>>

Wat is een red team, blue team en purple team?

Organisaties die hun security-systemen en protocollen regelmatig testen, krijgen ongetwijfeld te maken met een ‘blue team’, ‘red team’ en ‘purple team’ exercise. Dit is een oefening waarbij verschillende cybersecurity-teams het tegen elkaar opnemen met als doel de security-systemen van de organisatie verder te verbeteren. Wat zijn deze teams precies en wat is hun rol tijdens zo’n exercise?

Red team - de aanvallers

Het red team zijn de aanvallers. Dat kunnen bijvoorbeeld de ethische hackers van Computest zijn die daadwerkelijk proberen om door de beveiliging van het bedrijf van de klant heen te breken. Zo’n red team exercise wordt vaak ingezet door bedrijven die al hun applicaties afzonderlijk al eens hebben laten onderzoeken, maar graag willen weten hoe het blue team (de verdedigers), functioneren.

Rol van het red team

In de meeste gevallen krijgt het red team een specifieke opdracht van de klant. Bijvoorbeeld: probeer maar eens toegang te krijgen tot onze salarisadministratie of onze klantgegevens. Er zijn vaak weinig beperkingen voor het red team om dit doel te behalen. Zo kan het red team dit doel proberen te behalen via enkel technische middelen, maar bijvoorbeeld ook door fysiek toegang proberen te krijgen tot locaties van de klant. Of middels social engineering. Als wij zo’n aanval uitvoeren voor een klant, maken we achteraf een uitgebreide rapportage. Daarin maken we inzichtelijk wanneer we wat gedaan hebben en op welke tijdstippen.

Blue team - de verdedigers

Het blue team zijn de verdedigers. Zij proberen op dagelijkse basis de security van het bedrijf te verbeteren door security-systemen te analyseren, kwetsbaarheden te identificeren, deze op te lossen en te monitoren of deze oplossingen effectief zijn. Bij grote bedrijven werken ze vaak in een Security Operations Center (SOC), op de IT- afdeling of bij de data security divisie van een bedrijf.

Rol van het blue team

Een belangrijke taak van het blue team is dat zij een aanval van het red team zo snel mogelijk opmerken. Niet alleen als het gaat om een directe aanval op het security-systeem, maar ook als het red team via social engineering probeert relevante informatie te verkrijgen. Hoe makkelijk is het om een toegangspasje snel te klonen? Kan het red team door een simpel telefoontje met de IT-afdeling een belangrijk wachtwoord achterhalen of snel malware installeren bij de boekhouding?

Purple team - aanvallers én verdedigers

Purple teams zijn, zoals de naam al doet vermoeden, mensen die zowel in het blue als in het red team kunnen zitten. Het belangrijkste is dat ze niet exclusief gericht zijn op aanvallen of verdedigen; ze doen het allebei.

Rol van het purple team

In veel gevallen zijn purple teams geen afzonderlijke teams. Het is vaak eerder een teamoverleg waarin leden van het red en het blue team worden samengebracht. Tijdens de informatie-uitwisseling die dan plaatsvindt, kunnen ze hun vorderingen bespreken en best practices uitwisselen. Soms zitten er in het purple team ook security specialisten die de samenwerking tussen het red team en blue team analyseren en het einddoel van de oefening in de gaten moeten houden.

Deze website werkt het beste met JavaScript ingeschakeld