Breach and Attack Simulation (BAS) Nedir? Picus Security ile Sürekli Güvenlik Doğrulama
arrow_back Blog'a Dön

Breach and Attack Simulation (BAS) Nedir? Picus Security ile Sürekli Güvenlik Doğrulama

calendar_today 12 Jun 2026 schedule 8 dk okuma

Güvenlik duvarı, EDR, SIEM, e-posta güvenliği... Yatırım tamam. Peki bir saldırgan bu akşam denese, hangisi gerçekten durduracak?

Kurumsal güvenlikte en pahalı varsayım, "ürün kurulu, demek ki koruyor" varsayımıdır. Ortalama bir kurumda onlarca güvenlik teknolojisi yan yana çalışır; ancak yanlış yapılandırma, devre dışı kalmış bir kural, güncellenmemiş bir imza ya da loglanmayan bir segment, bu zincirin herhangi bir halkasını sessizce koparabilir. Sorun görünmezdir — ta ki gerçek bir saldırı ya da denetim onu görünür yapana kadar. Atak Simülasyonu (Breach and Attack Simulation, BAS) tam olarak bu körlüğü ortadan kaldırmak için doğdu: savunmayı varsaymak yerine, sürekli test etmek.

Kısaca: Breach and Attack Simulation (BAS), gerçek dünyada kullanılan saldırı tekniklerinin kontrollü ve zararsız kopyalarını üretim ortamındaki güvenlik kontrollerine karşı sürekli ve otomatik olarak çalıştıran, sonuçları MITRE ATT&CK çerçevesine eşleyerek hangi saldırının engellendiğini, hangisinin tespit edilmediğini kanıta dayalı gösteren güvenlik doğrulama teknolojisidir.

BAS Neden Ortaya Çıktı?

Geleneksel yaklaşımda güvenlik etkinliği yılda bir-iki kez sızma testiyle ölçülür. Bu testler değerlidir ama yapısal olarak sınırlıdır: belirli bir tarihte, belirli bir kapsamda çekilmiş bir fotoğraftır. Test raporu teslim edildiği gün ortam değişmeye başlar — yeni sunucular açılır, kurallar değişir, ajanlar güncellenir ve yeni saldırı kampanyaları ortaya çıkar. İki test arasındaki aylarca süren dönemde savunmanın gerçek durumu bilinmezdir.

BAS bu boşluğu kapatır: simülasyonlar günlük veya haftalık otomatik çalışır, yeni çıkan bir tehdit (örneğin aktif olarak yayılan bir fidye yazılımı kampanyası) saatler içinde tehdit kütüphanesine eklenir ve "bu saldırıya hazır mıyız?" sorusu toplantı masasında tahminle değil, o sabahki simülasyon sonucuyla yanıtlanır.

BAS ile Sızma Testi Arasındaki Fark

İkisi rakip değil, tamamlayıcıdır — ama farkları net bilinmelidir:

  • Süreklilik: Sızma testi dönemseldir; BAS süreklidir. Konfigürasyon değişikliğinin ertesi gün yarattığı güvenlik gerilemesini (regresyon) yalnızca sürekli doğrulama yakalar.
  • Kapsam: Pentest derinlemesine gider, yaratıcı zincirler kurar; BAS ise binlerce bilinen tekniği geniş yüzeyde sistematik tarar. Biri derinlik, diğeri kapsama sağlar.
  • Tekrarlanabilirlik: BAS sonuçları standartlaştırılmıştır; aynı simülasyon seti her hafta koşar ve iyileşme/kötüleşme trendi ölçülür. Pentest bulguları ise test ekibine göre değişir.
  • Aksiyon çıktısı: İyi bir BAS platformu yalnızca "engellenmedi" demez; engellenmeyen saldırı için güvenlik ürününüze özel önleme imzası ve SIEM/EDR tespit kuralı önerir — bulgudan kapanışa giden süre kısalır.

Picus Security Platformu Neler Sunuyor?

BAS kategorisinin öncüsü olan Picus Security, 2013'te Türkiye'de kurulmuş, bugün küresel ölçekte faaliyet gösteren bir güvenlik doğrulama şirketidir; 2026 Cybersecurity Excellence Awards'ta hem BAS hem CTEM kategorilerinde altın ödül almıştır. Platformun teknik ekipler ve yöneticiler için öne çıkan yetenekleri:

  • Sürekli güncellenen tehdit kütüphanesi: Gerçek saldırı kampanyalarından türetilen on binlerce zararsız simülasyon; yeni kritik tehditler saatler içinde kütüphaneye eklenir.
  • Çok vektörlü doğrulama: Ağ geçidi, uç nokta, e-posta, web uygulama güvenliği ve veri sızdırma senaryoları; ağ, bulut ve uç nokta ortamlarında kontrol etkinliği ölçümü.
  • MITRE ATT&CK haritalama: Tüm sonuçlar ATT&CK taktik ve tekniklerine eşlenir; savunma kapsamı ısı haritası olarak görünür — hangi tekniklere karşı kör olduğunuz tek bakışta anlaşılır.
  • Üreticiye özel iyileştirme önerileri: Engellenmeyen her saldırı için kullandığınız güvenlik ürünlerine özel önleme imzaları ve tespit kuralları önerilir; SIEM ve EDR kural setleri kanıta dayalı şekilde olgunlaştırılır.
  • Güvenlik skoru ve trend raporları: Savunma etkinliği tek bir skorda toplanır; yönetim ve denetim raporlamasında "güvenlik yatırımı işe yarıyor mu?" sorusunun ölçülebilir yanıtı olur.
  • Doğrulamadan önceliklendirmeye: Platform, BAS'ın ötesinde otomatik sızma testi ve saldırı yolu doğrulamasıyla CTEM (sürekli tehdit maruziyeti yönetimi) yaklaşımını destekler — zafiyet listeleri, gerçekten istismar edilebilir olanlar öne alınarak önceliklendirilir.

SOC ekipleri için bu, tespit mühendisliği döngüsünün veriyle beslenmesi demektir: hangi ATT&CK tekniğinin loglanmadığı, hangi alarmın SIEM'e hiç düşmediği, hangi kuralın çalıştığı halde alarm üretmediği (log var/alarm yok ayrımı) simülasyon sonuçlarında tek tek görünür — kural yazma önceliği sezgiyle değil, kapsama boşluğuyla belirlenir. Zafiyet yönetimi tarafında da aynı mantık geçerlidir: binlerce kayıtlık zafiyet listesiyle boğuşmak yerine ekip, simülasyonun "bu açık mevcut kontrollerinizle gerçekten istismar edilebilir" dediği dar listeye odaklanır. Uç nokta tarafında EDR'ın bu doğrulama döngüsündeki rolünü EDR Nedir? yazımızda ayrıntılı ele almıştık — BAS, o yazıdaki tespit katmanının gerçekten çalıştığını kanıtlayan mekanizmadır.

Yönetici Perspektifi: Yatırımın Kanıtı

Güvenlik bütçesi savunan her yönetici aynı soruyla karşılaşır: "Geçen yıl aldıklarımız yetmedi mi?" BAS bu konuşmanın dilini değiştirir. Savunma etkinliği skoru çeyrekten çeyreğe izlenir; yeni yatırım talebi "X tekniklerine karşı tespit kapsamımız %42, sektör hedefi %80" gibi ölçülebilir bir boşluk analizine dayanır. Denetimlerde ise "kontrollerimiz çalışıyor" beyanının yerini, tarihli ve tekrarlanabilir simülasyon kanıtı alır. Güvenlik harcaması maliyet kaleminden, ölçülen ve yönetilen bir performans göstergesine dönüşür. Yönetim kuruluna sunulan siber risk raporu da soyut olgunluk seviyelerinden, "geçen çeyrek engelleme oranımız %71'den %84'e çıktı" gibi savunulabilir bir metriğe evrilir — bütçe görüşmesinin en güçlü argümanı çoğu zaman bu tek grafiktir.

Sahadan Üç Senaryo

SIEM kural seti gerçeği: Yüzlerce korelasyon kuralına sahip bir SOC, simülasyon sonucunda kuralların önemli bir bölümünün hiç tetiklenmediğini görür — kimi kuralın beslendiği log kaynağı aylar önce kopmuş, kimi kural yeni altyapıda anlamını yitirmiştir. Ekip, kural envanterini varsayım üzerinden değil tetiklenme kanıtı üzerinden temizler; SIEM lisans maliyeti üreten ama değer üretmeyen log kaynakları da aynı analizde ortaya çıkar.

Yeni fidye yazılımı kampanyası: Aktif bir kampanya duyurulduğunda CISO'nun ilk sorusu "biz hazır mıyız?" olur. Picus kütüphanesine eklenen kampanya simülasyonu aynı gün çalıştırılır; sonuç ya kanıtlı bir "hazırız" ya da kapatılacak boşlukların somut listesidir — panik değil, eylem planı.

Sessiz regresyon: Bir güvenlik duvarı migrasyonunda eski kural setinin bir bölümü taşınmaz. Haftalık simülasyon, önceki hafta engellenen 14 tekniğin artık engellenmediğini raporlar; sorun, gerçek bir saldırgan keşfetmeden önce — ve denetimden aylar önce — kapatılır.

Sıkça Sorulan Sorular

BAS, sızma testinin yerine geçer mi?

Hayır; birbirini tamamlarlar. BAS bilinen teknikleri sürekli ve geniş kapsamda doğrular, pentest ise insan yaratıcılığıyla derin ve hedefe özel zincirler kurar. Olgun programlarda BAS sürekli temel hattı oluşturur, pentest bu hattın üzerine dönemsel derinlik ekler.

Simülasyonlar üretim ortamına zarar verir mi?

Hayır. Picus simülasyonları gerçek zararlı kod yerine tekniklerin zararsız kopyalarını kullanır ve kontrollü ajanlar arasında çalışır; üretim sistemleri, gerçek veriler ve son kullanıcılar saldırı trafiğinin hedefi değildir.

Picus hangi güvenlik ürünleriyle entegre çalışır?

Yaygın güvenlik duvarı, IPS, WAF, EDR ve SIEM ürünleriyle hazır entegrasyonları vardır; engellenmeyen saldırılar için bu ürünlere özel önleme imzası ve tespit kuralı önerileri üretir. Mevcut yatırımı değiştirmeden etkinliğini artırmak platformun temel değer önerisidir.

Picus Security hangi ülkenin şirketi?

Picus Security 2013 yılında Türkiye'de kurulmuştur ve BAS kategorisinin küresel öncülerindendir; bugün dünya genelinde kurumsal müşterilere hizmet vermektedir. Türkçe yerel destek ekosistemi, Türkiye'deki kurumlar için ayrıca pratik bir avantajdır.

Sonuç

Güvenlikte asıl soru "hangi ürünlere sahibiz?" değil, "sahip olduklarımız bu sabah çalışıyor mu?" sorusudur. BAS bu soruyu sürekli, otomatik ve kanıta dayalı yanıtlar; Picus ise bu kategorinin hem öncüsü hem de bağımsız değerlendirmelerde tescillenmiş liderlerindendir.

Technodus olarak Picus Security'nin yetkili iş ortağıyız; Picus güvenlik doğrulama platformunun konumlandırılması, PoC süreci ve devreye alınmasını uçtan uca yürütüyoruz. Savunmanızın gerçek durumunu kendi ortamınızda görmek için bir PoC planlamak isterseniz bize ulaşın.