Manuel Pentest mi, Sürekli İzleme mi? Sayılarla Karşılaştırma
Yıllık ₺150K manuel pentest vs ₺35,9K Aegis Pro sürekli izleme. Hangisi hangi durumda mantıklı? Maliyet, kapsam, KVKK uyumu — soğukkanlı analiz.
"Pentester yıllık testimizi yaptı, biz uyumluyuz" — KVKK Kurulu denetiminde bu cümleyi her yıl daha az sık duyuyoruz. Çünkü saldırı yüzeyi sürekli değişiyor.
Bu yazıda manuel pentest ile sürekli izleme (Aegis tarzı SaaS) arasındaki farkları, hangi durumda hangisinin mantıklı olduğunu ve ikisinin nasıl bir arada kullanılacağını anlatıyorum.
Manuel pentest — değerli ama sınırlı
Güçlü yanları:
- İnsan zekası — iş mantığı testleri (privilege escalation, race condition, multi-step abuse)
- Custom payload — sektör/uygulama özelinde yaratıcı testler
- Aktif sömürü doğrulaması — bulgu gerçekten exploit edilebilir mi
- Detaylı remediation rehberi — pentester her bulguya özel önerir
Zayıf yanları:
- Anlık tespit — yıllık 1-2 sefer. Aradaki 6 ay savunmasız.
- Maliyet — Türkiye'de kalifiye pentester günlük ücreti ₺3-5K. Bir engagement ortalama 7-10 gün. Yıllık ₺50K-200K.
- KVKK madde haritası genelde yok — Pentester teknik raporu verir, hukuk müşaviri KVKK madde eşleştirmesini ayrıca yapar.
- Türkçe — Çoğu uluslararası pentest firması İngilizce rapor verir.
Sürekli izleme SaaS — kapsamlı ama sınırlı
Güçlü yanları:
- 365 gün izleme — Cuma akşamı açılan subdomain Pazartesi sabahı rapora düşer
- Aegis için: KVKK + ISO 27001 madde haritası otomatik
- Maliyet — Aegis Pro yıllık ₺35,9K. Manuel pentest'in %10'u.
- Diff raporu — sadece "neyin değiştiği" gösterilir, ekip dikkati doğru yerde
- Slack/Teams entegrasyonu — bulgu doğrudan ekip kanalına düşer
Zayıf yanları:
- İş mantığı testleri yok (otomatize edilebilir testler kapsamında)
- Aktif sömürü yok (Mod 2 ayrı, yetki gerektirir)
- Custom payload yok — standart kapsamı vardır
Hangisi sizin için
Sadece manuel pentest yeterli durumlar:
- 5 alan domain altı, çok az değişiklik (statik site)
- Yılda 1-2 büyük değişiklik (yeni ürün, mimari değişikliği)
- İş mantığı ağırlıklı uygulama (banka mobil app, kompleks API)
Sadece sürekli izleme yeterli durumlar:
- WordPress/WooCommerce/Magento gibi mainstream platform kullanan e-ticaret
- 10+ subdomain, sürekli değişen mikroservisler
- KVKK denetim hazırlığı odaklı, sektörel emsal ceza analizi isteyen
- Bütçe sınırlı (yıllık ₺50K altı)
İkisini birlikte kullan durumlar (önerim):
- Yıllık 1 manuel pentest (₺50-100K) — iş mantığı + aktif sömürü
- Aegis Pro sürekli izleme (yıllık ₺35,9K) — geri kalan 364 gün koruma
- Toplam: ₺85K-135K — sadece manuel pentest senaryosunun %50-70'i, kapsam çok daha geniş
Sayılar — beklenen değer hesabı
Tipik bir orta ölçek e-ticaret platformu (₺50M ciro):
| Strateji | Yıllık Maliyet | Tespit Kapsamı |
|---|---|---|
| Sadece 1 manuel pentest | ₺120.000 | 1 tarih |
| Sadece Aegis Pro | ₺18.000 | 365 gün |
| Aegis Pro + 1 manuel pentest | ₺138.000 | 365 gün + iş mantığı |
Aegis Pro tek başına bile %85 daha ucuz. Manuel pentest ile birlikte sadece %15 daha pahalı — ama kapsam dramatik genişler.
Sonuç
"Pentest mi sürekli izleme mi" yanlış soru. İkisi de. Manuel pentest insan zekası gerektiren testleri, sürekli izleme yüzey değişikliklerini yakalar.
Aegis Pro ile aylık ₺2.990'dan başlayın. Yıllık manuel pentest bütçenizi yarıya indirin (yılda 1 yeter), Aegis'in haftalık taraması arasını kapatsın.
Sektörünüze göre karşılaştırma + ROI calculator'dan canlı hesap yapabilirsiniz.