Zafiyet Tarama vs. Sızma Testi (Pentest): Fark Nedir?

Otomasyon ve İnsan Zekası Arasındaki Fark

*Siber güvenlik raporlarına göre, SIEM kullanılan altyapılarda tehdit tespit süresi (MTTD) %80 oranında kısalmaktadır.*

Siber güvenlik dünyasında kavramlar sıklıkla karıştırılır. Yöneticiler genellikle "Biz zaten pentest yaptırdık, güvendeyiz" düşüncesindedir. Ancak Pentest (Sızma Testi) ve Zafiyet Taraması, birbirinin alternatifi değil, tamamlayıcısıdır.

1. Zafiyet Taraması (Vulnerability Scan)

Otomatik araçlar (Nessus, OpenVAS veya ACKLog Scanner gibi) kullanılarak yapılan, sistemdeki bilinen güvenlik açıklarını tespit etmeye yarayan işlemdir.

• Sıklık: Sürekli yapılmalıdır (Haftalık/Günlük).
• Kapsam: Tüm varlıkları (IP, Domain, Uygulama) kapsar.
• Maliyet: Düşüktür, otomatize edilmiştir.
• Amaç: "Açık pencere var mı?" sorusunun cevabıdır.

2. Sızma Testi (Penetration Test)

Etik hackerların (White Hat), belirlenen kapsamda sisteme sızmaya çalıştığı, insan zekası ve yaratıcılığı gerektiren bir simülasyondur.

• Sıklık: Genellikle yılda 1 veya 2 kez yapılır.
• Kapsam: Kritik sistemlere odaklanır.
• Maliyet: Yüksektir, uzmanlık gerektirir.
• Amaç: "Pencere kapalı olsa da, kilidi açıp girebilirler mi?" sorusunun cevabıdır.

Maruz Kalma Penceresi (Window of Exposure)

Yılda bir kez pentest yaptırmak, yılın geri kalan 364 günü güvende olduğunuz anlamına gelmez. Yeni bir zafiyet (örneğin Log4j) çıktığında, bir sonraki pentest zamanını bekleyemezsiniz. İşte bu yüzden Otomatik Zafiyet Taraması hayati önem taşır. Sizi yeni çıkan tehditlere karşı sürekli uyarır.

Sektörel Sorular

Soru: KVKK ve 5651 için logların değiştirilemezliği nasıl ispatlanıyor?
Cevap: Toplanan loglar TÜBİTAK tabanlı zaman damgası (Time Stamp) ve SHA-256 Hashing algoritmaları ile mühürlenir.

Soru: Özel raporlar oluşturabilir miyiz?
Cevap: Sistem içindeki sürükle-bırak dashboard yöneticisiyle dilediğiniz metriği saniyeler içinde görselleştirebilirsiniz.