Sızma Testi için Kapsam Belirleme

Hedeflerin doğru tanımı, kısıtlar ve başarı kriterleri için pratik bir checklist.

Sızma Testi için Kapsam kapak görseli — Scope belirleme: Hedefler • Kısıtlar • Başarı Kriterleri

Kısaca

Hedefi, kapsam dışını ve kısıtları açık yazın.
İzin/onay akışını netleştirin; iletişim/escalation planını ekleyin.
Başarı kriterlerini ölçülebilir tanımlayın; rapor formatı ve teslim tarihini belirleyin.

Neden Kapsam Kritik?

Doğru kapsam, güvenlik testinin iş hedefleriyle hizalı ve ölçülebilir olmasını sağlar. Yanlış tanımlar, boşa efor ve eksik tespit doğurur.

Checklist

Varlık listesi (domain, IP, uygulama, API)
Zaman penceresi ve test türü (black/grey/white-box)
Başarı kriterleri (ör. kritik X açığın kapatılması)
Onay/iletişim akışı ve acil durum prosedürleri

Kapsam Şablonu (Örnek)

Hedefler: app.acme.com (web), api.acme.com (REST), 10.10.0.0/24 (iç ağ)
Kapsam dışı: prod veritabanı, DDoS, sosyal mühendislik
Kısıtlar: İş saatleri dışında test, 02:00–06:00 bakım penceresi
Başarı: Kritik ve yükseklerin %100 kapatılması + doğrulanmış retest

Hukuki ve Onay Akışı

Yetkilendirme mektubu (LoA) ve sorumluluk sınırları
Gizlilik ve veri işleme protokolü
Acil durdurma ve incident bildirim planı

Ürünle Entegrasyon

SİTEY, test bulgularını standart veri modeline çevirir; tekilleştirme, önceliklendirme ve yeniden test akışları ile kapanış hızını artırır.

Kullanım Senaryoları

Kurumsal kırmızı ekip: Birden fazla sistem ve ekiple paralel yürüyen testlerde tek kapsam belgesi ve değişiklik günlüğü.
Tedarikçi testi: Tedarikçilere özel yetkilendirme mektubu, kapsam dışı kurallar ve iletişim/escalation şablonları.
Regülasyon uyumu: ISO 27001/PCI-DSS gereksinimlerine uygun test kapsamı ve kanıt saklama.

Sık Yapılan Hatalar

Belirsiz hedefler: Domain ve IP aralığı net değil; API uçları atlanıyor.
İzin/veri koruma eksikliği: Üretim verisi üzerinde agresif test; veri gizliliği ihlali riski.
Başarı kriteri yok: “En iyi çabayı” hedefleyen, ölçülemeyen tanımlar.
İletişim planı eksik: Incident anında kime haber verileceği ve durdurma prosedürü tanımsız.

Adım Adım Uygulama

Hedefleri yazın: Uygulama, API, IP aralığı; kapsam dışı açıkça belirtin.
Test türünü seçin: Black/grey/white-box; zaman penceresini yazın.
Onay ve iletişim: Yetkilendirme mektubu, escalation ve durdurma prosedürü.
Başarı kriterleri: Kapanması beklenen açık türleri, yanlış pozitif yönetimi, retest.
Rapor ve teslim: Format, teslim tarihi ve saklama kuralları.

İlgili Yazılar

Zafiyet Yönetimine Başlangıç — Keşiften kapanışa süreç.
DAST ve SAST Birlikte — Pipeline ve yanlış pozitif azaltma.
CVE Önceliklendirme — CVSS + EPSS ile risk tabanlı seçim.

SSS

Rapor formatını nasıl belirlemeliyim?

Yönetici özeti + teknik bulgular + iş etkisi + öneriler yapısı çoğu kurum için yeterlidir.

Üretime etkisiz test nasıl garanti edilir?

Bakım penceresi, hız limitleri ve acil durdurma prosedürüyle risk minimize edilir.

Kapsam dışı bulgu tespit edilirse?

Ön bilgilendirme yapılır, mutabık kalınırsa ek kapsam olarak dahil edilir veya ayrı bir iş emri açılır.

Hizmetler Demolar