SAAS 2026-06-08 · 7 dk okuma

Manuel Pentest mi, Sürekli İzleme mi? Sayılarla Karşılaştırma

Yıllık ₺150K manuel pentest vs ₺35,9K Aegis Pro sürekli izleme. Hangisi hangi durumda mantıklı? Maliyet, kapsam, KVKK uyumu — soğukkanlı analiz.

Yazan: Niyazi Önder Duman

"Pentester yıllık testimizi yaptı, biz uyumluyuz" — KVKK Kurulu denetiminde bu cümleyi her yıl daha az sık duyuyoruz. Çünkü saldırı yüzeyi sürekli değişiyor.

Bu yazıda manuel pentest ile sürekli izleme (Aegis tarzı SaaS) arasındaki farkları, hangi durumda hangisinin mantıklı olduğunu ve ikisinin nasıl bir arada kullanılacağını anlatıyorum.

Manuel pentest — değerli ama sınırlı

Güçlü yanları:

  • İnsan zekası — iş mantığı testleri (privilege escalation, race condition, multi-step abuse)
  • Custom payload — sektör/uygulama özelinde yaratıcı testler
  • Aktif sömürü doğrulaması — bulgu gerçekten exploit edilebilir mi
  • Detaylı remediation rehberi — pentester her bulguya özel önerir

Zayıf yanları:

  • Anlık tespit — yıllık 1-2 sefer. Aradaki 6 ay savunmasız.
  • Maliyet — Türkiye'de kalifiye pentester günlük ücreti ₺3-5K. Bir engagement ortalama 7-10 gün. Yıllık ₺50K-200K.
  • KVKK madde haritası genelde yok — Pentester teknik raporu verir, hukuk müşaviri KVKK madde eşleştirmesini ayrıca yapar.
  • Türkçe — Çoğu uluslararası pentest firması İngilizce rapor verir.

Sürekli izleme SaaS — kapsamlı ama sınırlı

Güçlü yanları:

  • 365 gün izleme — Cuma akşamı açılan subdomain Pazartesi sabahı rapora düşer
  • Aegis için: KVKK + ISO 27001 madde haritası otomatik
  • Maliyet — Aegis Pro yıllık ₺35,9K. Manuel pentest'in %10'u.
  • Diff raporu — sadece "neyin değiştiği" gösterilir, ekip dikkati doğru yerde
  • Slack/Teams entegrasyonu — bulgu doğrudan ekip kanalına düşer

Zayıf yanları:

  • İş mantığı testleri yok (otomatize edilebilir testler kapsamında)
  • Aktif sömürü yok (Mod 2 ayrı, yetki gerektirir)
  • Custom payload yok — standart kapsamı vardır

Hangisi sizin için

Sadece manuel pentest yeterli durumlar:

  • 5 alan domain altı, çok az değişiklik (statik site)
  • Yılda 1-2 büyük değişiklik (yeni ürün, mimari değişikliği)
  • İş mantığı ağırlıklı uygulama (banka mobil app, kompleks API)

Sadece sürekli izleme yeterli durumlar:

  • WordPress/WooCommerce/Magento gibi mainstream platform kullanan e-ticaret
  • 10+ subdomain, sürekli değişen mikroservisler
  • KVKK denetim hazırlığı odaklı, sektörel emsal ceza analizi isteyen
  • Bütçe sınırlı (yıllık ₺50K altı)

İkisini birlikte kullan durumlar (önerim):

  • Yıllık 1 manuel pentest (₺50-100K) — iş mantığı + aktif sömürü
  • Aegis Pro sürekli izleme (yıllık ₺35,9K) — geri kalan 364 gün koruma
  • Toplam: ₺85K-135K — sadece manuel pentest senaryosunun %50-70'i, kapsam çok daha geniş

Sayılar — beklenen değer hesabı

Tipik bir orta ölçek e-ticaret platformu (₺50M ciro):

Strateji Yıllık Maliyet Tespit Kapsamı
Sadece 1 manuel pentest ₺120.000 1 tarih
Sadece Aegis Pro ₺18.000 365 gün
Aegis Pro + 1 manuel pentest ₺138.000 365 gün + iş mantığı

Aegis Pro tek başına bile %85 daha ucuz. Manuel pentest ile birlikte sadece %15 daha pahalı — ama kapsam dramatik genişler.

Sonuç

"Pentest mi sürekli izleme mi" yanlış soru. İkisi de. Manuel pentest insan zekası gerektiren testleri, sürekli izleme yüzey değişikliklerini yakalar.

Aegis Pro ile aylık ₺2.990'dan başlayın. Yıllık manuel pentest bütçenizi yarıya indirin (yılda 1 yeter), Aegis'in haftalık taraması arasını kapatsın.

Sektörünüze göre karşılaştırma + ROI calculator'dan canlı hesap yapabilirsiniz.

Aegis Scanner'ı ücretsiz deneyin

Domain'inizi 15 saniyede tarayın — kayıt olmadan, kart bilgisi olmadan.

Hızlı Tara →