Purple teaming: de ultieme manier om je cyber security te verbeteren
Purple teaming: de ultieme manier om je cyber security te verbeteren
Wat is Purple Teaming?
De meeste organisaties voeren met enige regelmaat penetratietesten uit. Dit is een goede gewoonte omdat het inzicht geeft in de zwakheden van het netwerk van een organisatie. Van buitenaf, maar ook van binnenuit. Purple Teaming tilt een penetratietest of Red Teaming aanval naar een hoger niveau door de Red- (hackers) en Blue- (verdedigers) teams dicht bij elkaar te brengen, vandaar de naam.De hackers en verdedigers werken nauw samen om de algehele beveiliging van het netwerk van een klant te verbeteren.Een normale penetratietest wordt meestal gevolgd door een uitgebreid rapport van de penetratietesters met alle bevindingen en mogelijke oplossingen. Het kost een organisatie vervolgens enkele weken of maanden om alle bevindingen te mitigeren en hun netwerkbeveiliging te verbeteren. Terwijl in een Purple Teaming-opdracht de bevindingen tijdens de opdracht worden gemitigeerd door het blauwe team in nauwe samenwerking met IT-medewerkers van de organisatie. Het eindresultaat van een Purple Teaming-opdracht is een veiliger netwerk, verbeterde netwerkdetectiemechanismen en beter opgeleid of getraind IT-beveiligingspersoneel.
Hoe werkt Purple Teaming?
Tijdens een opdracht probeert het rode team zwakke plekken in het netwerk te identificeren en te misbruiken om toegang te krijgen tot de kroonjuwelen van een bedrijf, zoals gevoelige bedrijfsinformatie. De acties van het rode team lijken een beetje op een gewone penetratietest. Terwijl het rode team echter kwetsbaarheden ontdekt, communiceert het met het blauwe team om hen te laten weten welke beslissingen zijn genomen, wat het huidige aanvalspad is en welke exploits worden gebruikt om toegang te krijgen tot specifieke delen van het netwerk.Ondertussen is het blauwe team hard aan het werk om de reeds bestaande netwerkbeveiligings- en monitoringtools van de klant te gebruiken om het rode team te detecteren. Naast het gebruik van reeds bestaande hulpprogramma's voor netwerkbeveiliging, kan het blauwe team ook voorstellen om tijdelijke nieuwe beveiligingsmaatregelen te implementeren, zoals het installeren van netwerksondes of het opnieuw configureren van Windows Active Directory-logboekregistratie om de zichtbaarheid te verbeteren. Deze tools blijven ook na de opdracht behouden. Dit betekent dat het geteste bedrijf ook zijn netwerkdetectie- en incidentresponsprocedures verbetert.
Voordelen van Purple Teaming
In een Purple Teaming-opdracht werken de hackers (penetratietesters) nauw samen met ervaren verdedigers. Deze verdedigers werken vervolgens samen met het IT-beveiligingsteam van de klant om het algehele beveiligingsniveau van het netwerk te verbeteren. Door deze samenwerking kunnen bevindingen snel worden verholpen en kan het blauwe team IT-personeel leren hoe ze hun netwerkbewaking kunnen verbeteren.Bovendien leren IT-medewerkers te reageren op beveiligingsincidenten. Terwijl het rode team zich een weg baant door het netwerk van een bedrijf, zal het blauwe team samenwerken met IT-personeel om hun monitoring te verbeteren en te reageren op servers en andere machines die worden gehackt.Aan het einde van de opdracht wordt een gedetailleerd verslag geschreven. Het beschrijft alle stappen die door het rode team zijn genomen om het netwerk in gevaar te brengen, en de beslissingen en acties van het blauwe team om de aanvallen te detecteren en zwakheden te mitigeren. Kwetsbaarheden en mitigaties die tijdens de test niet zijn geïmplementeerd, zullen in detail worden uitgelegd, zodat het IT-personeel deze alsnog ook kan oplossen. Het eindresultaat is een veiliger netwerk en beter opgeleid IT-personeel.
Tips
Zorg voor een duidelijke samenwerkingsovereenkomst. Deze overeenkomst moet de rollen en verantwoordelijkheden van beide teams, de doelen van de purple teaming-oefeningen en de manier waarop de resultaten worden gerapporteerd vastleggen. Train beide teams in de specifieke taken en verantwoordelijkheden van het purple teaming-proces. Dit zal helpen om ervoor te zorgen dat beide teams effectief samenwerken. Gebruik realistische scenario's voor de purple teaming-oefeningen. Dit zal helpen om ervoor te zorgen dat de resultaten van de oefeningen relevant zijn voor de echte wereld. Analyseer de resultaten van de purple teaming-oefeningen grondig. Dit zal helpen om de kwetsbaarheden in de beveiliging te identificeren en de reactie van de organisatie op een cyberaanval te verbeteren.
Wij nodigen we u uit om contact op te nemen via:
Contact: +31 (0)70-800 2025
Of lees meer op: DeepBlue Security & Intelligence