De traditionele aanpak van beveiligingstesten is bijna militair in zijn eenvoud: het rode team valt aan, het blauwe team verdedigt, en achteraf kijken we wie er gewonnen heeft. Het probleem met deze aanpak is dat niemand wint. Het rode team vindt kwetsbaarheden die het blauwe team mist, het blauwe team voelt zich aangevallen, en de organisatie heeft een duur rapport dat zegt dat alles beter moet. Inspirerend is anders.
Purple teaming is het antwoord op de vraag: wat als we ophouden met tegen elkaar te vechten en sámen beter proberen te worden?
Rood + Blauw = Paars
Het concept is verbluffend logisch. In plaats van het rode team in het geheim te laten opereren en het blauwe team in het duister te laten tasten, werk je samen. Het rode team voert een aanvalstechniek uit, het blauwe team kijkt mee, en samen bekijken ze: hebben we dit gedetecteerd? Zo ja, hoe snel? Zo nee, waarom niet? En wat moeten we veranderen om het wél te detecteren?
Het is het verschil tussen een bokswedstrijd en een sparringssessie. Bij een wedstrijd wil je de ander knock-out slaan. Bij sparring wil je allebei beter worden. De energie is fundamenteel anders.
Hoe werkt een purple team sessie?
Een typische purple team oefening verloopt in rondes:
- Selectie van technieken — kies een set aanvalstechnieken om te testen, bijvoorbeeld uit het MITRE ATT&CK framework. Begin met de meest waarschijnlijke aanvallen voor jouw branche.
- Uitvoering — het rode team voert de techniek uit terwijl het blauwe team meekijkt. Letterlijk naast elkaar, met schermen naast elkaar.
- Detectie-evaluatie — heeft het SIEM een alert gegenereerd? De EDR? De firewall? Welke logs zijn er? Wat ontbreekt er?
- Gap-analyse — als de aanval niet gedetecteerd werd: waarom niet? Ontbreekt er een detectieregel? Een logbron? Een integratie?
- Remediatie — direct een detectieregel schrijven of een configuratie aanpassen. Niet volgende sprint, niet volgende maand. Nu.
- Hertest — voer de aanval opnieuw uit en controleer of de nieuwe detectie werkt.
Waarom dit beter werkt
Het traditionele model heeft een fundamenteel feedbackprobleem. Het rode team schrijft een rapport, dat rapport gaat naar het management, het management stuurt het naar het blauwe team, het blauwe team leest het (hopelijk), en maanden later is misschien iets veranderd. De feedbackloop is zo lang dat de helft van de context verloren gaat.
Bij purple teaming is de feedbackloop minuten. "Ik heb net lateral movement gedaan via PsExec. Zag je het?" "Nee." "Oké, laten we kijken waarom niet." Tien minuten later is er een detectieregel die het wél oppikt. Dat is geen toekomstmuziek — dat is wat er in de praktijk gebeurt bij organisaties die dit serieus doen.
De culturele kant
Purple teaming vereist iets dat in veel security-afdelingen zeldzaam is: kwetsbaarheid. Het blauwe team moet durven toegeven dat ze iets gemist hebben. Het rode team moet bereid zijn om hun trucs te delen in plaats van ze geheim te houden voor het volgende rapport. Het management moet accepteren dat "we hebben gaten in onze detectie" geen falen is, maar een gezonde constatering.
Dit is misschien wel het moeilijkste onderdeel. Niet de techniek, maar de cultuur. Maar de organisaties die het voor elkaar krijgen, worden aantoonbaar beter in het detecteren en stoppen van aanvallen. En uiteindelijk is dat waar het om gaat — niet om het scoren van punten, maar om het beschermen van wat er toe doet.