In cybersecurity speelt elke schakel een rol. Red teams en blue teams kende je al, maar wat kan een purple team betekenen voor de beveiliging van je bedrijf?
Om de sterkte van hun beveiligingsmechanismen op de proef te stellen, kunnen organisaties een penetratietest laten uitvoeren. Daarbij laten ze zich hacken door (externe) specialisten om kwetsbaarheden in de beveiliging bloot te leggen. Deze tests zijn niet bedoeld om de IT-experts van het bedrijf het schaamrood op de wangen te bezorgen, maar leveren juist zeer nuttige informatie op om de securitystrategie gericht bij te schaven.
Pentests creëren een scenario waarbij verschillende beveiligingsteams tegenover elkaar komen te staan, met een duidelijke taakverdeling. Je hebt enerzijds het blue team dat het red team in de ogen moet kijken. Daar kan je nog een purple team als scheidsrechter tussen plaatsen. Dit purple team is de onderschatte steunpilaar van je cybersecuritystrategie.
Aanvallen of verdedigen
Om te begrijpen waarom het purple team van goudwaarde is, dient eerst de rolverdeling tussen red teams en blue teams duidelijk te zijn. Het red team kruipt in de rol van de aanvaller. Zij zullen de klassieke aanvalstechnieken die aanvallers gebruiken nabootsen om een weg naar binnen te banen in het netwerk van een organisatie. Doorgaans krijgt het red team alle vrijheid en middelen ter beschikking om hun aanvalssimulaties uit te voeren.
lees ook
Beveiligingstip: kijk ook eens naar een pentest
Het is aan het blue team om dat te voorkomen. Zij vormen de verdedigingslijn van je organisatie. Hun taak bestaat er dus in om de aanvalspogingen van de red teams af te weren, maar ook om zelf proactief te speuren naar zwakke plekken in de beveiliging en die te dichten vooraleer het red team die kan uitbuiten.
Rood en blauw geeft paars: samenwerken is de sleutel
Welke kleur krijg je als je rode en blauwe verf met elkaar mengt? Inderdaad, paars. Een simpele formule die de basisidee van een purple team schetst: een tussenschakel tussen red teams en blue teams. De positie van een purple team kan op verschillende manieren ingevuld worden. Dit kan een (extern) team specialisten zijn dat de taken van het red en blue team combineert of dat de pentests als onpartijdige scheidsrechter in goede banen leidt.
Maar in feite hoeft een purple team niet eens fysiek te bestaan. Purple teaming is evengoed een mentaliteit die organisaties zich eigen moeten maken. Het woordje ‘team’ verwijst hier dus eerder naar de figuurlijke betekenis van het woord dan naar een groep mensen die samen wordt gezet om een taak uit te voeren. Wanneer het red en blue team leren samenwerken, ontstaat er als het ware vanzelf een purple team.
Het concept van een purple team illustreert het belang van samenwerking tussen verschillende teams in cybersecurity. Zowel het red team als het blue team doen cruciale inzichten op over de beveiliging waar de hele organisatie baat bij heeft. Ze kunnen ervoor kiezen hun geheimen voor zichzelf te houden en de tegenstander keer op keer af te troeven, of hun informatie uit te wisselen om elkaar juist sterker te maken.
Als red en blue teams leren samenwerken, ontstaat het purple team vanzelf.
Alle kleuren van de regenboog
Cybersecurity omvat meer dan aanvallen en verdedigen. Het yellow team speelt een minstens even belangrijke rol. Deze kleur op het palet verwijst naar de ontwikkelingsteams die instaan voor het bouwen van de systemen die het blue team moet verdedigen.
Ook het yellow team mag niet op een eiland werken. Rood en geel kunnen zich mengen in orange teams waarbij de hackers van het rode team de ontwikkelaars van het gele team tonen hoe ze zijn binnengeraakt. In green teams sleutelen blue en yellow teams samen aan de beveiliging. Als ontwikkelaars leren denken als aanvallers en verdedigers, kunnen ze die kennis meenemen in de verdere uitbouw van hun software of applicaties, wat resulteert in betere standaardbeveiliging.
Een effectieve beveiligingsstrategie is dus zoals een regenboog. Door de combinatie van verschillende kleuren ontstaat een schitterend geheel. Neem daar één kleur uit weg, en het geheel verliest veel van zijn kracht. Zo kan een cybersecuritystrategie ook alleen maar werken wanneer alle schakels op dezelfde golflengte zitten.