ADL.
000/ 100
Siber Güvenlik6 dk okuma

Sızma testi raporunu okumanın doğru yolu

Sızma testi raporu, bir kriz belgesi değil bir yatırım kararıdır. Önceliklendirme, gerçek istismar edilebilirlik ve iş etkisi üzerinden okumayı öğrenmek, SOC ekibinin bir sonraki üç ayını belirliyor.

·ADL Güvenlik Ekibi·SOC & Pentest

Siber GüvenlikSI2026 · 6 dk

Her sızma testi raporu elinize kapalı bir kitap olarak gelir: onlarca sayfa bulgu, renk renk kritiklik etiketleri ve bitmeyen bir 'öneri' listesi. Deneyimsiz bir ekip için bu rapor panik kaynağı; deneyimli bir ekip için ise önümüzdeki üç aylık güvenlik yol haritasının ham maddesi. Fark, raporu nasıl okuduğunuzdadır.

Her bulgu eşit değildir

Kritiklik etiketleri (High / Medium / Low) yanıltıcı olabilir. Bir pentester'ın 'High' dediği bir bulgu, sizin mimarinizde ulaşılabilir değilse gerçek etkisi bir 'Medium'un altındadır. Tersi de doğrudur: 'Medium' etiketli bir CORS yanlış yapılandırması, paralı bir saldırgan için giriş kapısına dönüşebilir.

Bulguları okurken her zaman üç soruyu sırayla cevaplayın: istismar edilebilir mi, iş süreçlerine dokunuyor mu, veri riski yaratıyor mu? Bu üç filtreden geçen bir Medium, listenin en üstündeki High'ı solda bırakabilir.

Önceliklendirmeyi kimin yaptığına dikkat

Pentester, tüm ekosisteminizi bilmiyor. Raporda belirtilen kritiklik, genel olarak sektör standardına göre konur. Sizin 'kimin hangi servise erişimi var' haritanızla beraber okunduğunda kritiklik değişir. Bu yüzden rapor teslimi ile aksiyon planlama arasında bir 'işletme okuma' toplantısı olmalı.

İyi bir işletme okuma toplantısının yapısı

  1. Her High ve Critical bulguyu iş sahibine doğrudan bağlayın — 'uygulama sahibi kim?'.
  2. Her bulgunun mevcut mimarinizle nasıl etkileşime girdiğini kısa bir diyagramla anlatın.
  3. Aksiyonları haftalar halinde böl — 2 hafta içinde, 2 ay içinde, 6 ay içinde.
  4. 'Kabul edilen riskleri' kayda geçir — kime, ne gerekçeyle onaylandığı belli olsun.

Kapatılan bulgu değil, kapanmayan varsayım tehlikelidir

Rapor kapanırken en çok unutulan şey: bir önceki raporda 'kabul edilen risk' olarak işaretlenen bulgular. Yeni ekip gelir, o kararı ya unutur ya da görmez; üstüne ek kod yazar. Altı ay sonra aynı bulgu bir üst kritiklikle karşınızda olur. Bu yüzden kabul edilen riskleri ayrı bir dosyada tutun ve her altı ayda gözden geçirin.

İyi bir sızma testi raporu, okuyanın planını değiştirir; sadece panosunu kızarmaz.
ADL Güvenlik Ekibi

Son: rapor bir yatırım tablosudur

Her bulgunun kapatma maliyeti vardır: mühendislik saati, üretim risk süresi, dokümantasyon çabası. Raporu okurken bu maliyetlerle birlikte okumak, gerçek etki/çaba oranına göre önceliklendirmeyi mümkün kılar. En iyi rapor, iş birimlerinin bütçesi üzerinde direkt bir etki oluşturan rapordur.

Etiketler#pentest#soc#risk#siber güvenlik#raporlama
Tüm yazılar →
Siber GüvenlikAI2026 · 8 dk

Siber Güvenlik · 8 dk

AI tabanlı WAF'lar nasıl çalışır?

Siber GüvenlikIS2025 · 7 dk

Siber Güvenlik · 7 dk

ISO 27001 için başlangıç rehberi

Dijital DönüşümKU2026 · 9 dk

Dijital Dönüşüm · 9 dk

Kurumsal yazılımı kim yazmalı: dışarıda mı, içeride mi?

Bu yazıdaki konuda bir proje ya da soru varsa, 30 dakikalık keşif görüşmesinde konuşalım.

İletişime geç →