BAS, Sızma Testi ve Red Team Farkı: Ne Zaman Hangisi?
arrow_back Blog'a Dön

BAS, Sızma Testi ve Red Team Farkı: Ne Zaman Hangisi?

Kurumlar güvenlik bütçelerini büyütürken sık sorulan bir soru öne çıkıyor: "Savunmamızın gerçekten işe yaradığını nasıl doğrularız?" Bu sorunun üç farklı ama tamamlayıcı cevabı var — BAS, sızma testi ve red team. Üçü de saldırganın gözünden bakar, ama otomasyon, süreklilik ve derinlik açısından birbirinden ayrışır.

Güvenlik kontrolleri satın almak, onların doğru yapılandırıldığını ve gerçek bir saldırı anında beklendiği gibi çalıştığını garanti etmez. İşte bu doğrulama ihtiyacını karşılamak için üç yaklaşım geliştirildi: BAS (Breach and Attack Simulation / İhlal ve Saldırı Simülasyonu), sızma testi (pentest) ve red team tatbikatları. Bu üç kavram sıkça birbirinin yerine kullanılır, oysa her biri farklı bir soruyu yanıtlar, farklı bir sıklıkta çalışır ve farklı bir olgunluk seviyesine hitap eder. Bu yazıda üçünün tanımını, aralarındaki temel farkları ve hangi durumda hangisinin doğru tercih olduğunu netleştiriyoruz.

Kısaca: BAS, güvenlik kontrollerini gerçek saldırı tekniklerine karşı otomatik ve sürekli olarak test eden bir yazılım yaklaşımıdır. Sızma testi, uzman bir ekibin belirli bir kapsamı manuel olarak istismar ederek zafiyet bulduğu, periyodik ve noktasal bir çalışmadır. Red team ise hedefe yönelik, gizli ve senaryo bazlı bir saldırı simülasyonu olup savunma ekibinin (blue team) tespit ve müdahale yeteneğini ölçer. Üçü rakip değil, tamamlayıcıdır.

BAS Nedir?

BAS (Breach and Attack Simulation), gerçek saldırganların kullandığı teknikleri güvenli ve kontrollü bir biçimde, otomatik olarak ve sürekli çalıştıran bir teknoloji kategorisidir. Bir BAS platformu; kimlik avı, yanal hareket, veri sızdırma, fidye yazılımı davranışı ve komuta-kontrol trafiği gibi saldırı adımlarını üretim ortamınızda veya ona yakın bir ortamda simüle eder. Amaç kurumu ele geçirmek değil, mevcut güvenlik kontrollerinizin (EDR, güvenlik duvarı, e-posta ağ geçidi, SIEM) bu saldırıları gerçekten engelleyip engellemediğini ölçmektir.

BAS'ın ayırt edici özelliği süreklilik ve otomasyondur. İnsan gücüne dayalı testlerin aksine, bir BAS platformu binlerce saldırı senaryosunu günde birçok kez, tutarlı biçimde çalıştırabilir. Böylece "bugün savunmam ne durumda?" sorusuna anlık cevap verir. Yeni bir tehdit ortaya çıktığında, ilgili saldırı tekniği platforma eklenir ve tüm ortam saatler içinde bu tehdide karşı test edilir. Bu kategoride öne çıkan çözümlerden biri, gerçek dünya tehdit istihbaratıyla beslenen kütüphanesi sayesinde Picus Security BAS platformudur.

BAS ayrıca sonuçları eyleme dönüştürülebilir hale getirir: hangi saldırının neden engellenemediğini, ilgili güvenlik ürününde hangi imza veya kuralın eksik olduğunu ve nasıl kapatılacağını gösterir. Bu, BAS'ı yalnızca bir "test" aracı olmaktan çıkarıp sürekli güvenlik doğrulama (security validation) sürecinin motoru haline getirir.

Sızma Testi (Pentest) Nedir?

Sızma testi, yetkili bir güvenlik uzmanının veya ekibin, belirlenmiş bir kapsam içindeki sistemleri gerçek bir saldırgan gibi istismar etmeye çalıştığı manuel bir değerlendirmedir. Testçi; zafiyet tarama araçları, el ile keşif ve istismar teknikleri kullanarak bir web uygulamasına, ağa, mobil uygulamaya veya API'ye sızmayı dener. Bulunan her zafiyet, kanıtı (proof of concept) ve iş etkisiyle birlikte raporlanır; sonunda önceliklendirilmiş bir düzeltme listesi ortaya çıkar.

Sızma testinin gücü insan yaratıcılığında ve derinliğinde yatar. Otomatik bir tarayıcının kaçırdığı iş mantığı hataları, yetki yükseltme zincirleri ve birbirine bağlı küçük zafiyetlerin oluşturduğu kritik saldırı yolları ancak deneyimli bir uzman tarafından ortaya çıkarılır. Buna karşılık pentest doğası gereği noktasal ve periyodiktir: belirli bir zamanda, belirli bir kapsamda yapılan bir anlık görüntüdür. Test bittikten bir hafta sonra devreye alınan yeni bir sunucu veya kod değişikliği, bir sonraki teste kadar test edilmemiş kalır.

Sızma testleri ayrıca birçok düzenleyici çerçeve ve standart (örneğin PCI DSS, ISO 27001 denetimleri) tarafından periyodik olarak talep edilir. Bu nedenle uyum gereksinimlerini karşılamak isteyen kurumlar için sızma testi çoğu zaman zorunlu bir başlangıç noktasıdır.

Sızma testleri kapsamına göre farklı biçimlerde yürütülür. Test ekibine hiçbir ön bilgi verilmediği "black box" testlerde saldırgan bakış açısı en gerçekçi haliyle taklit edilir; ekibe kaynak kodu ve mimari bilgisi verilen "white box" testlerde ise kapsam daha derinlemesine ve verimli biçimde taranır. Doğru yaklaşımın seçilmesi, testin amacına ve incelenen sistemin kritikliğine bağlıdır. Sonuç raporunun kalitesi de belirleyicidir: iyi bir pentest raporu yalnızca zafiyetleri değil, her birinin iş etkisini, sömürü zorluğunu ve önceliklendirilmiş düzeltme adımlarını da içerir.

Red Team Nedir?

Red team tatbikatı, belirli bir hedefe (örneğin "kritik müşteri veritabanına eriş" veya "etki alanı yöneticisi haklarını ele geçir") yönelik, senaryo bazlı ve gizlilik esaslı bir saldırı simülasyonudur. Sızma testinden farkı, tek tek zafiyet listelemek değil, gerçek bir gelişmiş saldırganın (APT) davranışını uçtan uca taklit etmektir. Red team ekibi; teknik istismarın yanında sosyal mühendislik, fiziksel erişim ve uzun süreli sessiz sızma gibi çok katmanlı yöntemleri birleştirir.

Red team'in asıl ölçtüğü şey zafiyet sayısı değil, kurumun tespit ve müdahale yeteneğidir. Bu nedenle red team çalışmaları çoğunlukla savunma ekibinin (blue team) haberi olmadan yürütülür; amaç, "Bir saldırgan ortamımıza girse, onu ne kadar sürede fark eder ve durdururuz?" sorusunu gerçekçi koşullarda yanıtlamaktır. Kırmızı ve mavi ekibin birlikte, şeffaf biçimde çalıştığı türüne ise purple team denir; burada amaç kazanmak değil, savunmayı adım adım iyileştirmektir.

Red team, yüksek maliyeti ve gerektirdiği uzmanlık nedeniyle genellikle güvenlik olgunluğu belirli bir seviyeye ulaşmış kurumlar için anlamlıdır. Temel zafiyetlerini henüz kapatmamış bir kurumda red team yapmak, çoğu zaman zaten bilinen sorunları pahalı bir yöntemle yeniden keşfetmekten öteye geçmez.

Bir red team tatbikatının çıktısı da diğer iki yaklaşımdan farklıdır. Rapor, tek tek zafiyetlerden çok, saldırganın izlediği yolu (attack path) ve savunmanın hangi aşamada devreye girip girmediğini anlatır: "İlk erişim şu yolla sağlandı, tespit edilmeden şu kadar süre içeride kalındı, yanal hareket şu noktada fark edildi." Bu anlatı, kurumun görünürlük boşluklarını ve müdahale süreçlerindeki gecikmeleri somut biçimde ortaya koyar; böylece iyileştirmeler tek bir açık yamamaktan çok savunma zincirinin bütününü güçlendirmeye yönelir.

BAS, Sızma Testi ve Red Team: Karşılaştırma Tablosu

Üç yaklaşımın temel farklarını tek bakışta görmek için aşağıdaki tablo yol gösterir:

KriterBASSızma TestiRed Team
OtomasyonTam otomatik, yazılım tabanlıAğırlıklı manuel, araç destekliManuel, senaryo odaklı
Sıklık / SüreklilikSürekli / istendiğinde defalarcaPeriyodik (yılda 1-4 kez)Seyrek (yılda 1-2 kez)
KapsamGeniş, güvenlik kontrollerinin tümüBelirli sistem / uygulamaHedefe yönelik, uçtan uca senaryo
İnsan gücüDüşük (platform yürütür)Orta (uzman ekip)Yüksek (kıdemli uzman ekip)
Maliyet profiliÖngörülebilir, ölçeklenebilir abonelikProje bazlı, kapsama göre değişkenYüksek, uzmanlık yoğun
Temel amaçKontrollerin etkinliğini sürekli doğrulamakZafiyetleri bulup önceliklendirmekTespit ve müdahale yeteneğini sınamak

Ne Zaman Hangisini Kullanmalı?

Doğru seçim, kurumun güvenlik olgunluğuna ve o an yanıtlamak istediği soruya bağlıdır:

  • "Güvenlik kontrollerim doğru yapılandırıldı mı ve sürekli çalışıyor mu?" — Cevap BAS'tır. EDR, SIEM ve e-posta ağ geçidi gibi yatırımlarınızın gerçekten koruma sağladığını sürekli doğrulamak istiyorsanız BAS temel araçtır.
  • "Şu web uygulamamda / ağımda istismar edilebilir zafiyet var mı?" — Cevap sızma testidir. Yeni bir uygulama yayına almadan önce ya da uyum gereksinimi için belirli bir sistemi derinlemesine incelemek gerektiğinde pentest doğru araçtır.
  • "Gerçek bir hedefli saldırıyı fark edip durdurabilir miyiz?" — Cevap red team'dir. Tespit ve müdahale süreçlerinizi, SOC ekibinizi ve olay yönetimi olgunluğunuzu gerçek koşullarda sınamak istediğinizde red team devreye girer.

Pratikte olgunluk merdiveni genellikle şöyle işler: kurum önce sızma testleriyle bilinen zafiyetleri kapatır, ardından BAS ile kontrollerinin sürekli çalıştığını doğrular, güvenlik olgunluğu belirli bir seviyeye ulaştığında ise red team ile savunma yeteneğini uçtan uca sınar.

Bu seçimi netleştirmenin bir başka yolu, her yaklaşımın hangi soruyu ne sıklıkta yanıtladığına bakmaktır. BAS "bugün" sorusuna her gün cevap verir; kontroller kaydığında ya da yeni bir tehdit belirdiğinde uyarır. Sızma testi "bu sistemde ne kaçırdık?" sorusunu belirli aralıklarla derinlemesine yanıtlar. Red team ise "gerçek bir kriz anında ekibimiz nasıl davranır?" sorusunu yılda bir veya iki kez, en gerçekçi koşullarda test eder. Kurum bu üç sorunun tümüne düzenli cevap üretebildiğinde, güvenlik yatırımlarının somut karşılığını da kanıtlamış olur.

BAS'ın Sürekliliği ve Otomasyonu Neden Fark Yaratır?

Geleneksel test modelinin en büyük zaafı, "anlık görüntü" olmasıdır. Bir sızma testi, yapıldığı gün güvenli görünen bir ortamın ertesi gün — yeni bir yapılandırma değişikliği, güncelleme veya kural hatası yüzünden — savunmasız hale gelmesini yakalayamaz. Kurumsal ortamlar sürekli değişir; her değişiklik yeni bir risk penceresi açar.

BAS tam da bu boşluğu kapatır. Güvenlik kontrollerini sürekli test ederek "kontrol kayması" (security drift) denilen sessiz bozulmayı erkenden yakalar. Örneğin bir EDR politikasının yanlışlıkla gevşetilmesi ya da bir güvenlik duvarı kuralının değiştirilmesi, bir sonraki simülasyon turunda anında görünür hale gelir. Ayrıca yeni yayımlanan bir tehdit için ilgili saldırı simülasyonu platforma eklendiğinde, kurum "biz bu saldırıya karşı korunuyor muyuz?" sorusunu saatler içinde yanıtlayabilir.

Bu sürekli doğrulama mantığı, daha geniş bir çerçeve olan CTEM (Sürekli Tehdit Maruziyeti Yönetimi) yaklaşımının da temel yapı taşıdır. BAS'ın nasıl çalıştığına dair daha ayrıntılı bir giriş için BAS nedir yazımıza göz atabilirsiniz.

Üçü Birlikte: Tamamlayıcı Bir Güvenlik Doğrulama Programı

BAS, sızma testi ve red team birbirinin alternatifi değildir; olgun bir güvenlik programında üçü birlikte çalışır. Sızma testleri derinlemesine ama noktasal içgörü sağlar; BAS bu içgörüyü sürekli ve otomatik hale getirir; red team ise insan-odaklı, senaryo bazlı en gerçekçi sınamayı sunar.

Etkili bir kurgu genellikle şöyledir: BAS her gün kontrollerin çalıştığını doğrular ve gerilemeleri anında yakalar. Sızma testi belirli aralıklarla ve yeni sistemler için derinlemesine zafiyet analizi sağlar. Red team ise yılda bir veya iki kez, tüm savunma zincirini gerçek bir saldırı senaryosuyla uçtan uca sınar. Bu üç katman birleştiğinde, kurum yalnızca "zafiyetim var mı?" değil, aynı zamanda "kontrollerim çalışıyor mu?" ve "saldırıyı fark edip durdurabilir miyim?" sorularının tümüne düzenli olarak cevap verebilir.

Sıkça Sorulan Sorular

BAS nedir ve klasik zafiyet taramasından farkı nedir?

BAS (İhlal ve Saldırı Simülasyonu), gerçek saldırı tekniklerini otomatik ve sürekli çalıştırarak güvenlik kontrollerinizin bunları engelleyip engellemediğini ölçer. Zafiyet taraması yalnızca sistemlerdeki bilinen açıkları listelerken, BAS bir adım öteye geçer ve mevcut savunmanızın bu açıkları gerçek bir saldırıda durdurup durduramayacağını fiilen test eder.

BAS, sızma testinin yerini alır mı?

Hayır. BAS ile sızma testi farklı sorulara yanıt verir ve birbirini tamamlar. BAS güvenlik kontrollerinin sürekli etkinliğini otomatik olarak doğrular; sızma testi ise uzman bir ekibin yaratıcılığıyla derinlemesine ve iş mantığı düzeyinde zafiyet bulur. İkisini birlikte kullanmak en sağlıklı yaklaşımdır.

Red team ile sızma testi arasındaki temel fark nedir?

Sızma testi belirli bir kapsamdaki zafiyetleri bulup listelemeye odaklanır ve genellikle savunma ekibinin bilgisi dahilinde yapılır. Red team ise belirli bir hedefe yönelik, gizli ve senaryo bazlı bir saldırı simülasyonudur; asıl amacı zafiyet saymak değil, kurumun tespit ve müdahale yeteneğini gerçek koşullarda ölçmektir.

Picus hangi kategoriye girer?

Picus Security, BAS (Breach and Attack Simulation) kategorisinde yer alan bir güvenlik doğrulama platformudur. Gerçek dünya tehdit istihbaratıyla beslenen geniş saldırı kütüphanesi sayesinde güvenlik kontrollerini sürekli test eder ve engellenemeyen saldırılar için somut düzeltme önerileri sunar.

Küçük ve orta ölçekli bir kurum hangisinden başlamalı?

Çoğu kurum için mantıklı sıra, önce kritik sistemler için bir sızma testiyle bilinen zafiyetleri kapatmak, ardından güvenlik kontrollerinin sürekli çalıştığını doğrulamak için BAS'a geçmektir. Red team ise güvenlik olgunluğu belirli bir seviyeye ulaştıktan sonra anlam kazanır.

BAS çalışırken üretim ortamına zarar verir mi?

Hayır. BAS platformları saldırıları güvenli ve kontrollü biçimde simüle eder; gerçek zararlı yük çalıştırmaz veya sistemleri fiilen ele geçirmez. Amaç kurumu tehlikeye atmak değil, kontrollerin saldırıya nasıl tepki verdiğini güvenle ölçmektir.

Sonuç

BAS, sızma testi ve red team; aynı hedefe — savunmanın gerçekten işe yaradığını kanıtlamaya — farklı açılardan hizmet eder. Sızma testi derinlik, red team gerçekçilik, BAS ise süreklilik ve otomasyon getirir. Doğru soru "hangisi daha iyi?" değil, "hangi olgunluk seviyesinde hangisini birlikte kullanmalıyım?" olmalıdır. Güvenlik kontrollerinin sürekli doğrulanması ihtiyacı arttıkça, BAS bu programın merkezine yerleşen bir teknoloji haline geliyor.

Technodus, Picus Security'nin Türkiye'deki iş ortağı olarak, kurumunuzun güvenlik doğrulama olgunluğunu değerlendirmenizde ve BAS, sızma testi ile red team yaklaşımlarını doğru şekilde konumlandırmanızda destek verir. Mevcut savunmanızın gerçek saldırılara karşı ne durumda olduğunu görmek için bizimle iletişime geçebilirsiniz.

lightbulb İlgili Çözüm

Bu konuda Technodus'un sunduğu çözümü inceleyin: Picus Security BAS Platformu.

Picus Security BAS Platformu arrow_forward