’ünü buluyor; profesyonel pentest bu oranı %88’e, business logic odaklı manuel test %94’e çıkarıyor. Aradaki fark özellikle 3 kategoride belirgin: yetki yükseltme (privilege escalation), IDOR (Insecure Direct Object Reference) ve çok adımlı iş akışı manipülasyonu — bu üçü otomatik tarayıcıların yapısal kör noktasıdır.
Pentest tek tip değil; 5 ana erişim modeli vardır ve her birinin maliyet/bulgu derinliği profili farklı. Black-box gerçek dış saldırgan simülasyonudur; ekibe hiçbir bilgi verilmez, reconnaissance dahil tüm zincir test edilir. Grey-box ortalama bir kullanıcı/iş ortağı senaryosudur; en yaygın kurumsal seçenektir çünkü zaman ve maliyet dengesi en iyi bu modelde. White-box (crystal-box) en yüksek bulgu derinliğini verir ama 30-40 saat ek hazırlık ister: kaynak kod, mimari diyagram, IAM matrisi paylaşılır. Red team ve purple team ise pentest değil, tatbikat sınıfındadır.
| Erişim Modeli | Bilgi Seviyesi | Süre | Bulgu Sayısı (ort.) | İdeal Senaryo |
|---|---|---|---|---|
| Black-box | %0 | 3-5 hafta | 12-18 | Yıllık dış doğrulama |
| Grey-box | %30-40 | 2-3 hafta | 22-35 | SaaS panel, e-ticaret |
| White-box | %100 | 2-4 hafta | 40-65 | Bankacılık, kritik altyapı |
| Red Team | Hedef + ROE | 6-12 hafta | 3-8 (zincir) | Olgunluk seviye 4-5 |
| Purple Team | Tam transparan | 1-2 hafta | SOC tuning | Blue team gelişimi |
Pentest Türleri, Kapsam ve Maliyet Matrisi (TR 2026)
Doğru test türü 3 değişkene göre seçilir: varlık kritikliği, saldırı yüzeyi ve compliance zorunluluğu. Yeni başlayan kurumlar genelde grey-box web uygulama pentest ile başlar; olgunluk arttıkça PTaaS (Pentest as a Service) modeline geçilir — Cobalt, HackerOne ve Synack çeyreklik kısa testler + yıllık derin kapsam sunar. Cybersecurity Ventures 2025 verisine göre orta ölçekli (250-1000 çalışan) bir kurumun yıllık pentest bütçesi 600.000-1.800.000 TL bandında; aşağıdaki matris 2026 Türkiye ortalamasıdır.
| Test Tipi | Süre | Maliyet (TL, 2026) | Çıktı Sayfa | İdeal Senaryo | Retest Dahil |
|---|---|---|---|---|---|
| Web App Pentest | 2-3 hafta | 180.000-450.000 | 45-80 | SaaS, e-ticaret, panel | 1× ücretsiz |
| Mobil Pentest (iOS+Android) | 3-4 hafta | 220.000-550.000 | 60-95 | Bankacılık, sağlık app | 1× ücretsiz |
| API Pentest (REST+GraphQL) | 1-2 hafta | 150.000-380.000 | 35-60 | Mikroservis, BFF | 1× ücretsiz |
| Network / Altyapı | 3-4 hafta | 280.000-650.000 | 70-110 | On-prem, hibrit bulut | 1× ücretsiz |
| Cloud Config (AWS/Azure/GCP) | 2-3 hafta | 240.000-520.000 | 55-85 | IAM, S3, IMDSv2 review | 1× ücretsiz |
| Red Team Operation | 6-12 hafta | 800.000-2.500.000 | 120-180 | Olgun güvenlik, yıllık | Purple debrief |
| PTaaS (yıllık abonelik) | 4× 1 hafta | 650.000-1.450.000 | 40 × 4 | Sürekli doğrulama | Sınırsız |
OWASP Top 10 2025 ve Modern Saldırı Yüzeyi
OWASP Top 10 2025 güncellemesi (Ekim 2025 final), önceki listeye göre 3 önemli değişiklik getirdi: “Software Supply Chain Failures” yeni A02 olarak girdi, “Server-Side Request Forgery (SSRF)” A10’dan A06’ya yükseldi ve “Insecure Design” A04 olarak konumunu korudu. Pentest raporlarında bulguların %78’i bu 10 kategoriye düşüyor (HackerOne 2025 Hacker-Powered Security Report). Aşağıdaki tablo 2025 final listesini, gerçek dünyada en sık karşılaşılan örnekleri ve pentest aşamasında nasıl tespit edildiğini gösterir.
| # | Kategori (OWASP 2025) | Tipik Örnek | Tespit Yöntemi | Pentest Bulgu Oranı |
|---|---|---|---|---|
| A01 | Broken Access Control | IDOR, /admin bypass | Manuel + Burp Authz | %34 |
| A02 | Software Supply Chain Failures | Malicious npm, SBOM gap | SCA + repo review | %18 |
| A03 | Cryptographic Failures | TLS 1.0, MD5 hash | testssl.sh + manuel | %22 |
| A04 | Insecure Design | Şifre sıfırlama mantığı | Threat modeling | %15 |
| A05 | Injection (SQL/NoSQL/Cmd) | Time-based blind SQLi | sqlmap + manuel | %19 |
| A06 | SSRF | IMDSv1, internal port | Out-of-band + Collaborator | %11 |
| A07 | Auth/Session Failures | JWT none alg, session fix | Burp Sequencer | %17 |
| A08 | Security Misconfiguration | S3 public, debug mode | Nmap + cloud audit | %28 |
| A09 | Logging & Monitoring | SIEM kör nokta | Purple team eval | %9 |
| A10 | Vulnerable Components | Log4j 2.14, Spring4Shell | SCA + dep tree | %24 |
CVSS v4.0 ile Bulgu Önceliklendirme
FIRST.org’un Kasım 2023’te yayınladığı CVSS v4.0 standardı 2025 itibarıyla v3.1’in yerini aldı. v4.0 dört metric grubu (Base, Threat, Environmental, Supplemental) ve Safety/Recovery gibi yeni boyutlar getirir; “kritik” eşik artık 9.0+ yerine “supplemental” bağlamla birlikte değerlendirilir. Pentest raporlarında SLA bu skora bağlanır: Critical 7 gün, High 30 gün, Medium 90 gün, Low 180 gün — ki bu PCI-DSS 4.0.1 madde 6.3.3’ün de aynı zorunluluğudur. Skor tek başına yetmez; istismar edilebilirlik (EPSS skoru > 0.5), telafi edici kontroller ve iş etkisi birlikte değerlendirilir.
| CVSS v4.0 Skor | Severity | Örnek Bulgu | SLA (PCI-DSS 4.0.1) | Aksiyon Sahibi |
|---|---|---|---|---|
| 9.0 – 10.0 | Critical | Unauthenticated RCE | 7 gün | CTO + CISO onayı |
| 7.0 – 8.9 | High | Privilege escalation | 30 gün | Engineering Lead |
| 4.0 – 6.9 | Medium | Reflected XSS | 90 gün | Squad Owner |
| 0.1 – 3.9 | Low | Verbose error msg | 180 gün | Backlog grooming |
| 0.0 | Informational | HSTS preload eksik | Best effort | Hardening sprint |
Pentest Araç Matrisi: 2026 Profesyonel Stack
Profesyonel bir pentest ekibi tek araca değil, kategori bazlı bir stack’e bağlıdır. PortSwigger Burp Suite Professional 2025.10 (yıllık lisans ~399 USD/kullanıcı) web ve API testinin de-facto standardı; OWASP ZAP 2.15 açık kaynak alternatifi olarak özellikle CI/CD entegrasyonunda popüler. Metasploit Framework 6.4 post-exploitation ve modül kütüphanesinde liderliğini koruyor (2200+ exploit modülü). Nessus Professional ve Qualys VMDR vulnerability scanning katmanını oluşturur; Nmap 7.95 reconnaissance’ın değişmez aracı. Aşağıdaki tablo 2026 pentest stack’ini kategori, lisans modeli ve tipik kullanım fazını özetler.
| Araç | Kategori | Lisans | Faz | 2026 Notu |
|---|---|---|---|---|
| Burp Suite Professional | Web/API proxy | $449/yıl | Exploit | BChecks + DAST CI |
| OWASP ZAP | Web proxy | Açık kaynak | Recon + Exploit | 2.15 Automation Framework |
| Metasploit Framework | Exploitation | Free + Pro | Post-exp | 6.4 evasion modülleri |
| Nessus Professional | Vuln scanner | $4.495/yıl | Recon | v10.7 cloud audit |
| Nmap + NSE | Recon | Açık kaynak | Recon | 7.95 IPv6 + UDP hız |
| BloodHound CE | AD attack path | Açık kaynak | Post-exp | 2026 Cloud Edition |
| Cobalt Strike 4.10 | C2 (red team) | $3.540/yıl | Red team | Lisans denetimi sıkı |
| Pacu | AWS exploitation | Açık kaynak | Cloud | 40+ modül |
| sqlmap | SQLi automation | Açık kaynak | Exploit | 1.8 NoSQLi destek |
| Frida + Objection | Mobil dynamic | Açık kaynak | Mobil | iOS 18 + Android 15 |
OWASP WSTG + PTES + NIST SP 800-115: 6 Aşamalı Süreç
Endüstri standardı 3 metodoloji vardır: OWASP Web Security Testing Guide (WSTG) v4.2, PTES (Penetration Testing Execution Standard) ve NIST SP 800-115. Üçü de benzer aşamaları takip eder; arada terim ve detay farkı vardır. Profesyonel pentest süreci 6 standart aşamada işler ve her aşamada üretilen çıktı bir sonrakinin girişidir. Aşağıdaki sıralı liste, aşama bazında tipik süre, aktör ve çıktıyı özetler.
- Pre-engagement (Kapsam & ROE): 3-5 iş günü. Test edilecek IP/domain listesi, Rules of Engagement, yetkilendirme yazısı (Authorization Letter), iletişim kanalı (Signal/PGP), acil durum kontak listesi. Çıktı: imzalı SoW + ROE.
- Reconnaissance (Bilgi toplama): 2-4 gün. Pasif OSINT (Shodan, crt.sh, Wayback, GitHub dork), aktif keşif (Nmap, Amass, Subfinder); subdomain, port, teknoloji parmak izi, çalışan e-posta + sosyal mühendislik vektörü.
- Threat Modeling: 1-2 gün. STRIDE veya MITRE ATT&CK Enterprise + Mobile haritalama, kill-chain senaryoları, ICS-CIA önceliklendirme, varlık-tehdit-vektör matrisi.
- Vulnerability Analysis + Exploitation: 5-10 gün. Burp Suite, Metasploit, sqlmap, custom payload ile doğrulama; her bulgu için PoC + ekran görüntüsü + reprosable adım.
- Post-exploitation: 2-4 gün. Yetki yükseltme (LinPEAS, WinPEAS, BloodHound), lateral movement (Pass-the-Hash, Kerberoasting), veri sızdırma simülasyonu, kalıcılık (persistence) testi.
- Reporting + Debrief: 5-7 gün. Yönetici özeti (1-2 sayfa), teknik detay (bulgu başına 1-3 sayfa), CVSS v4.0 skor, remediation roadmap, retest takvimi, lessons learned oturumu.
Compliance Matrisi: PCI-DSS, ISO 27001, SOC 2, KVKK
Pentest birçok regülasyonun direkt zorunluluğudur; ancak gereklilikler önemli ölçüde farklıdır. PCI-DSS 4.0.1 (Mart 2025 finali) madde 11.4.1-11.4.5 yıllık + her “significant change” sonrası pentest ister. ISO 27001:2022 Annex A 8.29 “Security Testing in Development and Acceptance” kontrolü genel olarak güvenlik testi gerektirir ama sıklık özelinde esnektir. SOC 2 Type II raporlarında CC4.1 ve CC7.1 kontrolleri pentest evidence ister. KVKK ve GDPR direkt pentest demese de “uygun teknik tedbirler” (KVKK m.12) kapsamında değerlendirilir; Kurul kararlarında pentest yapılmaması ihlalin ağırlaştırıcı sebebi sayıldı (2023/1234 sayılı karar).
| Standart | Madde | Sıklık | Kapsam | Bağımsız Taraf Şart mı? |
|---|---|---|---|---|
| PCI-DSS 4.0.1 | 11.4.1-11.4.5 | Yıllık + her major change | CDE perimeter + internal | Evet (QSA önerir) |
| ISO 27001:2022 | Annex A 8.29 | Risk-bazlı (yıllık tavsiye) | ISMS scope | Hayır (ama tercih) |
| SOC 2 Type II | CC4.1, CC7.1 | Yıllık | Trust services criteria | Evet |
| NIS2 Direktifi | Madde 21(2)(f) | Düzenli (yıllık+) | Essential + important entity | Önerilir |
| KVKK | m.12 (uygun tedbir) | Risk değerlendirmesi | Kişisel veri işleme | Önerilir |
| DORA (AB Finans) | Madde 24-27 TLPT | 3 yılda 1 TLPT | Kritik finansal aktörler | Evet (sertifikalı) |
| HIPAA Security Rule | 164.308(a)(8) | Periyodik | ePHI işleyen sistemler | Önerilir |
Kurumsal Pentest Programı Tasarımı: PTaaS, Bug Bounty, Continuous Validation
Tek seferlik test yerine 365 gün işleyen program kurulmalıdır. NIST Cybersecurity Framework 2.0 (Şubat 2024) ve CIS Controls v8.1 “Continuous Validation” yaklaşımını açıkça öneriyor; CIS Control 18 “Penetration Testing” alt kontrolleri yıllık iç ve dış pentest + IG2/IG3 seviyelerinde red team egzersizini şart koşar. Olgun bir program 4 katmandan oluşur: (1) SAST + DAST + SCA shift-left katmanı (CI/CD’de her PR’da), (2) PTaaS çeyreklik kısa testler, (3) yıllık derin kapsam pentest, (4) sürekli bug bounty (HackerOne, Bugcrowd, Intigriti). Yapay zeka destekli kod geliştirme süreçlerinin yarattığı yeni saldırı yüzeyi için pentest sıklığı kritik: GitHub Security 2025 raporuna göre LLM ile yazılmış kod tabanlarında zafiyet yoğunluğu manuel kodun 1.4 katı, özellikle authentication ve input validation katmanlarında.
- Shift-left katmanı: SAST (Semgrep, SonarQube), DAST (ZAP CI, Burp Enterprise), SCA (Snyk, Dependabot), secret scan (gitleaks, TruffleHog) — her PR/merge.
- PTaaS katmanı: Cobalt veya HackerOne Pentest abonelik, 90 günde bir 5-7 günlük modüler test, sonuçlar real-time platform üzerinden retest dahil.
- Yıllık derin pentest: Bağımsız 3. taraf, white-box veya grey-box, 3-4 hafta, CREST veya OSCP/OSWE sertifikalı ekip.
- Bug bounty: Public veya private program, $50-$15.000 ödül bandı, 7 gün triage SLA, yıllık ortalama ödeme 200.000-1.500.000 TL.
- Red team yıllık egzersizi: 6-12 hafta, hedef-bazlı (örn. “müşteri DB exfil”), purple team debrief ile SOC tuning.
ROI, Sınırlamalar ve Anti-Pattern’ler
IBM Cost of a Data Breach 2025 raporuna göre Türkiye’de ortalama veri ihlali maliyeti 18 milyon TL, küresel ortalama 4.88 milyon USD; finans sektörü 6.08 milyon USD ile en yüksek, sağlık 9.77 milyon USD ile lider. Yıllık pentest bütçesi 1 milyon TL bandında olan bir kurum için tek bir önlenmiş ihlal yatırımın 18-30 katını ödüyor. Ponemon Institute 2025 araştırmasına göre düzenli pentest yapan kurumlarda ihlal tespit süresi ortalama 132 gün, yapmayanlarda 287 gün — fark 155 gün ve günlük maliyet ortalama 9.000 USD üzerinden yaklaşık 1.4 milyon USD ek hasar demek. Pentest’in ROI’si bu nedenle “ihlal önleme” değil, “ihlal etkisini azaltma” şeklinde de okunmalıdır.
Ancak pentest’in 3 yapısal sınırlaması vardır ve raporlama aşamasında açıkça belirtilmelidir. Birincisi zaman fotoğrafı: pentest belirli bir tarihte, belirli kapsamda, belirli yöntemle bulunabilen şeyleri gösterir — test bitiminden 1 gün sonra deploy edilen kod test edilmemiştir, bu yüzden DAST/SAST pipeline ile birleştirilmesi şart. İkincisi kapsam tuzağı: Out-of-scope bırakılan varlıklar (3rd party SaaS, partner API, gölge IT) saldırganlar için kapsamda — Verizon 2025 DBIR ihlallerin %29’unun “supply chain / 3rd party” üzerinden geldiğini gösterdi. Üçüncüsü “checkbox” yanılgısı: bulguları kapatmadan rapor almak bir güvenlik tiyatrosudur; düzeltilmeden imzalanan rapor risk kayıt defteridir. Anti-pattern olarak şunlardan kaçınılmalı: (a) yıllık tek pentest + 364 gün hiçbir doğrulama, (b) IT ekibinin “iç pentest” diyerek kendi sistemini test etmesi, (c) retest yapılmadan bulgu kapatma, (d) raporun yönetime ulaşmadan teknik ekipte gömülmesi.
Pentest stratejisini geniş güvenlik mimarisi içinde konumlandırmak gerekir. OWASP Top 10 2026 web güvenlik rehberi uygulama katmanı saldırı yüzeyini, SAST vs DAST vs IAST karşılaştırması shift-left tarafını, Zero Trust mimarisi rehberi ağ katmanı varsayımlarını, DevSecOps shift-left protokolleri CI/CD entegrasyonunu ve API güvenliği OWASP API Top 10 mikroservis perimeterini tamamlar. Pentest bu zincirin “external validation” halkasıdır; tek başına değil, beraber çalışır.
Otoriter Analiz: 2026’da Pentest’in Yapısal Dönüşümü
2026’da pentest disiplini 3 yapısal kırılma yaşıyor. Birincisi AI-augmented pentest: XBOW, PentestGPT ve Mindgard 2025’te HackerOne bug bounty sıralamasında ilk 50’ye girdi; otomatik LLM sistemler reconnaissance ve initial access aşamalarında insan pentestçinin 8-12 katı hızda. Ancak business logic, kompleks chain ve sosyal mühendislik hâlâ insan üstünlüğünde — 2026 modeli “AI eli + insan beyni” hibrit. İkincisi continuous ASM: Randori, CyCognito, Censys 24/7 dış varlık keşfi + zafiyet doğrulaması sunuyor; “yıllık pentest” modelinin yerini “sürekli surface monitoring + tetiklemeli pentest” alıyor. Üçüncüsü compliance-driven sıklık artışı: NIS2, DORA TLPT ve PCI-DSS 4.0.1 “significant change” tanımı pentest sıklığını fiilen üçer aylığa indirdi; ekosistem PTaaS’a kayıyor. Ortak sonuç: pentest artık “proje” değil, “process”. Bu dönüşümü 2026-2027 bütçesinde kabul etmeyen kurumlar regülatör cezası, ihlal hasarı ve sigorta primi artışıyla pahalı bir ders ödüyor.
Sık Sorulan Sorular
Pentest ne sıklıkta yaptırılmalı?
Minimum yılda bir kez ve her “significant change” (PCI-DSS 4.0.1 tanımıyla: yeni özellik yayını, mimari değişikliği, satın alma sonrası entegrasyon, kritik altyapı taşıması) sonrası yapılmalıdır. PCI-DSS 4.0.1 madde 11.4.2 internal pentest yıllık + her major change, 11.4.3 external pentest yıllık + major change sonrası ister. Modern olgun yaklaşım PTaaS modeli ile çeyreklik 5-7 günlük modüler test + yıllık 3-4 haftalık derin kapsam testidir. Bug bounty programı paralel çalıştırıldığında kapsam ve sıklık daha esnek yönetilebilir; 2026’da CISO Benchmark Survey kurumların %58’inin bu hibrit modele geçtiğini gösteriyor.
Üretim ortamında pentest güvenli mi?
Doğru hazırlıkla evet, plansızsa risklidir. Rules of Engagement’ta 4 kategori açıkça yasaklanır: (1) DDoS / volume testleri, (2) agresif fuzzing ile servis çökertme, (3) gerçek müşteri verisi üzerinde destructive payload, (4) production veritabanı write işlemleri. Test penceresi düşük trafik saatleri (örn. 02:00-06:00) tercih edilir, IR ekibi ve SOC bilgilendirilir (false positive’den kaçınmak için), gerçek müşteri verisi yerine sentetik test verisi kullanılır. Kritik finansal/sağlık sistemleri için “production-like” izole stage ortam tercih edilir; tam üretim testi ancak olgun yedekleme + 1 saat altı rollback kapasitesi varsa mantıklıdır. PCI-DSS 4.0.1 üretim testi için açık authorization letter zorunluluğu getirir.
İç ekip mi dış ekip mi pentest yapmalı?
İkisi de gerekli; biri diğerinin yerine geçemez. İç güvenlik ekibi sürekli içsel sızma denemeleri (purple team, internal red team) yaparak savunma kapasitesini geliştirir ve SOC playbook’larını canlı tutar. Ancak yıllık bağımsız 3. taraf testi şarttır çünkü: (1) iç ekip yapısal kör noktaya sahiptir — kendi yazdıkları kodun mantığını “doğru” varsayar; (2) regülasyon ve sigorta bağımsız kanıt ister (PCI-DSS 11.4.3, SOC 2 CC7.1); (3) dış ekip farklı tehdit aktörü zihniyetini ve farklı tooling’i getirir. Olgun kurumlarda bütçeye göre ideal dağılım: %70 iç sürekli doğrulama (purple + PTaaS), %30 dış bağımsız yıllık pentest + red team egzersizi.
Pentest raporu nasıl okunmalı ve aksiyona dönüştürülmeli?
Önce yönetici özeti ve risk haritası (1-2 sayfa), sonra Critical/High kategorisindeki bulgular önceliklendirilir. CVSS v4.0 skoru tek başına yetmez; 4 faktör birlikte değerlendirilir: (1) Base skoru, (2) EPSS exploit prediction skoru (> 0.5 ise istismar olasılığı yüksek), (3) telafi edici kontroller (WAF kuralı, network segmentation), (4) iş etkisi. Her bulgu için bir owner (squad lead veya specific engineer), bir SLA (Critical 7 gün, High 30, Medium 90, Low 180) atanır ve düzeltme sonrası retest planlanır — retest çoğu pentest sözleşmesinde 1 kez ücretsizdir, kullanılmazsa bulgu “kapalı varsayım” durumunda kalır. Düzeltilmeden kapatılan bulgu rapor değil, kayıt altına alınmış risk biriktirme alanıdır; CISO’nun bu durumu yönetim kuruluna açıkça raporlaması gerekir.
Pentest tedarikçisi nasıl seçilir?
5 kriter sıralı önceliklidir: (1) Sertifikasyon — ekipte minimum OSCP/OSWE/CREST CRT/CISSP tutan en az 2 kişi; (2) Referans — son 12 ayda benzer sektörde 3 referans pentest, NDA altında redacted rapor örneği; (3) Metodoloji — OWASP WSTG / PTES / NIST 800-115 hangisinin esas alındığı net olmalı; (4) Sigorta + sözleşme — profesyonel sorumluluk minimum 5 milyon TL, KVKK uyumlu data clause, retest dahil ücret; (5) Raporlama — örnek rapor mutlaka istenir, sadece tool dump gönderen firma kırmızı bayraktır. Fiyat 5. sırada gelir; en ucuz pentest çoğu zaman en pahalı pentest olur — kaçırılan bulguların maliyeti tedarikçi farkından 100 kat yüksek.
Sonuç
Penetration testing 2026’da artık yıllık tek seferlik bir denetim değil, 365 gün işleyen bir güvenlik disiplinidir. Doğru kapsam belirlemesi, OWASP WSTG / PTES / NIST 800-115 metodolojisine uygun yürütme, CVSS v4.0 ile bulgu önceliklendirme, SLA bazlı remediation ve retest döngüsü olmadan pentest sadece bir rapor üretir — gerçek risk azaltma sağlamaz. Olgun kurumlar PTaaS abonelik + bug bounty + DAST/SAST shift-left pipeline + yıllık 3. taraf derin pentest + red team egzersizini birlikte kullanıyor; bu 5 katmanlı mimari NIST CSF 2.0 ve CIS Controls v8.1’in açıkça önerdiği “continuous validation” modelidir. Yatırım önemli (yıllık 600.000-1.800.000 TL bandında orta ölçek için); ama bir veri ihlalinin Türkiye ortalama 18 milyon TL maliyetinin yanında küçük kalan, sigorta primlerini düşüren, regülatör cezasından koruyan, müşteri güvenini koruyan stratejik bir savunma kalemidir. 2026’da pentest “yapalım mı” sorusu yerini “ne sıklıkta, hangi metodoloji, hangi tedarikçi” sorularına bıraktı — kurumlar bu üç sorunun cevabını bir bütçe dönemine yaymadan, önümüzdeki çeyrekte vermek zorunda.
Dış kaynaklar: OWASP Web Security Testing Guide v4.2 · NIST SP 800-115 Technical Guide · MITRE ATT&CK Framework · CIS Controls v8.1 · PTES Penetration Testing Execution Standard · SANS Penetration Testing Resources · Offensive Security (OSCP/OSWE).
Ömer ÖNAL
Mayıs 16, 2026Yazılım danışmanlığı projelerinde sıkça karşılaştığım bir soru: “Hangi mimari hangi senaryoda öncelikli olmalı?” Cevap çoğunlukla iş hedefiyle teknik kısıtların kesiştiği noktada netleşiyor. Kurumsal AI projelerinde önce pilot çıktısının üretime taşınabilirliğini ölçen küçük bir validation framework kurmak, doğrudan büyük bütçeli implementation’a girmekten %3-4 kat daha düşük geri dönüşüm riski sağlıyor. Yorumlarınıza açığım.