In het leger spelen ze oorlogsoefeningen. De ene groep valt aan (rood), de andere verdedigt (blauw). Het doel is niet dat rood wint of blauw wint. Het doel is dat allebei de teams beter worden. Ergens onderweg heeft de cybersecuritywereld dit concept geleend, er Engelse namen aan gegeven, en het tien keer zo duur gemaakt.
Red Team: de aanvallers
Een red team simuleert een echte aanvaller. Niet met de beperkingen van een pentest ("test alleen deze webapplicatie, tussen 9 en 17 uur, en raak de productiedatabase niet aan"), maar met de vrijheid van een echte tegenstander. Social engineering, fysieke toegang, supply chain-aanvallen — alles mag, binnen vooraf afgesproken grenzen.
Het doel is niet een lijst kwetsbaarheden produceren. Het doel is de vraag beantwoorden: "Als een gemotiveerde aanvaller ons als doelwit kiest, hoe ver komt die dan?" Het antwoord is vrijwel altijd: verder dan je hoopt.
Blue Team: de verdedigers
Het blue team is de verdediging: het SOC, de incident responders, de systeembeheerders. Zij monitoren, detecteren en reageren. In een red team-oefening weten ze meestal niet wanneer de aanval komt — alleen dat die komt. Hun taak is: detecteer de aanval, beperk de schade, en gooi de aanvaller eruit.
Het probleem met de klassieke red team versus blue team-opzet is dat het een wedstrijd wordt. Red wil scoren. Blue wil niet afgaan. En daardoor wordt het een ego-oefening in plaats van een leerervaring. Red schrijft een rapport over hoe knap ze waren. Blue schrijft een rapport over waarom ze het niet konden detecteren (spoiler: het lag aan de tooling, nooit aan henzelf). En de organisatie is niet veel wijzer.
Purple Team: de samenwerking
Purple teaming lost dit op door aanval en verdediging samen te laten werken. Niet tegenover elkaar, maar naast elkaar. Het red team voert een techniek uit — zeg, credential dumping via Mimikatz. Het blue team kijkt mee: zien we dit in onze logs? Genereert het een alert? Zo nee: wat moeten we aanpassen om het wél te detecteren?
Het is minder spannend dan een klassieke red team-oefening. Er is geen verrassing, geen spanning. Maar het is tien keer zo leerzaam. Want het doel is niet "bewijzen dat we gehackt kunnen worden" — dat kan iedereen. Het doel is "onze detectie verbeteren voor specifieke aanvalstechnieken."
Wanneer wat?
- Pentest — Als je wilt weten welke kwetsbaarheden er zijn. Gestructureerd, scopegebonden, technisch.
- Red team — Als je wilt weten hoe ver een aanvaller komt. Realistisch, onbeperkt, confronterend.
- Purple team — Als je je detectie wilt verbeteren. Collaboratief, iteratief, leerzaam.
De meeste organisaties beginnen met pentests, groeien naar red teaming, en ontdekken uiteindelijk dat purple teaming het beste rendement oplevert. Niet omdat het spectaculairder is, maar omdat het de enige aanpak is waarbij de verdediging net zo veel leert als de aanval.