Wie zich een beetje verdiept heeft in de cyber security is vast al eens de termen ‘red team’, ‘blue team’ en ‘purple team’ tegengekomen. Wat betekenen deze kleuren precies? Waar houden de kampen zich mee bezig binnen de cyber security? En waar komen ze eigenlijk vandaan?
De oorsprong van het red team en blue team
Laten we het eerst hebben over de oorsprong van de ‘red team’ en ‘blue team’. Die ligt niet in de IT, maar bij het leger. Voor wie de tijd van dienstplicht nog heeft meegemaakt is de militaire oefenvorm Capture the Flag vast niet onbekend. Een rode ploeg in de aanval tijdens Capture the Flag: die probeert de vlag te stelen. En kamp blauw? Die probeert de vlag juist weer te verdedigen.
Red team: aanvallen
Blue team: verdedigen
Tijdens deze oefeningen wisselen militairen regelmatig van kamp. Puur om al doende hun eigen tactieken en kwetsbaarheden beter te leren kennen, te verbeteren en te beveiligen. Het test hoe klaar ze zijn voor het echte werk. De IT security heeft deze aanpak – en benamingen – overgenomen om de effectiviteit van securitymaatregelen te testen.
Red teams en blue teams in de cyber security
We hoeven niet uit te leggen waarom verdediging belangrijk is op het gebied van cyber security. Het blue team houdt zich daar uitgebreid mee bezig. Die zet een schild tegen aanvallers op door cyber security oplossingen te implementeren. Maar hoe goed een tactiek ook is uitgedacht: in de praktijk moet blijken of hij werkt.
Daar komt het red team om de hoek kijken. Alleen door een echte aanval te simuleren, is het mogelijk precies te weten of de digitale omheining voldoende bescherming biedt. De aanvallen van het red team geeft de blauwe kant dus weer een hoop informatie over de staat van de securitymaatregelen. Wat gaat goed? Wat heeft verbetering nodig?
We geven een inkijkje in de rollen van de teams binnen de cyber security:
Blue team
Het is inmiddels wel duidelijk: de experts in het blauwe team zijn de verdedigers. Zij analyseren het securitybeleid van bedrijven om vervolgens effectieve securityoplossingen te implementeren. Preventie is het hoofddoel van het blauwe team. Blue team experts kunnen zich o.a. bezig houden met: 2FA, e-mail filters, SIEM management, patch management, vulnerability management en cyber security trainingen. En dat is dan slechts een kleine greep uit het werkveld van het blauwe kamp.
Red team
De rode kant van cyber security houdt zich bezig met maar één ding: aanvallen. In de securitywereld valt dat over het algemeen onder de noemer pentesten. Dat wil alleen niet zeggen dat red teamers eenzijdig werk hebben: in tegendeel. Ze houden zich bezig met alle aanvalstechnieken die hackers ook inzetten.
Denk aan (Identity) Spoofing, Session Hijacking, Injection Attacks en nog veel meer. Een red teamer zou zelfs nog IT-afdelingen kunnen phishen om belangrijke wachtwoorden te achterhalen. Ze doen alles om vanuit de aanval belangrijke kwetsbaarheden boven water te krijgen en het blue team hierover te informeren.
Purple team
Een paars team is dan ook een droomteam. Over het algemeen is zo’n team namelijk een mengeling van blue teamleden en red teamleden. Al vind je soms ook cyber security experts die van beide kanten kennis hebben: en dus zelf purple zijn. Waarom het zo’n droomteam is? Omdat het delen van rode en blauwe kennis het werk van beide teams alleen maar verbetert.
Bijvoorbeeld: tijdens een pentest (red team) is het handig de werking van een cyber security oplossing te weten. En tijdens het implementeren van een oplossing kennis van de bijbehorende aanval belangrijk om goed te kunnen valideren of het ook echt het probleem verhelpt. Zo is kennis van hoe een backdoor (ook red) functioneert tijdens een cyberincident ook zeker niet overbodig.
Red team & blue team binnen Cyberlab
Binnen Cyberlab werkt het blue team en red team ook samen om de beste cybersecurity te leveren aan onze klanten. Op onze website zijn onze red team diensten te vinden onder Offensief en onze blue team diensten onder Defensief. Al sluit het één het ander niet uit. Een goed voorbeeld van hoe de teams met elkaar samenwerken is onze SOC-dienst.
Verder lezen?
Meer lezen over blue team onderwerpen zoals SIEM/SOC, vulnerability management of patch management? Of over red team onderwerpen als pentesten en hacken? Lees dan zeker een van onze andere blogs.
