Red, purple en blue team uitgelegd
Het verschil tussen aanval simuleren, verdedigen en samen oefenen, en hoe je bepaalt wat jouw organisatie nu nodig heeft
Red team, blue team en purple team zijn drie manieren om de verdediging van een organisatie te testen en te verbeteren. Een red team simuleert een echte aanvaller en probeert een afgesproken doel te bereiken zonder gepakt te worden. Een blue team is de verdediging zelf: de mensen, processen en techniek die een aanval moeten detecteren en stoppen. Een purple team is geen apart team, maar een werkvorm waarin rood en blauw in dezelfde sessie samenwerken, zodat elke aanvalsstap meteen een verbetering aan de verdedigende kant oplevert. Het verschil tussen de drie is geen kwestie van wie het beste is. Het is een kwestie van wat jouw organisatie nu nodig heeft, en dat hangt af van waar je staat.
Dit is het verschil, en zo bepaal je wat jij nodig hebt. De rest van dit stuk werkt de drie types uit, legt naast elkaar wat ze meten, en eindigt bij de vraag die de keuze stuurt: hoe is jouw detectie- en responsfunctie op dit moment.
Wat doet een red team?
Een red team neemt de rol van de aanvaller aan. Niet in theorie, in de praktijk. Het team krijgt een doel, vaak een kroonjuweel: toegang tot een specifieke dataset, een productiesysteem, een domeincontroller. Vervolgens probeert het dat doel te bereiken zoals een serieuze tegenstander dat zou doen, inclusief het omzeilen van detectie, het misbruiken van legitieme toegang, en het bewegen door het netwerk zonder alarm te slaan. Lateral movement, het zijwaarts bewegen van een aanvaller die al binnen is, hoort bij het standaardrepertoire.
Dat maakt een red team iets anders dan een pentest. Een pentest inventariseert kwetsbaarheden binnen een afgebakende scope en rapporteert wat er te vinden is. Waardevol, maar het meet hoe kwetsbaar een afgebakend deel van je aanvalsoppervlak is, bijvoorbeeld een website of een webapplicatie, niet je weerbaarheid. Een red team meet iets scherpers: zie je het als iemand het echt probeert, en stop je het op tijd. Het MITRE ATT&CK-raamwerk, dat aanvalstechnieken systematisch beschrijft, is een gangbare taal waarin een red team zijn handelingen toetsbaar beschrijft.
De uitkomst van een goede red-team-opdracht is geen lijst bevindingen. Het is een antwoord op een vraag: welk aanvalspad werkte, op welk moment had je hem kunnen zien, en waarom zag je hem niet. Dat antwoord is alleen iets waard als er aan de andere kant iemand staat die ermee aan de slag kan. Dat is de blue-teamfunctie.
Wat doet een blue team?
Een blue team is de verdediging zelf. Geen project, maar een functie die elke dag draait: monitoring, detectie-engineering, incident response, hardening, het beheren van de regels en de telemetrie waarmee je een aanval überhaupt kunt zien. Waar een red team af en toe binnenkomt en weer vertrekt, is een blue team permanent. De kwaliteit ervan bepaalt wat een red team aantreft.
Hier zit een denkfout die in veel organisaties terugkomt. Een red-team-test wordt gezien als de manier om security aan te tonen, terwijl de verdedigende functie nog niet op orde is. Dan koop je het bewijs van een gat dat je ook zonder simulatie kende. In de Nederlandse midmarket is er bovendien lang niet altijd een dedicated detectie- en responsfunctie; het werk wordt erbij gedaan door een IT-team of belegd bij een externe partij die rapporteert wat hij ziet, niet wat hij mist. ENISA beschrijft in zijn Threat Landscape terugkerend dat snelle detectie en respons bepalend zijn voor de impact van incidenten. Zonder een blue-teamfunctie is dat verschil niet te beïnvloeden, ongeacht hoeveel tests je laat uitvoeren.
Het blue team is daarmee geen kostenpost naast de aanvallende kant. Het is de kant die het rendement van elke test bepaalt. Een red team zonder een blue team dat kan bijsturen, levert een rapport. Een blue team zonder toetsing levert een aanname. Het samenbrengen van die twee is waar het purple team begint.
Wat is een purple team en wanneer kies je daarvoor?
Een purple team is de werkvorm waarin het aanvallende en het verdedigende werk niet na elkaar, maar naast elkaar gebeurt. Rood voert een techniek uit, blauw kijkt mee of de detectie afgaat, en als dat niet zo is wordt de regel ter plekke aangepast en de techniek opnieuw gedraaid. Geen apart team met een eigen budgetregel, maar een manier van samenwerken. De winst zit in de directheid: een aanvalsstap leidt binnen dezelfde sessie tot een aantoonbare verbetering aan de verdedigende kant, in plaats van tot een bevinding die maanden later in een verbeterplan belandt.
Een purple-aanpak past wanneer aan twee voorwaarden is voldaan. Een, er is een verdedigende functie die daadwerkelijk kan bijsturen tijdens de oefening, niet alleen toekijken. Twee, je hebt al eens vastgesteld dat die functie blinde vlekken heeft en je wilt die gericht dichten in plaats van opnieuw inventariseren. Purple is geen kennismaking met je eigen weerbaarheid. Het is de specifiek meetbaar effect beschrijven nadat de kennismaking heeft plaatsgevonden.
De drie types verhouden zich zo tot elkaar:
Blue team. De permanente verdedigende functie. Zonder dit is er niets om te testen en niemand om een uitkomst aan over te dragen. Dit is de basis, niet de sluitpost.
Red team. De toets of die functie standhoudt onder realistische druk. Levert het meeste op zodra blauw staat, en weinig daarvoor.
Purple team. De werkvorm die de afstand tussen aanval en verbetering wegneemt. Past wanneer blauw staat, getoetst is, en sneller moet verbeteren dan een jaarlijkse testcyclus toelaat.
Welk type team past bij jouw fase van volwassenheid?
Dit is de vraag die de keuze stuurt, en hij wordt elders zelden zo gesteld. Het antwoord volgt niet uit budget of uit wat een leverancier aanbiedt. Het volgt uit een nuchtere inschatting van waar je verdedigende functie nu staat.
Geen detectie- en responsfunctie, of een functie die er informeel bij wordt gedaan: dan zijn red en purple nog niet de eerste stap. De eerste investering is de blue-teamkant. Een red team toetst in die situatie iets wat nog niet bestaat, en het rapport bevestigt wat je al wist. Het Nationaal Cyber Security Centrum benadrukt in zijn handreikingen dat detectie en respons een ingerichte capaciteit zijn, geen bijproduct van een tool-aanschaf.
Detectie staat, maar is nooit getoetst onder realistische condities: dan is een red team de juiste stap. Je weet wat je gebouwd hebt, je weet niet of het werkt als iemand het serieus probeert te ontwijken. Een red-team-opdracht geeft het antwoord, mits hij wordt gemeten tegen een raamwerk als MITRE ATT&CK en niet eindigt in een verhaal zonder reproduceerbaarheid.
Detectie staat, is getoetst, maar verbetert te traag: dan is een purple-aanpak het meest waard. Het probleem is dan niet meer dat je niet weet waar de gaten zitten. Het probleem is de doorlooptijd van gat naar gesloten gat, en precies die verkort een purple-werkvorm.
De onderliggende positie is in alle drie de gevallen dezelfde: de test is een diagnose-instrument, geen doel. De vraag is nooit welk team je het beste kunt inhuren. De vraag is welke uitkomst je nodig hebt, welke meting die uitkomst aantoont, en welke functie het resultaat van die meting in iets blijvends omzet. Wie die volgorde omdraait, koopt een rapport en houdt een probleem.
Wat dit betekent voor de keuze die jij maakt
Voor de CISO die hiermee intern het gesprek opent: de bruikbare samenvatting is dat de drie types geen menu zijn waaruit je het indrukwekkendste kiest, maar een volgorde die je voorschrijft. Naar Operationele teams is de boodschap dat blauw eerst moet staan voordat een rode toets iets oplevert. Naar het bestuur of de CFO is de boodschap zakelijker: een test zonder een functie die de uitkomst opvolgt, is een uitgave zonder opbrengst, en de keuze tussen de drie is een keuze over waar het geld het meeste risico wegneemt.
De logische volgende stap is geen offerte aanvragen voor een red team, maar eerst eerlijk vaststellen waar je verdedigende functie staat. Die diagnose bepaalt welk van de drie types, als ze al aan de orde zijn, daadwerkelijk waarde toevoegt. Leg je eigen situatie naast de afweging in dit stuk: als de blue-teamkant nog niet staat, is dat het gesprek dat je eerst moet voeren, intern en eventueel met iemand die er naar kijkt.