CYBER SECURITY.
CYBER SECURITY.
Pentests
Preventie
Inzicht
Cyberlab

Red team, blue team en purple team: wat zijn hun rollen?

Wie zich een beetje verdiept heeft in de cyber security is vast al eens de termen ‘red team’, ‘blue team’ en ‘purple team’ tegengekomen. Wat betekenen deze kleuren precies? Waar houden de teams zich mee bezig binnen de cyber security? En waar komen ze eigenlijk vandaan?
23 november, 2020

De oorsprong van het red team en blue team

Laten we het eerst hebben over de oorsprong van de ‘red team’ en ‘blue team’. Die ligt niet in de IT, maar bij het leger. Voor wie de tijd van dienstplicht nog heeft meegemaakt is de militaire oefenvorm Capture the Flag vast niet onbekend. Een rood team gaat in de aanval tijdens Capture the Flag: die probeert de vlag te stelen. En het blauwe team? Die probeert de vlag juist weer te verdedigen.

Red team: aanvallen
Blue team: verdedigen

Tijdens deze oefeningen wisselen militairen regelmatig van team. Puur om al doende hun eigen tactieken en kwetsbaarheden beter te leren kennen, te verbeteren en te beveiligen. Het test hoe klaar ze zijn voor het echte werk. De IT security heeft deze aanpak – en benamingen – overgenomen om de effectiviteit van securitymaatregelen te testen.

 

Red teams en blue teams in de cyber security

We hoeven niet uit te leggen waarom verdediging belangrijk is op het gebied van cybersecurity. Het blue team houdt zich daar uitgebreid mee bezig. Die zet een schild tegen aanvallers op door cybersecurityoplossingen te implementeren. Maar hoe goed een tactiek ook is uitgedacht: in de praktijk moet blijken of hij werkt.

Daar komt het red team om de hoek kijken. Alleen door een echte aanval te simuleren, is het mogelijk precies te weten of de digitale omheining voldoende bescherming biedt. De aanvallen van het red team geeft de blauwe kant dus weer een hoop informatie over de staat van de securitymaatregelen. Wat gaat goed? Wat heeft verbetering nodig?

We geven een inkijkje in de rollen van de teams binnen de cyber security:
 

Blue team

Het is inmiddels wel duidelijk: de experts in het blauwe team zijn de verdedigers. Zij analyseren het securitybeleid van bedrijven om vervolgens effectieve securityoplossingen te implementeren. Preventie is het hoofddoel van het blauwe team. Blue team experts kunnen zich o.a. bezig houden met: 2FA, e-mail filters, SIEM management, patch management, vulnerability management en security trainingen. En dat is dan slechts een kleine greep uit het werkveld van het blauwe team.

 

Red team

De rode kant van cybersecurity houdt zich bezig met maar één ding: aanvallen. In de securitywereld valt dat over het algemeen onder de noemer pentesten. Dat wil alleen niet zeggen dat red teamers eenzijdig werk hebben: in tegendeel. Ze houden zich bezig met alle aanvalstechnieken die hackers ook inzetten.

Denk aan (Identity) Spoofing, Session Hijacking, Injection Attacks en nog veel meer. Een red teamer zou zelfs nog IT-afdelingen kunnen phishen om belangrijke wachtwoorden te achterhalen. Ze doen alles om vanuit de aanval belangrijke kwetsbaarheden boven water te krijgen en het blue team hierover te informeren.
 

Purple team

Een paars team is dan ook een droomteam. Over het algemeen is zo’n team namelijk een mengeling van blue teamleden en red teamleden. Al vind je soms ook security experts die van beide kanten kennis hebben: en dus zelf purple zijn. Waarom het zo’n droomteam is? Omdat het delen van rode en blauwe kennis het werk van beide teams alleen maar verbetert.

Bijvoorbeeld: tijdens een pentest (red team) is het handig de werking van een security oplossing te weten. En tijdens het implementeren van een oplossing kennis van de bijbehorende aanval belangrijk om goed te kunnen valideren of het ook echt het probleem verhelpt. Zo is kennis van hoe een backdoor (red team)  functioneert tijdens een cyberincident ook zeker niet overbodig.

 

Verder lezen?

Meer lezen over blue team onderwerpen zoals SIEM/SOC, vulnerability management of patch management? Of over red team onderwerpen als pentesten en hacken? Lees dan zeker een van onze andere blogs.

Meer kennis over cyber security?

Neem vrijblijvend contact met ons op als u vragen hebt.

Op de hoogte blijven van ontwikkelingen?

Klik hier om u in te schrijven voor onze nieuwsbrief.

Wij werken met veel plezier o.a. voor