Purple Teaming

Wat is Purple Teaming?

De meeste organisaties voeren met enige regelmaat penetratietesten uit. Dit is een goede gewoonte omdat het inzicht geeft in de zwakheden van het netwerk van een organisatie. Van buitenaf, maar ook van binnenuit. Purple Teaming tilt een penetratietest of Red Teaming aanval naar een hoger niveau door de Red- (hackers) en Blue- (verdedigers) teams dicht bij elkaar te brengen, vandaar de naam.

De hackers en verdedigers werken nauw samen om de algehele beveiliging van het netwerk van een klant te verbeteren.

Een normale penetratietest wordt meestal gevolgd door een uitgebreid rapport van de penetratietesters met alle bevindingen en mogelijke oplossingen. Het kost een organisatie vervolgens enkele weken of maanden om alle bevindingen te mitigeren en hun netwerkbeveiliging te verbeteren. Terwijl in een Purple Teaming-opdracht de bevindingen tijdens de opdracht worden gemitigeerd door het blauwe team in nauwe samenwerking met IT-medewerkers van de organisatie

Het eindresultaat van een Purple Teaming-opdracht is een veiliger netwerk, verbeterde netwerkdetectiemechanismen en beter opgeleid of getraind IT-beveiligingspersoneel.

Hoe werkt het?

Tijdens een opdracht probeert het rode team zwakke plekken in het netwerk te identificeren en te misbruiken om toegang te krijgen tot de kroonjuwelen van een bedrijf, zoals gevoelige bedrijfsinformatie. De acties van het rode team lijken een beetje op een gewone penetratietest. Terwijl het rode team echter kwetsbaarheden ontdekt, communiceert het met het blauwe team om hen te laten weten welke beslissingen zijn genomen, wat het huidige aanvalspad is en welke exploits worden gebruikt om toegang te krijgen tot specifieke delen van het netwerk.

Ondertussen is het blauwe team hard aan het werk om de reeds bestaande netwerkbeveiligings- en monitoringtools van de klant te gebruiken om het rode team te detecteren. Naast het gebruik van reeds bestaande hulpprogramma's voor netwerkbeveiliging, kan het blauwe team ook voorstellen om tijdelijke nieuwe beveiligingsmaatregelen te implementeren, zoals het installeren van netwerksondes of het opnieuw configureren van Windows Active Directory-logboekregistratie om de zichtbaarheid te verbeteren. Deze tools blijven ook na de opdracht behouden. Dit betekent dat het geteste bedrijf ook zijn netwerkdetectie- en incidentresponsprocedures verbetert.

Voordelen:

In een Purple Teaming-opdracht werken de hackers (penetratietesters) nauw samen met ervaren verdedigers. Deze verdedigers werken vervolgens samen met het IT-beveiligingsteam van de klant om het algehele beveiligingsniveau van het netwerk te verbeteren. Door deze samenwerking kunnen bevindingen snel worden verholpen en kan het blauwe team IT-personeel leren hoe ze hun netwerkbewaking kunnen verbeteren.

Bovendien leren IT-medewerkers te reageren op beveiligingsincidenten. Terwijl het rode team zich een weg baant door het netwerk van een bedrijf, zal het blauwe team samenwerken met IT-personeel om hun monitoring te verbeteren en te reageren op servers en andere machines die worden gehackt.

Aan het einde van de opdracht wordt een gedetailleerd verslag geschreven. Het beschrijft alle stappen die door het rode team zijn genomen om het netwerk in gevaar te brengen, en de beslissingen en acties van het blauwe team om de aanvallen te detecteren en zwakheden te mitigeren. Kwetsbaarheden en mitigaties die tijdens de test niet zijn geïmplementeerd, zullen in detail worden uitgelegd, zodat het IT-personeel deze alsnog ook kan oplossen. Het eindresultaat is een veiliger netwerk en beter opgeleid IT-personeel.

Neem contact met ons op voor meer informatie.

DeepBlue Security & Intelligence