Pentest Stratejisi Red Team Farkı Ekip Seçimi ve Süreklilik

Yıllık güvenlik planının en kritik kalemlerinden biri pentest çalışmasıdır. Ancak çoğu kurum pentest kararını yalnızca regülasyon yükümlülüğüne göre verir. Stratejik planlama yapan kurumlar; pentest türünü, ekip yapılandırmasını ve sürekliliği iş hedefleriyle hizalar.

Pentest Stratejisinin Yıllık Güvenlik Planındaki Yeri

Pentest, yıllık güvenlik planının yalnızca bir alt kalemi değil, planın iskeletini şekillendiren bir süreçtir. Yıl başında atılan adımlar ve tespit edilen riskler tüm yatırım önceliklerini doğrudan belirler.

Pentest çalışmasının yıllık planda etkilediği alanlar:

1. Bütçe önceliklendirmesi: Hangi sistemlere yama, lisans veya mimari yatırımı yapılacağı
2. İK planlaması: Ekibe yeni güvenlik uzmanı eklenmesi gerekip gerekmediği
3. Eğitim takvimi: Bulgu profiline göre geliştirici ve operasyon eğitimleri
4. Regülasyon uyum süreçleri: ISO 27001, BDDK, KVKK denetim takvimleri
5. Tedarikçi seçim kararları: Üçüncü taraf servis sağlayıcıların güvenlik denetimi

Red Team Operasyonu ile Pentest Arasında Ne Fark Vardır?

Pentest ve Red Team operasyonları sıklıkla birbirine karıştırılır; ancak iki çalışma farklı amaçlara, farklı sürelere ve farklı derinliklere sahiptir.

Pentest ile Red Team arasındaki temel farklar:

1. Amaç: Pentest sistemdeki tüm açıkları tespit etmeyi hedefler; Red Team belirli bir hedefe ulaşmayı hedefler
2. Süre: Pentest 1-4 hafta arasında tamamlanır; Red Team 4-12 hafta süren uzun soluklu kampanyadır
3. Kapsam: Pentest tanımlı kapsamda kalır; Red Team kapsamı saldırgan zihniyetle genişletir
4. Ekip etkileşimi: Pentest iç ekiple koordineli yürür; Red Team haberi olmadan iç ekibin tepkisi ölçülür
5. Çıktı: Pentest tüm bulguları raporlar; Red Team yalnızca kritik yolu (kill chain) raporlar

Olgunluk seviyesi yüksek kurumlar her iki çalışmayı yıl içinde sırayla planlar.

İç Ekip mi Dış Firma mı Tercih Edilmelidir?

İç güvenlik ekibinin pentest yapma yetkinliği olsa bile, kurumsal pentest kararı genellikle dış firma lehine verilir. Bu tercih hem regülasyon hem de objektiflik gereksinimlerinden doğar.

İç ekip tarafından yapılan pentest çalışmasının sınırları:

1. Sistem tasarımcısının kendi tasarladığı yapıyı objektif değerlendirmesi zordur
2. Regülasyon denetimleri bağımsız üçüncü taraf raporu talep eder
3. Saldırgan bakış açısı için farklı tecrübe profili gerekir
4. TSE A Sınıfı yetki belgesi zorunluluğu olan sektörlerde iç ekip kabul edilmez
5. Yıllık tek bir saha tecrübesinden yeterli derinlik kazanılamaz

Bu nedenlerle pentest çalışması çoğunlukla bağımsız bir firmaya yaptırılır; iç ekip ise sürekli zafiyet taraması, kapatma yönetimi ve günlük operasyonel güvenlikten sorumlu kalır. Bu görev paylaşımı kurumsal güvenlik olgunluğunun temel taşlarından biridir.

Pentest Ekibi Nasıl Yapılandırılır?

Profesyonel bir pentest ekibi tek kişilik bir uzmandan oluşmaz. Standart bir kurumsal kampanyada en az dört rolün belirgin biçimde tanımlanması gerekir.

Tipik bir pentest ekibinin rolleri:

1. Test Lideri (PTL): Kapsam yönetimi, müşteri iletişimi ve raporun bütünlüğünden sorumlu kişi
2. Kıdemli Pentester: Manuel istismar, iş mantığı analizi ve karmaşık zincirleme senaryolar
3. Pentester: Otomatik tarama, bulgu doğrulama ve standart enumeration aşamaları
4. Raporlama Uzmanı: CVSS skorlama, remediation önerileri ve yönetici özeti hazırlama

TSE A Sınıfı yetki belgesi alabilmek için bir firma asgari beş kişilik kadro şartını karşılamalıdır: 1 Kıdemli, 1 Sertifikalı, 1 Kayıtlı uzman ve 2 Stajyer.

Sürekli Pentest ve DevSecOps Entegrasyonu

Geleneksel pentest yıllık veya yarı yıllık periyotlarda yapılır. Modern yazılım geliştirme döngülerinde bu sıklık yetersiz kalmaktadır; sürüm hızı, sürekli pentest yaklaşımını zorunlu kılmıştır.

Sürekli pentest yaklaşımının ana bileşenleri:

1. CI/CD pipeline’a entegre edilmiş statik kod analizi (SAST) ve bağımlılık taraması (SCA)
2. Yeni endpoint’ler için tetiklemeli (event-driven) pentest çalışmaları
3. Bug bounty programlarıyla dış uzman havuzunun sürekli aktivasyonu
4. Çeyreklik mini pentest sprint’leri ve yıllık kapsamlı pentest kampanyası
5. Mevcut bulguların retest döngüsünün otomatik takibi

Pentest Bütçesi ve Maliyet Bileşenleri

Pentest maliyeti yalnızca firma teklifindeki rakam değildir. Tam toplam maliyet (Total Cost of Ownership) hesabı çoğu kurumda eksik yapılır.

Bir pentest kampanyasının gerçek maliyet bileşenleri:

1. Test ücreti: Firmanın kapsam, süre ve uzman seviyesine göre teklifi
2. İç ekibin kaynak ayrımı: Pre-engagement, koordinasyon ve raporlama saatleri
3. Bulgu kapatma maliyeti: Yama, kod düzeltme, mimari değişiklik için iş gücü
4. Dokümantasyon ve eğitim: Ekibe bulgu profiline göre verilecek özel eğitim
5. Retest ücreti: Genellikle ayrı kalem; çoğu sözleşmede dahil değildir

Pentest Türü Karar Tablosu

Doğru pentest türü kararı kurumsal olgunluk seviyesi ve sektörel ihtiyaçlara göre değişir. Aşağıdaki tablo karar verme sürecinde referans olarak kullanılabilir:

Sıkça Sorulan Sorular

Pentest yapılırken iç ekip haberdar olmalı mı?

Bu çalışmanın türüne bağlıdır. Standart pentest çalışmalarında iç ekip haberdardır ve test sıcak hattı kurar. Red Team operasyonlarında ise yalnızca üst yönetim bilgilendirilir; iç güvenlik ekibinin tepkisi de ölçülür. Karar yönetim onayıyla baştan netleştirilir ve sözleşmede yazılır.

Bug bounty programı pentest yerine geçer mi?

Hayır. Bug bounty programı sürekli ve kalabalık bir uzman havuzundan beslenir; ancak bulgular düzensiz, raporlar standart dışı ve iç koordinasyon zayıftır. Pentest ise yapılandırılmış kapsam, doğrulanmış metodoloji ve regülasyon kabul gören rapor üretir. İki çalışma birbirini tamamlayıcıdır; biri diğerinin yerine geçmez.

Pentest yıl içinde kaç kez yapılmalıdır?

Genel kabul yılda en az bir kez tekrarlama yönündedir. Bunun yanı sıra kritik mimari değişiklikler, büyük versiyon geçişleri, yeni sistem canlıya alımı ve birleşme veya devralma süreçleri ek pentest gerektirir. BDDK gibi düzenleyiciler belirli sistemler için altı aylık periyotlar tanımlamaktadır.

Kurum içinde pentester yetiştirmek mümkün mü?

Mümkündür ancak uzun zaman alır. Bir uzmanın saha tecrübesi kazanması için minimum 3-5 yıl gerekir. Sertifikasyon (OSCP, OSCE, CRTO) ve sürekli laboratuvar çalışması zorunludur. Çoğu kurum iç ekip için temel yetkinlik kazanırken kapsamlı pentest çalışmasını dış firmaya devreder.