Hoewel purple teaming – een combinatie van aanval en verdediging – geen nieuw gegeven is in cybersecurity, wordt het nog relatief weinig toegepast. Opvallend in tijden waarin de dreiging van hackers permanent is en met de dag gesofisticeerder en gevaarlijker wordt, stelt Erik Van Buggenhout, medeoprichter en partner bij NVISO en senior instructor bij het SANS Institute. Want, hoewel geen enkele aanpak onfeilbaar is, biedt een gemengde strategie de best mogelijke bescherming tegen online aanvallen.
Purple teaming is een van oorsprong militaire term, die verwijst naar een combinatie van offensieve (Red Team) en defensieve (Blue Team) strategieën. Samen bieden ze een zo compleet mogelijke manier en aanpak om te evalueren hoe goed de systemen en medewerkers van een organisatie bestand zijn tegen allerhande cyberaanvallen, door na te gaan welke aanvalspogingen met succes geweerd werden en welke tot een inbreuk zouden geleid hebben.
Purple teaming is zo buitengewoon nuttig om cyberaanvallen te voorkomen, omdat een gecombineerde aanpak een beter idee geeft van hoe een organisatie zich gedraagt in een reëel aanvalsscenario, en een duidelijk overzicht biedt van welke maatregelen nodig zijn om inbreuken te voorkomen. Ze biedt een duidelijke meerwaarde ten opzichte van een uitsluitend aanvallende, ‘rode’ aanpak, doordat ze er specifiek op gericht is het systeem te verbeteren alvórens het te proberen kraken – een essentiële stap die nog door te veel organisaties en bedrijven overgeslagen wordt.
Een permanente mindset met duidelijke voordelen
Meer dan een echte samengestelde ploeg, gaat het bij purple teaming idealiter vooral over een permanente dynamiek tussen rood en blauw, waarbij de brainpower van beide teams gebundeld wordt met het oog op eenzelfde doel: de organisatie zo goed mogelijk wapenen tegen malafide cyberpiraten. Door defensieve inzichten en tactieken enerzijds en de vergaarde info over dreigingen en kwetsbaarheden anderzijds samen te leggen, kunnen beide teams elkaar versterken met het oog op optimale bescherming.
Concreet zullen beide teams door hun krachten te bundelen elkaars manier van werken beter begrijpen, waardoor ze zich gemakkelijker in het hoofd van de tegenpartij kunnen verplaatsen en diens gedachtegang beter inschatten, om zo eventuele ‘moves’ te anticiperen. In een volgende stap kan er dan zelfs nagedacht worden over hoe aanvallers hun tactiek zouden aanpassen, wanneer ze merken dat hun aanvallen afgeweerd worden of begrijpen hoe de verdedigers te werk gaan.
Purple teaming biedt zo geavanceerde simulatiemogelijkheden, die de leden van beide teams permanent dwingt na te denken over nieuwe technieken, methodes en procedures, en hun kennis over nieuwe dreigingen en hoe ze te pareren up to date houdt – permanente vorming avant la lettre.
Geen hypothetische scenario’s, maar reële resultaten en impact
Een ander, evenmin onbelangrijk voordeel: een gecombineerde purple teaming-aanpak laat de teams toe om samen een gedetailleerde stand van zaken op te stellen van de actuele veiligheidssituatie van de organisatie, die gebaseerd is op reële resultaten en niet op hypothetische scenario’s. Dat maakt de zaken een stuk concreter en bevattelijker, wat voor meer begrip binnen de organisatie zorgt. Ook de communicatie naar het bestuursniveau wordt een stuk gemakkelijker, doordat dreigingen en hun potentiële impact veel tastbaarder aangetoond kunnen worden. Dit maakt het op zijn beurt veel makkelijker om de nodige middelen vrij te maken en deze te rechtvaardigen, wat dan weer voor meer innovatie zorgt.
Het moge duidelijk zijn: bij purple teaming is het geheel (veel) meer dan de som der delen. Waar wacht uw organisatie nog op?